Como saber que APIs estan hookeadas?

t4r0x · 3 Febrero 2012, 05:55 AM

Pues eso

como saberlo?
si por ejemplo quiero saber que APIs hookea un AV o un software de seguridad

wachi · 3 Febrero 2012, 08:23 AM

hola...
bueno te recomiendo este link
http://foro.elhacker.net/analisis_y_diseno_de_malware/introduccion_a_la_programacion_de_drivers_en_windows-t231193.0.html

busca en la parte donde habla sobre la SSDT que ahí responden hasta cierto punto tu duda...

y este otro
http://blog.elhacker.net/2010/02/detectando-hooks-en-procesos-desde-un.html

saludos

t4r0x · 3 Febrero 2012, 08:34 AM

me imagino que la SSDT es como hookear en modo usuario una api no?
en modo kernel se debe de hookear la SSDT, y con eso cualquier llamada a la api
hookeada desde cualquier programa cae en el hook?

BlackZeroX · 3 Febrero 2012, 08:51 AM

SSDT[url]

Temibles Lunas!¡.

wachi · 3 Febrero 2012, 09:04 AM

mira que modifique el mensaje anterior y puse otro link , y la verdad es que no se decirte si al SSDT es como hookear una apis en modo usuario,yo nunca la he hookeado ,una ves hookee una apis en modo usuario solamente ,y si,la SSDT se hookea en modo kernel....

saludos....

Eternal Idol · 6 Febrero 2012, 14:55 PM

La API es de modo Usuario y puede estar hookeada en el mismo tranquilamente mediante detouring, leyendo los bytes del comienzo de las funciones podes detectar este tipo de hooks.

Karman · 7 Febrero 2012, 05:16 AM

fijate este código, sirve para detectar algunos tipos de hooks (en modo usuario) inyectando una dll (aunque también se puede hacer sin inyectar)...

Hook Finder

S2

t4r0x · 7 Febrero 2012, 06:00 AM

Doy gracias por la ayuda a todos!

wachi · 7 Febrero 2012, 06:51 AM

bueno espero que hayas aclarado tu duda ...