Foro de elhacker.net

Hola a todos, bueno soy primerizo en este foro he estado viendo otros foros y creo que este es el indicado para hacer mi pregunta. Estoy viendo como funcionan los antivirus  y quiero tratar de hacer un filtro en los procesos(drivers) para poder averiguar cuando un proceso esta teniendo comportamiento inusual en el sistema, he buscado mucho en la red y casi no encuentro nada, he encontrado solo un tutorial introducción a la programación de drivers Hendirix pero quiero saber específicamente algo de lo que yo necesito como hacer filtro en los procesos?  Y así saber que archivo accedió al sistema.

 Estoy viendo en este foro un desarrollo de un antivirus en VB el cual me interesaba mucho pero había una persona que no estaba de acuerdo como se llamaba... asi Cold el no entendió  >:( que las personas de los foros desarrollan proyectos para aprender, es lo que quiero yo aprender mas . El moderador de este foro lo puso en su lugar   :xD (Eternal Idol) pero aun así no entendió pero que le vamos a hacer jaja.

Es muy dificil responder a tu pregunta en un solo post, ya que incluso si se te hiciese un resumen de algunas de las posibilidades, seria muy dificil que solo con eso puedas empezar.

Mi recomendacion es que leas Windows Internals y que tambien eches una ojeada a varios de los articulos que hay en codeproject como este (http://www.codeproject.com/KB/system/hooksys.aspx) y ya eso te va a ir llevando a recopilar toda la informacion que necesitas.

Cualquier duda aqui estamos, pero ten en cuenta que tiene que ser algo un poco mas especifico. Preguntar como hacer un filtro de procesos es casi como preguntar como hacer un sistema operativo, formas las hay muchas.

Saludos!

Muchas gracias por responder creí que nadie lo iba a hacer, me parase muy bien, voy a empezar a leer mas artículos de este tipo y si tengo alguna pregunta se los hago saber para que me ayuden, la verdad pues estaba un poco desorientado :-[ por eso hice ese tipo de pregunta pero con tu respuesta ya me estoy dando una idea gracias de nuevo ;D. 

Los hooks son el ultimo recurso y en tu caso lo mejor para lo que buscas en modo Kernel es hacer un minifilter:

File System Minifilter Drivers (http://msdn.microsoft.com/en-us/library/windows/hardware/ff540402%28v=vs.85%29.aspx)

Instala el WDK y en \filesys\miniFilter\scanner tenes un ejemplo  ::)

Ok gracias por la informacion leere un poco esto de minifilter haber que puedo hacer, luego les digo como me fue, tambuen estoy viendo unos metodos de como hookear APIs.

De nadas  ::)

Depende del sistema en el que programes. Porque cada sistema tiene sus propios SDK para el control a bajo nivel, para la programación de Drivers.

Windows tiene el WDK y con Linux puedes programar a bajo nivel sin nada extra, pero tiene muchas vueltas, por eso también existe un SDK para este.

A pesar de ser un tema bastante dificil de manejar hay mucha info (http://www.google.com.ar/#hl=es-419&cp=20&gs_id=1l&xhr=t&q=programacion+drivers&pf=p&sclient=psy-ab&safe=off&site=&source=hp&pbx=1&oq=programacion+drivers&aq=f&aqi=&aql=&gs_sm=&gs_upl=&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=a3d30ef8cf6c38c0&biw=1022&bih=606l) por ahí

Ok voy a seguir probando con este tema que es muy complicado y mas cuando no tienes por donde empezar pero con la informacion que me estan dando podre hacer algo gracias.