[HaBo]

Xalon · 16.06.06, 20:52

Hier der Link:
http://wiki.hackerboard.de/index.php/Windows_API

Xalon

P.S: Danke an Gulliver fürs Probelesen und an NeonZero,dafür das er es ins Wiki gestellt hat.

TjP · 16.06.06, 21:56

Vielen Dank!

p-Logic · 16.06.06, 22:50

Wirklich gut geworden!

Das einzige, das mich etwas verwirrt hat, war:

Zitat:

...ich diese Methode auch einem IAT-Hook* vorziehe.
[...]
*In der Import Address Table sind die Adressen zu sämtlichen API-Funktionen im Programm hinterlegt.

Ich fänds hier passender, wenn der Kommentar in Klammern dahinter stehen würde, da der Text nicht formatiert ist, aber ist mehr oder weniger egal

Ich würd mich über mehr Tuts dieser Art freuen.

blobbo · 16.06.06, 23:41

Wow sehr gut

Sehr interessant!
Werds wohl morgen nochmal lesen aber ist sehr gut gemacht.

Und was kann man jetzt dagen tun?
Das würde mich noch sehr interessieren!
Bzw wie kann den ein gut geschriebener Trojaner dann überhaupt noch gefunden werden?

adrian90 · 17.06.06, 01:11

Im abgesicherten Modus oder mit Knoppix. Der Trojaner oder seine Schutzfunktion darf einfach noch nicht gestartet worden sein. Du kannst auch die Festplatte in einen anderen Computer einbauen.

Um da zu programmieren, empfehle ich, VMWare oder ähnliches zu verwenden, da sonst am Anfang vermutlich dauernd ein bisschen der Computer abstürzt.

**CDW** · 17.06.06, 01:13

Zitat:

nd was kann man jetzt dagen tun?

naja, mittels eigener Hooks die Routinen, die zum Injecting genutzt werden, überwachen - oder gleich in den Kernel einsteigen. K.A wie ZA es inzwischen macht, aber Tiny PFW hatte noch "vor kurzem" die ApiHookingMethode drin - sie injezierte in jeden Process eine eigene DLL und hookte die gefährlicheren, so dass sie gefiltert werden konnten. Natürlich konnte das wiederum mit ein bisschen Code umgangen werden *räusper* http://www.google.com/search?hl=de&i...che&lr=lang_de

Was Kernelhooking angeht: die entsprechenden Treiber müssten ganz vorne "mit dabeisein" . Hat man dabei eine Kleinigkeit übersehen oder falsch implementiert (oder MS verändert bei einem Update etwas an der Struktur oder oder) leidet die Stabilität des Systems darunter.

Xalon · 17.06.06, 11:23

Außerdem kann man testen ob das erste Byte einer Funktion 0xE9 ist

Klappt zwar nicht immer aber immerhin.

Xalon

heinzelJacKy · 17.06.06, 12:18

also erstmal, super tut is gut gelungen, erklärt den themenbereich recht ausfuehrlich.. wobei ich mir vorstellen kann, dass fuer nicht-c++-programmierer recht undurchsichtig ist, da ja alles auf deinem code aufbaut
was ich noch anmerken wollte: fuer die befehlslänge kann man auch nen length disassembler benutzen, den man ins progg einbauen kann und der die opcodes/opcodelängen liefert, die am anfang der gehookten funktionen stehen, dann spart man sich das gesocks mit ollydbg und muss die längen nicht hardcoden, was sowieso leicht zu problemen fuehrt, wenn die funktionen bei verschiedenen win-versionen unterschiedlich beginnen (vor allem bei kernel-hooks is da schnell mal die kacke am dampfen..)
hab length-disassembler allerdings bis jetz nur auf assembler gesehen, diverse viren/rootkits benutzen die ja auch (-->LDE32)
ansonsten super arbeit!

mfg

Xalon · 17.06.06, 16:35

Schön das es euch gefällt

Zum length disassembler:
Das wär eigentlich auch kein Problem sowas selber zu Coden man muss dem Programm nur
sagen welcher Befehl wie lang ist

Xalon

**Mackz** · 17.06.06, 16:40

Respekt! *thumbs up*

Xalon · 17.06.06, 20:44

Sucht ihr noch nen Artikel für euer HaboMagazin?

**Mackz** · 18.06.06, 13:33

Zitat:

Original von Xalon

Sucht ihr noch nen Artikel für euer HaboMagazin?

Haben wir darüber nicht neulich schonmal im IRC gesprochen? Oder war das jemand anderes?

Mit dem Mag habe ich nichts zu tun, dafür wende dich bitte mal an yp oder tcr (PN oder Mail oder im IRC) So wie ich das neulich verstanden habe, ist eine weitere Ausgabe das Mags allerdings fraglich, aufgrund zu wenig Artikel/Interesse.

Pers. würde ich es begrüßen, wenn enstpr. Artikel im Wiki veröffentlicht werden.

