Diskuze: Hook check

C# .NET .NET (C# a Visual Basic) Hook check American English version English version

Avatar
denoy
Člen
Avatar
denoy:

Zdravím,

chci se zeptat, jestli lze nějak zjistit hook do procesu jiným programem, myslím to takto - jsou 2 aplikace a jedna se nahookuje do druhé a já chci napsat vlastní 3. aplikaci, která když se toto stane, tak to zaznamená, je to technicky možné, nebo nereálne?
Díky za odpovědi.

 
Odpovědět 28.8.2012 16:51
Avatar
matesax
Redaktor
Avatar
Odpovídá na denoy
matesax:

Použij File System Watcher - najdeš jej v ToolBoxu ve VS...

http://msdn.microsoft.com/…watcher.aspx

 
Nahoru Odpovědět 28.8.2012 17:23
Avatar
matesax
Redaktor
Avatar
Avatar
denoy
Člen
Avatar
denoy:

Díky, ale čekal jsem trochu více teorie, než 'Použij File System Watcher' když vím, že to nebdue žádná sranda zjsitit a co se toho odkazu týče, není psán v c? Pročtu si to a zkusím si udělat nějaký přehled o co vlastně v tom článku jde.

 
Nahoru Odpovědět 28.8.2012 18:20
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na denoy
David Čápka:

Nemyslím si, že o tom ten článek něco říká. Teorii okolo tohoto neznám, ale mohl by to vědět Martin Dráb, napsal o jádru Windows knihu :)

Nahoru Odpovědět 28.8.2012 18:25
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na denoy
David Čápka:

Nevím, jeslti se tu objeví, pokud ne, koukni na http://www.secit.sk, tam se vyskytuje, případně ti tam někdo třeba řekne něco víc.

Nahoru Odpovědět 28.8.2012 18:27
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
denoy
Člen
Avatar
denoy:

Díky sdraco, já ani tak nepotřebuju přímo napsaný kód, potřebuju vědět o co v tom hookování vlastně jde, jak tu funguje a jak to windows bere, potom budu vědět jak s tím dále pracovat a co přesně hledat.

 
Nahoru Odpovědět 28.8.2012 18:32
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na denoy
David Čápka:

To jsem právě myslel, na secitu se zabývají systémovým programováním, sám Vrtule je autorem mnoha utilit co se zabývají procesy, detekcí mallwaru atd.

Nahoru Odpovědět 28.8.2012 18:35
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na denoy
Martin Dráb:

Zdravím,

jestli jsem to dobře pochopil, tak chcete zjistit, zda nebyla modifikována paměť procesu, kde jsou načteny různé knihovny, které obsahují mimo jiné i výkonný kód. Principiálně je to jednoduché: prostě zjistíte adresy všech knihoven a jiných PE souborů v paměťovém prostoru procesu a porovnáte obsah příslušných oblastí se soubory na disku. Není to takhle jednoduché, ale v zásadě to tak funguje.

Pod pojmem hookování se obvykle myslí modifikace kódu některé z knihoven tak, aby tato knihovna fungovala trochu jinak, například skrývala přítomnost některých soubory. Aplikace totiž zjišťují prakticky všechny informace pomocí knihovních rutin, které právě bývají terčem modifikace.

Jinak secit.sk jsem opustil. Mám v plánu psát hlavně anglicky, ale zatím se ten projekt moc nerozjel. A nemám na to už moc čas vzhledem k několika projektům, na kterých právě pracuji. Takže bude asi nejlepší mě kontaktovat třeba přes mail, nebo se podívat na http://www.jadro-windows.cz, tam je kontaktních údajů také dost.

Nahoru Odpovědět 1.9.2012 21:38
2 + 2 = 5 for extremely large values of 2
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 9 zpráv z 9.