Agar API tekshiriladimi yoki yo'qligini tekshirib ko'rmoqdamisiz?

Mening ilovamda ba'zi bir antiviruslarga yomon bo'lsa ham, uni yomon deb belgilashga olib keladigan GetProcAddress va CreateProcess kabi ba'zi APIlar ishlatiladi.

Men nima qilmoqchiman, muayyan API tekshiriladimi yoki tekshirilmaganmi yoki tekshirilmasligini tekshirib ko'rsangiz, u holda kodning o'sha qismini chaqirmayman.

Muayyan API-ning hoshiyalanganligini tekshirish uchun nima qilishim kerak?

Bu C tilida yozilgan Windows ilovasi.

Rahmat.

0
Hech qanday DLLni yuborish va hech qanday masofaviy ish zarrachalarini yaratish. Ushbu 2 API turli xil narsalarni bajaradigan dasturlarning turli qismlarida joylashgan. API kookini qanday tekshirishni bilasizmi?
qo'shib qo'ydi muallif Mr Aleph, manba
@alk har qanday. Biri tanlang.
qo'shib qo'ydi muallif Mr Aleph, manba
GetProcAddress va CreateProcess faqat AV uchun har qanday bayroqni ko'tarmasliklari kerak. CreateRemoteThread dan foydalanib, uzoqdan DLL kiritishingiz kerakmi? Agar shunday bo'lsa, vazifangizning imzosi zararli dasturlardan biriga mos kelishi mumkin.
qo'shib qo'ydi muallif JosephH, manba
"... muayyan API mavjudmi yoki yo'qligini tekshirib ko'ring ...", qaysi API (lar) haqida gapirasiz?
qo'shib qo'ydi muallif alk, manba
Sizning API monitor detektori sizni tekshirmaganligini qanday tekshirib ko'rasiz?
qo'shib qo'ydi muallif Raymond Chen, manba
API-ni ishga tushirgan shaxs sizning API detektori bilan bog'langan bo'lishi mumkinligi sababli, API ning bog'langanligini tekshirishning ishonchli usuli yo'q.
qo'shib qo'ydi muallif Raymond Chen, manba

1 javoblar

Win32-da kanca aniqlash va/yoki joylashtirish uchun rasmiy usullar mavjud emas ( SetWindowsHookEx() tashqari) ( http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990 ) va faqat juda kichik funksiyalar to'plamini o'z ichiga olgan funktsiyalar) .

Kanishni aniqlash kanca qanday qo'llanilganiga bog'liq.

Kanca o'rnatish uchun ikkita mashhur usul mavjud:

  1. Import/Export jadvalni yamoq
  2. Kodni yozib olish

Kancalarni joylashtirish uchun turli xil usullar bo'yicha batafsil ma'lumot (leksiyalar/kamchiliklar) uchun http: //help.madshi .net/ApiHookingMethods.htm .

Har bir kanca usuli uni aniqlash uchun boshqa usulni talab qiladi.

Yuqorida aytib o'tilgan ilgaklar aniqlash usullari uchun "ApiHookCheck Algoritm" ga qarang. http://www.security.org.sg/code/apihookcheck.html . Bu sahifada mavjud bo'lgan namunaviy manbalar mavjud, ular sinov qilmadi .

1
qo'shib qo'ydi
Bu men kerak bo'lgan ma'lumot. Rahmat!
qo'shib qo'ydi muallif Mr Aleph, manba
ApiHookCheck algoritmiga ulanish endi ishlamaydi. Kimdir bunga yaxshi bog'lanishni iltimos qila oladimi?
qo'shib qo'ydi muallif Benny, manba
Shukur, bu savolni ham topdim. Siz javob bergan APIHookChecking algoritmiga o'xshash bo'lsa, unda javobingiz bormi?
qo'shib qo'ydi muallif Benny, manba
@Benny: Bu boshlanishi kerak bo'lgan nuqta bo'lishi mumkin: security.stackexchange.com/q/17904/36769
qo'shib qo'ydi muallif alk, manba