Api unhooking

[ByteSurfer]

moin moin....
habe da mal wieder eine Frage.
Wie ja allen bekannt hooken die AV & FW gewisse funktionen der win api z.B. Winsock.ocx.
Gibt es hier eine möglichkeit das ganze zu unhooken, oder hat jemand eine erklärung das zu umgehen.

Gruß

 

[blub.txt]

vielleicht hilft es

 

[01]

Also ich denke, dass man da evtl. die Orignal Jump Adressen der Orginalfunktionen wissen und vergleichen müsste. Aber vlt. gibbet ja auch ne GetAllHooks()?

 

[ByteSurfer]

Danke euch zwei...

hat jemand sowas schon mal programmiert , oder sich in der richtung betätigt?

 

[CDW]

also IAT bzw. API-Calls im Usermode sollten von halbwegs aktuellen PFWs schon länger nicht mehr gehookt werden - denn diese Hooks sind relativ einfach zu umgehen.
Deshalb wird man sich wohl mit den Kernel-Hooks herumschlagen - eventuell hilft da die Suche/Recherche richtung Anti-Rootkits weiter.

 

[01]

Vielleicht solltest du uns mal konkret sagen, was du machen willst.

 

[ByteSurfer]

Also, was will ich machen...

ich versuche mir zuhause ein kleines programm zu schreiben mit dem ich auf meinen anderen PC zugreifen kann um Daten auszutauschen,
Problem ist die FW und derAV des Servers da die gewisse funktionen abfangen und mekkern.

Versuche gerade was kleines in vb 6.0 (nicht lachen)
greife auf die winsocks (mswinsck.ocx) und nutze die funktionen.

wie kann man die FW und den Av so umgehen das ich mein tool richtig nutzen und einsetzen kann?

 

[01]

Bei dem Rechner, der den Server miemt einfach eine entsprechende Ausnahme regel definieren und fertig. Auch professionelle Tools haben das "Problem", das muss aber durch den jeweiligen Admin ebend durch eine Ausnahmeregel gelöst werden.