Einzelnen Beitrag anzeigen

Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#17

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 17:52
Könnte man nicht das umgehen von Hooks umgehen indem man GetProcAddress hookt?
Nicht wirklich effizient. Wenn ich Hooks gezielt umgehen will, dann "manual mappe" ich die entsprechende Dll, parse noch schnell die EAT und hole mir die Funktionsadressen somit komplett ohne irgendwelche API Aufrufe.

Da das manuelle Laden der Dll auch nicht ohne Weiteres festgestellt werden kann, ist davon auszugehen, dass auch keine Inline Hooks mehr im Code aktiv sind.

Und wenn man ganz viel Zeit zu viel hat, dann bastelt man sich für jede Windows Version eine Syscall-Table. Kennt man die entsprechenden Interrupt Nummern (sieht man in der ntdll.dll auf den ersten Blick in fast jeder nativen API), kann man über das direkte Ausführen der SYSCALL Instruction auch die entsprechende API im Kernel ansprechen.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat