Четверг, 17.08.2017, 02:47 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » перехват api (хук)
перехват api
okeДата: Воскресенье, 10.06.2012, 15:51 | Сообщение # 1
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
вот нашел статью на сайте http://delfcode.ru/publ/delphi/delphivir/pishem_prostoj_rootkit_na_delphi_7/1-1-0-126 но там полно ошибок и нехватает модулей
вот решил исправить все ошибки и добавить модули

вот и модули
Прикрепления: advApiHook.pas(53Kb) · NativeAPI.pas(24Kb)


Сообщение отредактировал oke - Воскресенье, 10.06.2012, 18:24
 
Волк-1024Дата: Воскресенье, 10.06.2012, 19:05 | Сообщение # 2
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Нужно избавиться от модуля SysUtils, тогда рамер dll'ки уменьшится в 2 раза. В коде импортируется одна функа из модуля: ExtractFileName её либо перетащить от туда, либо написать свою.
 
okeДата: Воскресенье, 10.06.2012, 19:18 | Сообщение # 3
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
Волк-1024, я исправлял на скорую руку думал код вообще не рабочий
 
xXxSh@dowxXxДата: Воскресенье, 10.06.2012, 19:47 | Сообщение # 4
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
прошу прощения, немножко не догнал что делает этот код, после работы вобще голова не работает =(

поясните пожалуйста по подробней...

хук блокирует любые действия с процессом Rootkit.exe или я ошибаюсь?


Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 10.06.2012, 19:48
 
Волк-1024Дата: Воскресенье, 10.06.2012, 19:53 | Сообщение # 5
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Да. Она делает так, что нельзя завершить процесс. Только что проверил. И вот еще что. Почему-то не отброжается от какого пользователя была запущена прога. Видимо баг, а так ваще хз.

Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 19:55
 
xXxSh@dowxXxДата: Воскресенье, 10.06.2012, 20:07 | Сообщение # 6
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
а при чем тут avz.exe ?

или он определенному процессу запрещает вмешиваться в другой процесс, а не всем?


Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 10.06.2012, 20:08
 
Волк-1024Дата: Воскресенье, 10.06.2012, 20:19 | Сообщение # 7
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Он всем запрещает. Ну во всяком случае диспечер не может завершить его. biggrin

Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 21:15
 
Волк-1024Дата: Воскресенье, 10.06.2012, 21:17 | Сообщение # 8
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Вот реализация ExtractFileName. Правда, кривовата, но работает. smile



Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 21:28
 
Волк-1024Дата: Понедельник, 11.06.2012, 00:33 | Сообщение # 9
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Вот переработал + еще от нефиг делать накодил:



Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 00:35
 
okeДата: Вторник, 12.06.2012, 00:51 | Сообщение # 10
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
xXxSh@dowxXx, в данном случае только Rootkit.exe
 
okeДата: Вторник, 12.06.2012, 00:54 | Сообщение # 11
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
Волк-1024, это не баг тут идет перехват ZwOpenProcess
 
okeДата: Вторник, 12.06.2012, 01:02 | Сообщение # 12
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
xXxSh@dowxXx, а avz есть такая антивирусная ультилита так вот dll не дает ей запуститься
 
xXxSh@dowxXxДата: Вторник, 12.06.2012, 01:14 | Сообщение # 13
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (oke)
а avz есть такая антивирусная ультилита так вот dll не дает ей запуститься


все, ок, теперь тебя понял, а что разве avz прикроет эту длл?

ах да он же может её выгрузить точно...


Сообщение отредактировал xXxSh@dowxXx - Вторник, 12.06.2012, 01:15
 
okeДата: Вторник, 12.06.2012, 01:29 | Сообщение # 14
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
xXxSh@dowxXx, avz все прикроет это мощная антишпионская система)
 
delfcode » Delphi » Вирусология Delphi » перехват api (хук)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz