Vydělávej až 160.000 Kč měsíčně! Akreditované rekvalifikační kurzy s garancí práce od 0 Kč. Více informací.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Avatar
denoy
Člen
Avatar
denoy:28.8.2012 16:51

Zdravím,

chci se zeptat, jestli lze nějak zjistit hook do procesu jiným programem, myslím to takto - jsou 2 aplikace a jedna se nahookuje do druhé a já chci napsat vlastní 3. aplikaci, která když se toto stane, tak to zaznamená, je to technicky možné, nebo nereálne?
Díky za odpovědi.

 
Odpovědět
28.8.2012 16:51
Avatar
matesax
Tvůrce
Avatar
Odpovídá na denoy
matesax:28.8.2012 17:23

Použij File System Watcher - najdeš jej v ToolBoxu ve VS...

http://msdn.microsoft.com/…watcher.aspx

 
Nahoru Odpovědět
28.8.2012 17:23
Avatar
matesax
Tvůrce
Avatar
matesax:28.8.2012 17:41

Našel jsem toto:

http://www.codeproject.com/…-process-cre

 
Nahoru Odpovědět
28.8.2012 17:41
Avatar
denoy
Člen
Avatar
denoy:28.8.2012 18:20

Díky, ale čekal jsem trochu více teorie, než 'Použij File System Watcher' když vím, že to nebdue žádná sranda zjsitit a co se toho odkazu týče, není psán v c? Pročtu si to a zkusím si udělat nějaký přehled o co vlastně v tom článku jde.

 
Nahoru Odpovědět
28.8.2012 18:20
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na denoy
David Hartinger:28.8.2012 18:25

Nemyslím si, že o tom ten článek něco říká. Teorii okolo tohoto neznám, ale mohl by to vědět Martin Dráb, napsal o jádru Windows knihu :)

Nahoru Odpovědět
28.8.2012 18:25
You are the greatest project you will ever work on.
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na denoy
David Hartinger:28.8.2012 18:27

Nevím, jeslti se tu objeví, pokud ne, koukni na http://www.secit.sk, tam se vyskytuje, případně ti tam někdo třeba řekne něco víc.

Nahoru Odpovědět
28.8.2012 18:27
You are the greatest project you will ever work on.
Avatar
denoy
Člen
Avatar
denoy:28.8.2012 18:32

Díky sdraco, já ani tak nepotřebuju přímo napsaný kód, potřebuju vědět o co v tom hookování vlastně jde, jak tu funguje a jak to windows bere, potom budu vědět jak s tím dále pracovat a co přesně hledat.

 
Nahoru Odpovědět
28.8.2012 18:32
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na denoy
David Hartinger:28.8.2012 18:35

To jsem právě myslel, na secitu se zabývají systémovým programováním, sám Vrtule je autorem mnoha utilit co se zabývají procesy, detekcí mallwaru atd.

Nahoru Odpovědět
28.8.2012 18:35
You are the greatest project you will ever work on.
Avatar
Martin Dráb
Tvůrce
Avatar
Odpovídá na denoy
Martin Dráb:1.9.2012 21:38

Zdravím,

jestli jsem to dobře pochopil, tak chcete zjistit, zda nebyla modifikována paměť procesu, kde jsou načteny různé knihovny, které obsahují mimo jiné i výkonný kód. Principiálně je to jednoduché: prostě zjistíte adresy všech knihoven a jiných PE souborů v paměťovém prostoru procesu a porovnáte obsah příslušných oblastí se soubory na disku. Není to takhle jednoduché, ale v zásadě to tak funguje.

Pod pojmem hookování se obvykle myslí modifikace kódu některé z knihoven tak, aby tato knihovna fungovala trochu jinak, například skrývala přítomnost některých soubory. Aplikace totiž zjišťují prakticky všechny informace pomocí knihovních rutin, které právě bývají terčem modifikace.

Jinak secit.sk jsem opustil. Mám v plánu psát hlavně anglicky, ale zatím se ten projekt moc nerozjel. A nemám na to už moc čas vzhledem k několika projektům, na kterých právě pracuji. Takže bude asi nejlepší mě kontaktovat třeba přes mail, nebo se podívat na http://www.jadro-windows.cz, tam je kontaktních údajů také dost.

Nahoru Odpovědět
1.9.2012 21:38
2 + 2 = 5 for extremely large values of 2
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 9 zpráv z 9.