Como saber que APIs estan hookeadas?

Iniciado por t4r0x, 3 Febrero 2012, 05:55 AM

0 Miembros y 1 Visitante están viendo este tema.

t4r0x

Pues eso  :huh: como saberlo?
si por ejemplo quiero saber que APIs hookea un AV o un software de seguridad

wachi

#1
hola...
bueno te recomiendo este  link
http://foro.elhacker.net/analisis_y_diseno_de_malware/introduccion_a_la_programacion_de_drivers_en_windows-t231193.0.html

busca en la parte donde habla sobre la SSDT que ahí responden hasta cierto punto tu duda...

y este otro
http://blog.elhacker.net/2010/02/detectando-hooks-en-procesos-desde-un.html

saludos
Si lo que vas a decir no es mas bello que el silencio : no lo digas

t4r0x

me imagino que la SSDT es como hookear en modo usuario una api no?
en modo kernel se debe de hookear la SSDT, y con eso cualquier llamada a la api
hookeada desde cualquier programa cae en el hook? :P

BlackZeroX

The Dark Shadow is my passion.

wachi

mira que modifique el mensaje anterior y puse otro link , y la verdad es que no se decirte si al SSDT es como hookear una apis en modo usuario,yo nunca la he hookeado ,una ves hookee una apis en modo usuario solamente ,y si,la SSDT se hookea en modo kernel....

saludos....
Si lo que vas a decir no es mas bello que el silencio : no lo digas

Eternal Idol

La API es de modo Usuario y puede estar hookeada en el mismo tranquilamente mediante detouring, leyendo los bytes del comienzo de las funciones podes detectar este tipo de hooks.
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón

Karman

fijate este código, sirve para detectar algunos tipos de hooks (en modo usuario) inyectando una dll (aunque también se puede hacer sin inyectar)...

Hook Finder

S2

t4r0x


wachi

bueno espero que hayas aclarado tu duda ...
Si lo que vas a decir no es mas bello que el silencio : no lo digas