Hooks aufspüren - Welche Winapi Befehle braucht man dazu ?
-
Hi,
ich hab in letzter Zeit soviel gelesen wie man Prozesse vor dem Taskmanager verstecken kann, über Keylogger etc. All diese Schädlinge scheinen mit Hooks zu arbeiten.
Deshalb meine Frage wie spüre ich Hooks auf und wie erkenne ich ob das ein bösartiger Hook ist oder ein normaler Systemhook ?
tia mfg c°h°
-
c°h° schrieb:
wie erkenne ich ob das ein bösartiger Hook ist oder ein normaler Systemhook ?
Naja, ob ein Hook bösartig oder gutartig ist, hängt ja von deiner ganz persönlichen Einstellung und der jeweiligen Verwendung ab

-
Naja hast schon recht mir würde es auch langen zu sehen was ein Hook macht um selbst entscheiden zu können welcher "bösartig" ist.
-
Das folgende hast Du schon gelesen, oder?
http://www.sysinternals.com/Utilities/RootkitRevealer.html
Da geht es nicht nur um hooks, aber um die definition was bösartig ist...
-
Hallo,
hätte auch mal eine Frage zu dem Thema. Ich wollte gerne herausfinden ob ein
Prozess Tastenanschläge empfängt, falls er über 'SetWindowsHookEx' einen globalen Hook schon gesetzt hat.
Ich kann über Hooks
überprüfen ob ein Prozess diesen Befehl aufruft, aber was ist wenn er sozusagen schneller war?Gruß
hooks
-
RootkitRevealer sieht ja ganz gut aus nur leider bietet sysinternals keinen Sourcecode dazu an

-
bei hooks gewinnt immer der der zuerst aufm system war

um hooks in der iat aufzuspüren würde ich gucken, in welches modul die einzelnen einträge zeigen und vergleichen ob die stimmen. bei manchen hooks zeigen die einträge dann nämlich sogar in gar kein modul (sondern nur nen speicherbereich) lässt sich dann gut aufdecken.für kernelmode hooks guck dir mal
http://www.security.org.sg/code/sdtrestore.html an.hf, neonew
-
c°h° schrieb:
RootkitRevealer sieht ja ganz gut aus nur leider bietet sysinternals keinen Sourcecode dazu an

Aber es wird erklärt wie es funktiniert und somit kannst Du es ja selber machen...