18.06.06, 14:26

[OT]

Zitat:

weitere Ausgabe das Mags allerdings fraglich, aufgrund zu wenig Artikel/Interesse

Vielleicht auch etwas wegen mangelnder Transparanz und fehlender Struktur?

Imho wuerde ein solcher Artikel das ganze mal um 200% aufwerten.

mfg

Xalon · 18.06.06, 15:02

Jap ins Wiki werd ichs stellen sobal ich Zeit dazu hab

Xalon

18.06.06, 21:01

Hab zwar mit Windows nichts zu tun aber trotzdem guter Text

Zitat:

Imho wuerde ein solcher Artikel das ganze mal um 200% aufwerten.

Ack!

Umfrageergebnis anzeigen: Ein HowTo zum API-Hooking?
Klar,ich werde es aufjedenfall lesen!	105	89,74%
Knnst du gerne machen,werds aber warscheinlich nicht lesen!	5	4,27%
Unsinn,man braucht dazu kein HowTo.	6	5,13%
Bitte nicht,wer weiß was Kiddies damit anstellen?!	1	0,85%
Multiple-Choice-Umfrage. Teilnehmer: 117. Sie dürfen bei dieser Umfrage nicht abstimmen

17.06.06, 16:40	#25 (permalink)
Mackz Administrator Registriert seit: 02.10.01 Karma: 31	Respekt! thumbs up __________________ RL sux big time... auch 2010! Deleting pr0n is like killing your best friend [HaBo] bei Facebook - Werde Fan

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Inline Hooking	Schurke	(In)security allgemein	5	03.05.09 13:44
Dll Hooking über Api Hook	Schurke	Code Kitchen	5	11.03.09 16:38
zum Hooking	Schurke	Code Kitchen	4	07.06.08 13:48
Seite über Debian ! Interesse vorhanden ?	Dawen	Linux/UNIX	8	29.05.05 22:17
Frage aus Interesse bzgl. ME-Bootfehler	non	Windows	2	03.09.03 19:09

16.06.06, 20:52	#16 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Karma: 11	Hier der Link: http://wiki.hackerboard.de/index.php/Windows_API Xalon P.S: Danke an Gulliver fürs Probelesen und an NeonZero,dafür das er es ins Wiki gestellt hat.

16.06.06, 21:56	#17 (permalink)
TjP Registriert seit: 06.02.06 Karma: 9	Vielen Dank!

16.06.06, 23:41	#19 (permalink)
blobbo Registriert seit: 12.04.06 Karma: 8	Wow sehr gut Sehr interessant! Werds wohl morgen nochmal lesen aber ist sehr gut gemacht. Und was kann man jetzt dagen tun? Das würde mich noch sehr interessieren! Bzw wie kann den ein gut geschriebener Trojaner dann überhaupt noch gefunden werden?

17.06.06, 01:11	#20 (permalink)
adrian90 Registriert seit: 06.04.05 Karma: 11	Im abgesicherten Modus oder mit Knoppix. Der Trojaner oder seine Schutzfunktion darf einfach noch nicht gestartet worden sein. Du kannst auch die Festplatte in einen anderen Computer einbauen. Um da zu programmieren, empfehle ich, VMWare oder ähnliches zu verwenden, da sonst am Anfang vermutlich dauernd ein bisschen der Computer abstürzt.

17.06.06, 11:23	#22 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Karma: 11	Außerdem kann man testen ob das erste Byte einer Funktion 0xE9 ist Klappt zwar nicht immer aber immerhin. Xalon

17.06.06, 12:18	#23 (permalink)
heinzelJacKy Registriert seit: 11.09.05 Karma: 9	also erstmal, super tut is gut gelungen, erklärt den themenbereich recht ausfuehrlich.. wobei ich mir vorstellen kann, dass fuer nicht-c++-programmierer recht undurchsichtig ist, da ja alles auf deinem code aufbaut was ich noch anmerken wollte: fuer die befehlslänge kann man auch nen length disassembler benutzen, den man ins progg einbauen kann und der die opcodes/opcodelängen liefert, die am anfang der gehookten funktionen stehen, dann spart man sich das gesocks mit ollydbg und muss die längen nicht hardcoden, was sowieso leicht zu problemen fuehrt, wenn die funktionen bei verschiedenen win-versionen unterschiedlich beginnen (vor allem bei kernel-hooks is da schnell mal die kacke am dampfen..) hab length-disassembler allerdings bis jetz nur auf assembler gesehen, diverse viren/rootkits benutzen die ja auch (-->LDE32) ansonsten super arbeit! mfg

17.06.06, 16:35	#24 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Karma: 11	Schön das es euch gefällt Zum length disassembler: Das wär eigentlich auch kein Problem sowas selber zu Coden man muss dem Programm nur sagen welcher Befehl wie lang ist Xalon

17.06.06, 20:44	#26 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Karma: 11	Sucht ihr noch nen Artikel für euer HaboMagazin?

18.06.06, 15:02	#29 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Karma: 11	Jap ins Wiki werd ichs stellen sobal ich Zeit dazu hab Xalon

[HaBo]

[HowTo] Api-Hooking -- Interesse?