Funktionsaufrufe abfangen
-
Hi!
Gibt es eine Möglichkeit oder ein Tool, um von einem Programm aufgerufene Befehle abzufangen (z.B. startet man ein Programm, dieses ruft CreateFile(...) auf, was dann z.B. geloggt wird)?
Könnte man diese Befehle dann evtl. an einen Remoterechner weiterleiten (ohne größeren Aufwand ;-)?
MfG
Matg40
-
Spontan fällt mir das Stichwort "Hooks" ein. Google einfach mal danach, da wirst du wahrscheinlich ein paar Tutorials finden, die die weiterhelfen können.
-
Gibt es eine Möglichkeit oder ein Tool, um von einem Programm aufgerufene Befehle abzufangen (z.B. startet man ein Programm, dieses ruft CreateFile(...) auf, was dann z.B. geloggt wird)?
Ja, sofern es sich auf die API des Betriebssystems beschränkt, nennt man das Inline API Hooking. Hier gibts ein prima Tutorial dafür (nichts für Anfänger): http://wiki.hackerboard.de/index.php/Windows_API Tools fallen mir jetzt spontan keine dazu ein.
Könnte man diese Befehle dann evtl. an einen Remoterechner weiterleiten (ohne größeren Aufwand ;-)?
Ja, kann man, allerdings mit größerem Aufwand verbunden. Eine genaue Vorstellung habe ich jetzt auch nicht dazu, aber du könntest alle laufenden Prozesse loggen, deren offenen Handles zu den importierten DLLs sowie deren Offset herausfinden, und somit weist du, welches Programm eine bestimmte Funktion aufruft. Per Sockets liesen sich dann diese Informationen recht leicht an einen PC verschicken. Eine gute Starthilfe gibt dir da z.B. das Programm "WhoLockMe", oder auch einige andere, deren Link ich hier gerade nicht da habe.
-
-
Hi,
danke für die Antworten!
Da werde ich mich mal durcharbeiten
MfG
Matg40