V předchozím kvízu, Test znalostí C# .NET online, jsme si ověřili nabyté zkušenosti z kurzu.
Použij File System Watcher - najdeš jej v ToolBoxu ve VS...
Nemyslím si, že o tom ten článek něco říká. Teorii okolo tohoto
neznám, ale mohl by to vědět Martin Dráb, napsal o jádru Windows knihu
Nevím, jeslti se tu objeví, pokud ne, koukni na http://www.secit.sk, tam se vyskytuje, případně ti tam někdo třeba řekne něco víc.
To jsem právě myslel, na secitu se zabývají systémovým programováním, sám Vrtule je autorem mnoha utilit co se zabývají procesy, detekcí mallwaru atd.
Zdravím,
jestli jsem to dobře pochopil, tak chcete zjistit, zda nebyla modifikována paměť procesu, kde jsou načteny různé knihovny, které obsahují mimo jiné i výkonný kód. Principiálně je to jednoduché: prostě zjistíte adresy všech knihoven a jiných PE souborů v paměťovém prostoru procesu a porovnáte obsah příslušných oblastí se soubory na disku. Není to takhle jednoduché, ale v zásadě to tak funguje.
Pod pojmem hookování se obvykle myslí modifikace kódu některé z knihoven tak, aby tato knihovna fungovala trochu jinak, například skrývala přítomnost některých soubory. Aplikace totiž zjišťují prakticky všechny informace pomocí knihovních rutin, které právě bývají terčem modifikace.
Jinak secit.sk jsem opustil. Mám v plánu psát hlavně anglicky, ale zatím se ten projekt moc nerozjel. A nemám na to už moc čas vzhledem k několika projektům, na kterých právě pracuji. Takže bude asi nejlepší mě kontaktovat třeba přes mail, nebo se podívat na http://www.jadro-windows.cz, tam je kontaktních údajů také dost.
Zobrazeno 9 zpráv z 9.