[HaBo]

ByteSurfer · 17.05.07, 08:16

Hallo an alle Entwickler,
ich benutze ein Programm Namens RegProtec.

http://www.diamondcs.com.au/

Dieses Programm dient dazu die Registry zu überwachen, sodass sich kein anderes Tool, Programm oder Software ohne Wissen des Nutzer dort einisten kann.
Also wenn sich ein Programm eintragen will erscheint ein Pop Up und fragt den User.
"Zugrif zulassen Ja/Nein"

Wie wird sowas realisiert?
Welche Sprache wäre von Vorteil?
Nutze ich einen API Hook?
usw.

Bin völlig Ahnungslos in dem Aufbau der Umsetzung etc.

Gruß ByteSurfer

BlackSun1102 · 17.05.07, 09:51

Hi,

Ein API Hook wäre sicherlich die einfachste Methode dafür.
Sicherer wäre ein Filtertreiber, der die Registry IRPs abfängt und auswertet.

Aber warum willst du selbst so ein Tool schreiben, wenn dieses doch funktioniert?

Gruß Chris

Anzeige

- Anzeige -

ByteSurfer · 18.05.07, 08:14

Moin BlackSun1102,

mich interessiert lediglich die funktion die dahinter steckt.
Konnte bisher nicht rausfinden wie das ganze funktioniert.

Zitat:

Sicherer wäre ein Filtertreiber, der die Registry IRPs abfängt und auswertet

Kannst du mir das eventuell ein bißchen genauer erklären.Bin Über alle Quellen Infos Dankbar.
Vor allem in welcher Sprache realisiert man das (IRPs abfangen) bzw. API Hooks.
VB /C#? oder doch C/C++?

Mein Grundgedanke ist eigentlich mal eine Überlegung anzustreben, das es doch bessere Mittel und Möglichkeiten geben muss um seinen Rechner zu schützen
als AV/FW allgemein bieten und leisten!?
Je nach Aufwand und Sinn bzw. Nutzen kann man sicherlich auch Gedanken über eine Entwicklung anstreben...?
Aber diesen Absatz nur als Background Info betrachten, denn er liegt in weiter weiter Ferne...

Gruß Andy

BlackSun1102 · 18.05.07, 10:40

Hi,

Treiber entwickeln ist relativ schwer, zumal dein PC sich gleich mit einem Bluescreen meldet, wenn ihm irgendetwas nicht passt

Geschrieben werden Treiber normalerweise in C oder C++, da das NTDDK direkt einen Compiler dafür anbietet.
Das geht aber sicherlich auch in allen anderen Sprachen, wobei C# und Java hier außen vor bleiben, da sie kein Native Code erzeugen, sondern interpretiert werden.

In erster Linie benötigst du das NTDDK, da ist eigentlich alles dabei was du brauchst (Compiler, Doku, Header, Libraries, Beispiele)
Wobei du die Doku (fast) vergessen kannst, da diese sehr komplex und unübersichtlich ist. Ich habe die nur als Referenzwerk verwendet.

Hier ist eine Diplomarbeit (in Deutsch), die sich mit diesem Thema beschäftigt. Leider beschäftigt sie diese nur mit Windows NT 4.0, das Prinzip der NT-Treiber ist aber das gleiche geblieben.

Einen etwas Detailieren einstieg findest du im Buch Rootkits, wobei dieses die Treiber nur zweitranig behandelt.
Von diesem Buch gibt es übrigens auch eine Deutsche Übersetzung.

Mit dem NTDDK kannst du Treiber für Windows 2000, XP und Server 2003 entwickeln.
Wie das nun mit Vista ausschaut weiß ich leider nicht, ist schon knapp ein Jahr her, als ich mich damit beschäftigt habe.
Mittlerweile gibt es von Microsoft die Windows Driver Foundation, mit der habe ich mich allerdings noch nicht beschäftigt.

API Hooks wären da deutlich einfacher, glaub´s mir

Gruß Chris

ByteSurfer · 18.05.07, 15:16

hi,
Ok... soweit sogut und auch verstanden.

Vielleicht sollte man mal ein Projekt ins Leben rufen und ein Tool realisieren, was geringe Anforderungen erfüllt.

Vielleicht kommt man dann auch endlich von diesen ganzen Sicherheitswahn weg sowie der irrsinnigen Angebote an Sicherheitstools.

