 |
 |
 |
 |
 |
|
Softwareentwicklung im Allgemeinen
Projektplanung und -Management
Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]
Offene Frage von "Sir Rufo"|
Registriert seit: 9. Jul 2012 Ort: 37083 Göttingen 61 Beiträge Delphi 10.4 Sydney |
#10
AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]
29. Mär 2016, 22:36
Könnte man nicht das umgehen von Hooks umgehen indem man GetProcAddress hookt?
Da das manuelle Laden der Dll auch nicht ohne Weiteres festgestellt werden kann, ist davon auszugehen, dass auch keine Inline Hooks mehr im Code aktiv sind. Und wenn man ganz viel Zeit zu viel hat, dann bastelt man sich für jede Windows Version eine Syscall-Table. Kennt man die entsprechenden Interrupt Nummern (sieht man in der ntdll.dll auf den ersten Blick in fast jeder nativen API), kann man über das direkte Ausführen der SYSCALL Instruction auch die entsprechende API im Kernel ansprechen. Ich meine das sind ja nicht die 99% der Viren, die unterwegs sind (behaupte ich einfach mal) Ja gut wer sich so viel Arbeit macht hat es auch verdient nicht gehookt zu werden
 
Felix
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Baum-Darstellung
