Zitat:
|
nd was kann man jetzt dagen tun?
|
naja, mittels eigener Hooks die Routinen, die zum Injecting genutzt werden, überwachen - oder gleich in den Kernel einsteigen. K.A wie ZA es inzwischen macht, aber Tiny PFW hatte noch "vor kurzem" die ApiHookingMethode drin - sie injezierte in jeden Process eine eigene DLL und hookte die gefährlicheren, so dass sie gefiltert werden konnten. Natürlich konnte das wiederum mit ein bisschen Code umgangen werden *räusper*
http://www.google.com/search?hl=de&i...che&lr=lang_de
Was Kernelhooking angeht: die entsprechenden Treiber müssten ganz vorne "mit dabeisein" . Hat man dabei eine Kleinigkeit übersehen oder falsch implementiert (oder MS verändert bei einem Update etwas an der Struktur oder oder) leidet die Stabilität des Systems darunter.