Праверка, калі API, кантралюецца (зачапілі?)

Маё прыкладанне выкарыстоўвае некаторыя інтэрфейсы, такія як GetProcAddress і CreateProcess , якія выклікаюць часам антывірусаў маркіруюць яго як шкоднасны, нават калі гэта не так.

Тое, што я спрабую зрабіць, гэта праверыць, ці з'яўляецца канкрэтны API знаходзіцца пад кантролем або зачапіў і калі пасля гэтага я не буду называць гэтую частку кода.

Як праверыць, ці з'яўляецца зачапіў пэўны API?

Гэта дадатак для Windows напісана на C.

Дзякуючы.

0
Няма ін'екцыі длл і стварэнне аддаленага патоку няма. Гэтыя 2 API, у другой частцы праграмы робяць розныя рэчы. Вы ведаеце, як праверыць наяўнасць API кручка?
дададзена аўтар Mr Aleph, крыніца
@alk Любы. Выбраць адзін.
дададзена аўтар Mr Aleph, крыніца
<�Код> GetProcAddress і CreateProcess сам па сабе не павінен падымаць сцягі для AVs. Вы робіце ін'екцыі выдаленай бібліятэкі DLL, выкарыстоўваючы CreateRemoteThread ? Калі гэта так, то подпіс вашай функцыі можа адпавядаць адно з шкоднасных праграм.
дададзена аўтар JosephH, крыніца
«... праверыць, ці з'яўляецца быць канкрэтны API ...», які API (ы) вы кажаце?
дададзена аўтар alk, крыніца
І як бы вы пераканайцеся, што ваш API дэтэктар манітор не быў падключаны?
дададзена аўтар Raymond Chen, крыніца
Там няма ніякага надзейнага спосабу праверыць, ці быў зачапіў АНІ, таму што чалавек, які зачапіў API можа таксама падключыў дэтэктар API.
дададзена аўтар Raymond Chen, крыніца

1 адказы

На win32 няма Афіцыйных метад для выяўлення і/або месца Кручкоў (акрамя SetWindowsHookEx() </кодзе> ( http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990 ) і інш функцыі, якія ахопліваюць толькі вельмі невялікі набор функцыянальных магчымасцяў) ,

Выяўленне кручка залежыць ад таго, як быў ужыты кручок.

Ёсць два папулярных спосабаў для кручка:

  1. Імпарт/Экспарт табліцы лат
  2. Код перазапіс

Для атрымання дадатковай інфармацыі (плюсы/мінусы) на розныя метады, каб размясціць гаплікі, калі ласка, разгледзець чытанне тут Http: //help.madshi .net/ApiHookingMethods.htm .

Кожны метад зачаплення requieres іншы падыход, каб выявіць яго.

Для метадаў выяўлення гаплікаў, размешчаных, як паказана вышэй, калі ласка, глядзіце ў раздзеле «ApiHookCheck Алгарытм» тут Http://www.security.org.sg/code/apihookcheck.html . Ёсць узоры крыніцы, даступныя на гэтай старонцы, якую я зрабіў не тэст .

1
дададзена
Гэта інфармацыя мне патрэбна. Дзякуй!
дададзена аўтар Mr Aleph, крыніца
Спасылка на ApiHookCheck Алгарытм больш не працуе. Можа хто-то калі ласка забяспечыць добрую спасылку на яго?
дададзена аўтар Benny, крыніца
@alk дзякуй, я выявіў, што пытанне, як добра. Калі ён падобны на алгарытм APIHookChecking вы згадалі, у сваім адказе?
дададзена аўтар Benny, крыніца
@Benny: Гэта можа быць кропкай для пачатку: security.stackexchange.com/q/17904/36769
дададзена аўтар alk, крыніца