Título: Como puedo Unhookear las APis de user32.dll? Publicado por: W0lFy en 31 Diciembre 2009, 13:32 pm Bueno pos esa es mi duda . Un saludo!
Título: Re: Como puedo Unhookear las APis de user32.dll? Publicado por: Hendrix en 31 Diciembre 2009, 13:45 pm Hace tiempo hice un programita en C que hacia esto mismo (https://foro.elhacker.net/seguridad/hook_detector_by_hendrix-t221586.0.html). El método que usé fue el siguiente:
Este método solo funciona si el primer opcode de la instrucción es un salto, en otros casos no funcionaría. Ahora te toca a ti codear esto :) Un Saludo :) Título: Re: Como puedo Unhookear las APis de user32.dll? Publicado por: Karcrack en 31 Diciembre 2009, 14:44 pm Hendrix, no seria mas efectivo comparar los primeros 20bytes del API supuestamente hookeada directamente? Envez de buscar un salto? Ya que hay mas formas de saltar que con un JMP absoluto...
Si no me equivoco Steve (de HackHound) hizo un codigo que hacia esto en C, comparaba los primenos n Bytes en memoria del API con los mismo bytes que tenia el API en el disco duro... (recorriendo la EAT, etc...) Título: Re: Como puedo Unhookear las APis de user32.dll? Publicado por: ntaryl en 1 Enero 2010, 00:44 am Happy new year
Sandsprite have a nice tool Hook explorer u will see interesting code Título: Re: Como puedo Unhookear las APis de user32.dll? Publicado por: Hendrix en 1 Enero 2010, 17:18 pm Hendrix, no seria mas efectivo comparar los primeros 20bytes del API supuestamente hookeada directamente? Envez de buscar un salto? Ya que hay mas formas de saltar que con un JMP absoluto... Si no me equivoco Steve (de HackHound) hizo un codigo que hacia esto en C, comparaba los primenos n Bytes en memoria del API con los mismo bytes que tenia el API en el disco duro... (recorriendo la EAT, etc...) Bueno, yo lo hacia así, hay algunas apis que por defecto tienen un salto en su primer opcode y mi programa lo detectaba como hook, pero al repararlo quedaba igual, pero bueno... Un Saludo :) Título: Re: Como puedo Unhookear las APis de user32.dll? Publicado por: YST en 1 Enero 2010, 17:59 pm Lo que no se es si esto funciona con apis hookeadas desde un driver , me podrias contestar eso Hendrix ?
Salu2 Gracias Título: Re: Como puedo Unhookear las APis de user32.dll? Publicado por: Hendrix en 1 Enero 2010, 21:54 pm Lo que no se es si esto funciona con apis hookeadas desde un driver , me podrias contestar eso Hendrix ? Salu2 Gracias El modo de Hooking es diferente, ya que mi aplicación repara una modificación del código de la API del proceso, en modo kernel, lo que se hookea es la SSDT. Pero bueno, si se hookea alguna función de algún otro driver o alguna IOCTL si se funcionaria este mismo método para reparar la modificación. Un Saludo :) Título: Re: Como puedo Unhookear las APis de user32.dll? Publicado por: W0lFy en 4 Enero 2010, 14:33 pm muy bueno probare... ya posteare con lo ocurrido.. Mil Gracias!
|