توابع hook شده [بایگانی]

حمیدرضاصادقیان

شنبه 13 بهمن 1386, 00:03 صبح

سلام .آیا امکانش هست بفهمیم چه توابعی hook شده اند.؟ و آیا امکانش هست اونا رو از بین برد؟ اگر روتکیت باشند چطور؟

حمیدرضاصادقیان

یک شنبه 14 بهمن 1386, 08:48 صبح

سلام.من یک تابع پیدا کردم به نام nexthookex . ولی ظاهرا باید یک hook داشته باشیم تا Hook های بعد از آن را پیدا کنم(البته اگه اشتباه نکنم.)

حمیدرضاصادقیان

دوشنبه 15 بهمن 1386, 11:55 صبح

کسی در این زمینه نمیتونه منو راهنمایی کنه؟

Valadi

دوشنبه 15 بهمن 1386, 11:59 صبح

شما می تونید از این کامپونت استفاده کنید
نام کامپونت :TCPKeyHook
اطلاعات خوبی داره و دمو هم داره

حمیدرضاصادقیان

دوشنبه 15 بهمن 1386, 12:32 عصر

ممنون دوست عزیز.ولی من نیاز دارم توابعی رو که هوک شده پیدا کنم.نمیخوام کیبورد رو هوک کنم.فرض کن یک dll توسط یک device driver هوک شده من میخوام بوسیله کد نویسی اونو پیدا کنم.مانند برنامه hook analyzer

lord_viper

دوشنبه 15 بهمن 1386, 21:40 عصر

احتمالا باید از hookapi استفاده کنین کاری که معمولا rootkit ها و kaspersky انجام میدن

حمیدرضاصادقیان

سه شنبه 16 بهمن 1386, 06:58 صبح

سلام.ممنون از راهنمایی تون. در بالا هم نوشتم که یک تابع هست میتونه توابع هوک شده رو پیدا کنه.ولی اول باید یک هوک اولیه بهش بدی.یعنی برای اینکار باید یک تابع رو خودم هوک کنم؟

vcldeveloper

سه شنبه 16 بهمن 1386, 08:25 صبح

API Hooking Revealed (http://www.codeguru.com/Cpp/W-P/system/misc/article.php/c5667)
API Spying Techniques for Windows 9x, NT and 2000 (http://www.internals.com/articles/apispy/apispy.htm)
این هم یک ابزار مجانی برای این کار:
ApiHooks (http://www.apihooks.com/)