|
Alle SSDT Hooks auflisten und ggf. entfernen
Hey,
ich bin im Internet auf das Programm RkUnhooker gestoßen, welches alle kernel mode Hooks auflistet und diese auf entfernen kann. Ich finde das Programm sehr nützlich, weil man damit effektiv Rootkits enttarnen und somit auch entfernen kann. Leider funktioniert das ganze unter Vista nicht mehr und die offizielle Seite ist auch down. Da kam ich auf die Idee für mich ein kleines Tool zu schreiben, was die selben Funktionen erfüllt - möglichst auch unter Vista. Hat jemand eine Idee, wie man alle gehookten Funktionen auflisten und dann auch bestimmte Hooks entfernen kann? Eventuell mit der uallCollection? Vielen Dank |
Re: Alle SSDT Hooks auflisten und ggf. entfernen
Entfernen sollte mit
 UnhookWindowsHookEx gehen. |
Re: Alle SSDT Hooks auflisten und ggf. entfernen
Uhm, er meinte die Kernel Hooks, SSDT = System Service Dispatch Table.
Schaue dir vielleicht Aphex's Leaktest an, das entfernt alle hooks aus der SSDT. Aber mit der uallCollection sollte es auch funktionieren. Aber das ist nicht wirklich Stabil, kann leicht passieren das es zu einem Bluescreen kommt. Edit: Ganz vergessen eine Antwort zu geben :P. |
Re: Alle SSDT Hooks auflisten und ggf. entfernen
Also Aphex Leaktest hatte ich mir schonmal angesehen, leider gibt es einige Probleme. Zum einen beim Entfernen der API Hooks meint das Programm "Spyware Doctor" den Prozess einfrieren zu müssen :D Okey, das ist nicht weiter tragisch, allerdings funktionierte das Entfernen der SSDT Hooks auch nicht. Unter XP kommt eine Zugriffsverletzung, die man nicht weiter debuggen kann und unter Vista gibt das Programm sofort aus, dass diese Version nicht unterstützt wird. :(
//Edit: Unter Vista zeigt er nichtmal Usermode Hooks an merke ich grade =/ |
Re: Alle SSDT Hooks auflisten und ggf. entfernen
Hmm,
 www.iamaphex.net ist leider down, kennt einer vieleicht eine anderen seite auf der man seine projecte noch finden kann?gruß win32 |
Re: Alle SSDT Hooks auflisten und ggf. entfernen
Ich hab seine Source alle auf dem Rechner .. kann ich dir schicken, wenn du magst. Sind leider zu groß, um sie hier hochzuladen.
|
Re: Alle SSDT Hooks auflisten und ggf. entfernen
Laß es einfach. Es ist nämlich ganz simpel nicht möglich ;) ... viel Erfolg!
(Oh, ich sollte erwähnen, daß es C/C++-Programme mit Source gibt, die behaupten es geht. Aber es ist schon theoretisch nur unter optimalen Umständen möglich und unter normalen Umständen in 99,9% der Fälle ausgeschlossen)Achso, zum "Warum" ansatzweise: http://blog.assarbad.net/wp-content/...t_rootkits.zip |
Re: Alle SSDT Hooks auflisten und ggf. entfernen
For those who still want to take a look at the program, I found a link
Here (version 3.20). |
Re: Alle SSDT Hooks auflisten und ggf. entfernen
@Olli: hast du das auch noch mal in einem Format, dass man auch öffnen kann? Der IE läd sich tot und der Firefox frag mich jedes mal, ob ich die Datei mit Firefox öffnen will, nur um mich das dann noch mal und noch mal und noch mal zu fragen.
|
Re: Alle SSDT Hooks auflisten und ggf. entfernen
Olli, ich würde die MHTML auch gerne lesen ;) Habe die gleichen Probleme wie Luckie.
Gruß Hagen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:20 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz