जांच कर रहा है कि क्या एक एपीआई की निगरानी की जाती है (hooked?)

मेरा एप्लिकेशन कुछ कोडों जैसे GetProcAddress और CreateProcess का उपयोग करता है जो कभी-कभी एंटीवायरस को दुर्भावनापूर्ण के रूप में फ़्लैग करने का कारण बनता है, भले ही यह नहीं है।

जो मैं करने की कोशिश कर रहा हूं वह यह जांचना है कि एक विशिष्ट एपीआई की निगरानी या झुका हुआ है और यदि ऐसा है तो मैं कोड के उस हिस्से को नहीं बुलाऊंगा।

मैं कैसे जांच करूं कि एक निश्चित एपीआई लगाया गया है या नहीं?

यह सी में लिखा एक विंडोज़ एप्लीकेशन है।

धन्यवाद।

0
कोई डीएलएल इंजेक्शन और कोई रिमोट थ्रेड निर्माण नहीं। वे 2 एपीआई विभिन्न चीजों को करने वाले कार्यक्रमों के अलग-अलग हिस्से में हैं। क्या आप जानते हैं कि एपीआई हुक की जांच कैसे करें?
जोड़ा लेखक Mr Aleph, स्रोत
@alk कोई भी। एक चुनें।
जोड़ा लेखक Mr Aleph, स्रोत
GetProcAddress और CreateProcess को अकेले AVs के लिए कोई झंडा नहीं उठाना चाहिए। क्या आप CreateRemoteThread का उपयोग कर रिमोट डीएल इंजेक्शन कर रहे हैं? यदि ऐसा है, तो आपके फ़ंक्शन का हस्ताक्षर मैलवेयर में से एक से मेल खाता है।
जोड़ा लेखक JosephH, स्रोत
"... जांचें कि कोई विशिष्ट एपीआई है ...", आप किस एपीआई के बारे में बात कर रहे हैं?
जोड़ा लेखक alk, स्रोत
और आप कैसे जांचेंगे कि आपके एपीआई मॉनीटर डिटेक्टर को झुकाया नहीं गया है?
जोड़ा लेखक Raymond Chen, स्रोत
यह जांचने का कोई भरोसेमंद तरीका नहीं है कि एपीआई को झुकाया गया है, क्योंकि जिस व्यक्ति ने एपीआई को लगाया है वह आपके एपीआई डिटेक्टर को भी लगा सकता है।
जोड़ा लेखक Raymond Chen, स्रोत

1 उत्तर

Win32 पर हुक का पता लगाने और/या जगह रखने के लिए कोई औपचारिक तरीके नहीं हैं ( SetWindowsHookEx() ( http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990 ) एट अल फ़ंक्शन जो केवल कार्यक्षमता के बहुत छोटे सेट को कवर करते हैं) ।

एक हुक का पता लगाने पर निर्भर करता है कि हुक कैसे लागू किया गया था।

एक हुक रखने के लिए दो लोकप्रिय तरीके हैं:

  1. आयात/निर्यात तालिका पैचिंग
  2. कोड ओवरराइटिंग

हुक रखने के लिए विभिन्न विधियों पर विवरण (पेशेवर/विपक्ष) के लिए कृपया यहां पढ़ने पर विचार करें http: //help.madshi .net/ApiHookingMethods.htm

हुकिंग की प्रत्येक विधि को पहचानने के लिए एक अलग दृष्टिकोण की आवश्यकता होती है।

उपरोक्त वर्णित हुक का पता लगाने के तरीकों के लिए कृपया http://"एपीएचकेक चेक एल्गोरिदम" के अंतर्गत देखें। www.security.org.sg/code/apihookcheck.html । इस पृष्ठ पर नमूने स्रोत उपलब्ध हैं, जिन्हें मैंने नहीं परीक्षण किया था।

1
जोड़ा
यही वह जानकारी है जो मुझे चाहिए। धन्यवाद!
जोड़ा लेखक Mr Aleph, स्रोत
ApiHookCheck एल्गोरिदम का लिंक अब और काम नहीं करता है। क्या कोई इसे कृपया एक अच्छा लिंक प्रदान कर सकता है?
जोड़ा लेखक Benny, स्रोत
@alk धन्यवाद, मुझे वह सवाल भी मिला। यदि यह आपके उत्तर में APIHookChecking एल्गोरिदम के समान है, तो आपने इसका उल्लेख किया है?
जोड़ा लेखक Benny, स्रोत
@ बेनी: यह शुरू करने का एक बिंदु हो सकता है: security.stackexchange.com/q/17904/36769
जोड़ा लेखक alk, स्रोत