elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Win32 API Hooking
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Win32 API Hooking  (Leído 2,727 veces)
nts94

Desconectado Desconectado

Mensajes: 25


Ver Perfil
Win32 API Hooking
« en: 9 Febrero 2012, 23:54 pm »

Hola a todos. Bueno, hace mucho que no me pasaba por el foro y puesto que la última  vez que lo hice solo provoque una extraña guerra relacionada con las BotNet's (BOTNETS sí, BOTNETS no) ;D he decidido compensar eso.

Bueno, aqui os traigo una implementacion MUY sencilla del tema del API hooking en Win32 (por lo que he leído, es parecida a la librería Detours de MS), pero esta bajo licencia GPL XD

Utiliza la técnica de la inyeccion DLL (en realidad la DLL debe inyectarse en el proceso que convenga) e inserta un FAR JMP al inicio de la API, por lo que afecta tambien a todo aquel proceso que se intente pasar de listo y llame a la API mediante GetProcAddress (al contrario que con la técnica del IAT).

Por el momento es facilmente detectable, pero tengo pensado:
--> Mejorar la forma en que se inyecta la DLL con GetThreadContext() y SetThreadContext() (en lugar de CreateRemoteThread())
--> Ocultar la DLL desde DllMain() modificando la PEB
--> Lo que se os ocurra XD

Código fuente: http://dl.dropbox.com/u/47594913/HookThemAll.rar

Como crear un rootkit by e0n: http://foro.elhacker.net/analisis_y_diseno_de_malware/querias_tutos_de_programacion_de_malware_pues_toma-t196251.0.html
Hooking HowTo: http://vx.netlux.org/29a/29a-7/Articles/29A-7.019

Nota: no sabía si ponerlo aqui, en el subforo de programacion en C, el de malware,...

Nota2: Acabo de leer la técnica VEH... brillante, aunque como todo, igualmente detectable (mediante VirtualQueryEx), menos conocida pero genial
« Última modificación: 11 Febrero 2012, 20:23 pm por nts94 » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Api Hooking en VB « 1 2 »
Programación Visual Basic
Freeze. 15 7,519 Último mensaje 18 Febrero 2008, 15:56 pm
por Freeze.
Api hooking with dll injection
Programación Visual Basic
ntaryl 5 2,566 Último mensaje 10 Julio 2008, 22:01 pm
por cobein
API Hooking (C++) « 1 2 »
Programación C/C++
HaX991 11 9,042 Último mensaje 12 Julio 2010, 18:20 pm
por Eternal Idol
Ayuda win32.beginupdateresource(), win32.updateresource(), no funciona.
.NET (C#, VB.NET, ASP)
krosty123 2 3,874 Último mensaje 6 Noviembre 2010, 04:10 am
por krosty123
El arte del API Hooking.
Análisis y Diseño de Malware
fary 5 4,804 Último mensaje 18 Enero 2016, 03:35 am
por zerointhewill
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines