Pues eso :huh: como saberlo?
si por ejemplo quiero saber que APIs hookea un AV o un software de seguridad
hola...
bueno te recomiendo este link
http://foro.elhacker.net/analisis_y_diseno_de_malware/introduccion_a_la_programacion_de_drivers_en_windows-t231193.0.html
busca en la parte donde habla sobre la SSDT que ahí responden hasta cierto punto tu duda...
y este otro
http://blog.elhacker.net/2010/02/detectando-hooks-en-procesos-desde-un.html
saludos
me imagino que la SSDT es como hookear en modo usuario una api no?
en modo kernel se debe de hookear la SSDT, y con eso cualquier llamada a la api
hookeada desde cualquier programa cae en el hook? :P
SSDT[url]
Temibles Lunas!¡. (https://en.wikipedia.org/wiki/System_Service_Dispatch_Table)
mira que modifique el mensaje anterior y puse otro link , y la verdad es que no se decirte si al SSDT es como hookear una apis en modo usuario,yo nunca la he hookeado ,una ves hookee una apis en modo usuario solamente ,y si,la SSDT se hookea en modo kernel....
saludos....
La API es de modo Usuario y puede estar hookeada en el mismo tranquilamente mediante detouring, leyendo los bytes del comienzo de las funciones podes detectar este tipo de hooks.
fijate este código, sirve para detectar algunos tipos de hooks (en modo usuario) inyectando una dll (aunque también se puede hacer sin inyectar)...
Hook Finder (http://foro.inexinferis.com.ar/index.php?topic=1531.0)
S2
Doy gracias por la ayuda a todos!
bueno espero que hayas aclarado tu duda ...