Mein Gedanke ist halt es gibt besser Mittel und Wege um das System zu schützen...

Danke für Deine Beiträge

Gruß Andy

Anzeige

- Anzeige -

17.05.07, 08:16	#1 (permalink)
ByteSurfer Registriert seit: 30.03.07 Likes: 17	WinApi Registry Anzeige Hallo an alle Entwickler, ich benutze ein Programm Namens RegProtec. http://www.diamondcs.com.au/ Dieses Programm dient dazu die Registry zu überwachen, sodass sich kein anderes Tool, Programm oder Software ohne Wissen des Nutzer dort einisten kann. Also wenn sich ein Programm eintragen will erscheint ein Pop Up und fragt den User. "Zugrif zulassen Ja/Nein" Wie wird sowas realisiert? Welche Sprache wäre von Vorteil? Nutze ich einen API Hook? usw. Bin völlig Ahnungslos in dem Aufbau der Umsetzung etc. Gruß ByteSurfer

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
C++ / Winapi / Mdi	eqw0uL	Code Kitchen	3	02.05.07 01:15
Schonwieder c++/WinAPI	eqw0uL	Code Kitchen	5	18.04.07 02:35
c++/winapi	eqw0uL	Code Kitchen	5	15.04.07 21:28
WinAPI Tutorial	Blackvirus	Code Kitchen	4	14.03.04 12:24
C++ Tuts zur WinAPI	Nornagest	Code Kitchen	2	19.10.01 00:57

17.05.07, 09:51	#2 (permalink)
BlackSun1102 Registriert seit: 13.09.06 Likes: 0	Hi, Ein API Hook wäre sicherlich die einfachste Methode dafür. Sicherer wäre ein Filtertreiber, der die Registry IRPs abfängt und auswertet. Aber warum willst du selbst so ein Tool schreiben, wenn dieses doch funktioniert? Gruß Chris

18.05.07, 10:40	#4 (permalink)
BlackSun1102 Registriert seit: 13.09.06 Likes: 0	Hi, Treiber entwickeln ist relativ schwer, zumal dein PC sich gleich mit einem Bluescreen meldet, wenn ihm irgendetwas nicht passt Geschrieben werden Treiber normalerweise in C oder C++, da das NTDDK direkt einen Compiler dafür anbietet. Das geht aber sicherlich auch in allen anderen Sprachen, wobei C# und Java hier außen vor bleiben, da sie kein Native Code erzeugen, sondern interpretiert werden. In erster Linie benötigst du das NTDDK, da ist eigentlich alles dabei was du brauchst (Compiler, Doku, Header, Libraries, Beispiele) Wobei du die Doku (fast) vergessen kannst, da diese sehr komplex und unübersichtlich ist. Ich habe die nur als Referenzwerk verwendet. Hier ist eine Diplomarbeit (in Deutsch), die sich mit diesem Thema beschäftigt. Leider beschäftigt sie diese nur mit Windows NT 4.0, das Prinzip der NT-Treiber ist aber das gleiche geblieben. Einen etwas Detailieren einstieg findest du im Buch Rootkits, wobei dieses die Treiber nur zweitranig behandelt. Von diesem Buch gibt es übrigens auch eine Deutsche Übersetzung. Mit dem NTDDK kannst du Treiber für Windows 2000, XP und Server 2003 entwickeln. Wie das nun mit Vista ausschaut weiß ich leider nicht, ist schon knapp ein Jahr her, als ich mich damit beschäftigt habe. Mittlerweile gibt es von Microsoft die Windows Driver Foundation, mit der habe ich mich allerdings noch nicht beschäftigt. API Hooks wären da deutlich einfacher, glaub´s mir Gruß Chris

18.05.07, 15:16	#5 (permalink)
ByteSurfer Themenstarter Registriert seit: 30.03.07 Likes: 17	hi, Ok... soweit sogut und auch verstanden. Vielleicht sollte man mal ein Projekt ins Leben rufen und ein Tool realisieren, was geringe Anforderungen erfüllt. Vielleicht kommt man dann auch endlich von diesen ganzen Sicherheitswahn weg sowie der irrsinnigen Angebote an Sicherheitstools. Mein Gedanke ist halt es gibt besser Mittel und Wege um das System zu schützen... Danke für Deine Beiträge Gruß Andy

[HaBo]

WinApi Registry