Duda si hookear TerminateProcess

t4r0x · 14 Febrero 2012, 04:35 AM

Hola a todos foreros me pueden ayudar, tengo una duda y es que estoy practicando hookeando
algunas funciones y se me ocurrio impedir que terminaran mi proceso entonces hay que hookear la api TerminateProcess
pero segun lo que e entendido y leyendo algunos comentarios para que afecte una api hookeada tengo que emplear las
tecnicas conocidas al proceso que quiero inyectar codigo osea la api hookeada solo afectara al proceso que le inyecte mi codigo
de hook verdad? a menos que inyecte a todos los procesos en ejecucion...

y entonces como hago si quiero evitar que terminen mi proceso? mi proceso se podra terminar desde cualquier herramienta
de procesos o desde una simple llamada a funcion TerminateProcess y entonces tendre que inyectar el codigo a todos?
crei que el hook era global... gracias de ante mano

Eternal Idol · 14 Febrero 2012, 09:02 AM

El hook no es global, si modificas una pagina de memoria de una DLL esta deja de estar compartida y el proceso donde la modificaste tiene una copia privada propia. Tenes que inyectar en todos los procesos o trabajar en modo Kernel ...

PD. Igual la idea es evitar que abran un HANDLE a tu proceso ya que por ejemplo si solo hookearas TerminateProcess podrian matar tu proceso creando un hilo que llame a ExitProcess o que lea un puntero nulo, etc..

t4r0x · 14 Febrero 2012, 09:05 AM

Muchas gracias Idolo! me lo imaginaba

esta mas dificil de lo que crei

saludos y gracias por la respuesta

Eternal Idol · 14 Febrero 2012, 12:18 PM

De nadas

Test Foro de elhacker.net SMF 2.1

Duda si hookear TerminateProcess

t4r0x

Eternal Idol

t4r0x

Eternal Idol