امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
هوک کردن پیغام های ارسالی بین پنجره ها
نویسنده پیام
godvb غایب
مدیر بازنشسته بخش نفوذ و امنیت
*****

ارسال‌ها: 430
موضوع‌ها: 77
تاریخ عضویت: اسفند ۱۳۸۶

تشکرها : 886
( 1338 تشکر در 343 ارسال )
ارسال: #12
RE: هوک کردن پیغام های ارسالی بین پنجره ها
(۲۱-تير-۱۳۹۲, ۱۴:۲۴:۴۴)sadeghpc نوشته است: یه جایی خوندم که آنتی ویروس ها با معرفی خودشان به عنوان یک برنامه مهم به سیستم عامل باعث می شوند که سیستم عامل از آنها محافظت کند این حرف درست است؟
نقل قول: این نوع هوک میشه گفت ابتدایی هست و راحت میشه با فراخوانی داینامیک توابع بی تاثیر نمود.
شما پس چه نوع هوکی را پیشنهاد میکنید تا بروم روش کار کنم(یک تابع را می خواهم هوک کنم) لطفا):At

میشه بگید کجا خوندین و منبع تون چیه؟

آنتی ویروس ها خودشون یه ماژل بعنوان Self-Defense دارند. دوست عزیز شماهم عجله نکنین، هنوز پله اول رو برنداشتین چطوری میخایین به پشت بام برسین؟؟؟ قدم به قدم. به نظرم دلیل اصلی این فرم ها هم اینه که دوستان که میخان راهی رو برن از تجربیات دیگران استفاده کنند تا سریعتر پیشرفت کنند وگرنه اگر شماهم همون سعی و خطایی و وقتی که دیگران گذاشتن رو بزارین که تقریبا میشه گفت درجا زدن!

من پیشنهاد میکنم کرنل Ring0 کارکنین که میتونین هوک های همون سطح رو هم داشته باشین بعضی هوک ها در این سطح :
  • SSDT
  • IDT
  • IRPs
  • etc.

آنتی ویروس ها هم بحث کاملا جداست که در Kernel mode درایورهای خودشون رو نصب میکنن و هوک ها هم انجام میدن. میبینین که بازم رسیدم به حرف جناب lord_viper عزیز.

(۲۰-تير-۱۳۹۲, ۱۰:۰۵:۱۵)lord_viper نوشته است: شما برای درک این مسایل نیاز به یک سری پیش زمینه دارید
1.طرز کار سیستم عامل ویندوز مثل مدیریت حافظه و تخصیص اون(پروسس و ترد چی هستن چگونه تولید واجرا میشن و چگونه مدیریت میشن) و اینکه لودر ویندوز چطور کار میکنه و چگونگی روند اجرای یک برنامه
2.اشنایی با ساختار فایلهای PE
3.اشنایی با زبان اسمبلی

شما وقتی زبان C/C++ رو پاس نکردین و یاد ندارین چطور میخایین درس ساختمان داده رو بردارین و کدنویسی های اون درس رو انجام بدین و پاس هم کنین، پس پیش نیاز ها رو یاد بگیرین ادامه خودتون یاد میگیرین.

همه چیز یک راهی داره بعنوان مثال توی RCE (یا Reverse Code Engineering یا راحت بگم همون کرک خودمون) شما با ساختار فایل های PE آشنا میشین، میتونین با آنالیز بدافزارها با همین تکنیک های هوک و Injection ها آشنا بشین. راه زیاد برای رسیدن به این اهداف هست، خودتون باید مشخص کنین از کدوم راه میخایین برین.


بحث تاپیک داره با عنوان تاپیک تفاوت پیدامیکنه وبحث های دیگری عنوان میشه، جهت جلوگیری از سردرگمی کاربران لطفا مابقی سوالات رو در تاپیک هایی با عناوین مناسب ادامه بدین

آنچه توانسته ایم انجام دهیم، لطف پرودگار بوده است.

XMen For Ever
(آخرین ویرایش در این ارسال: ۲۱-تير-۱۳۹۲, ۱۶:۲۴:۱۴، توسط godvb.)
۲۱-تير-۱۳۹۲, ۱۴:۴۱:۴۶
ارسال‌ها
پاسخ
تشکر شده توسط : sadeghpc, babyy, lord_viper
lord_viper غایب
مدیر کل انجمن
*****

ارسال‌ها: 3,949
موضوع‌ها: 352
تاریخ عضویت: بهمن ۱۳۸۴

تشکرها : 5193
( 9875 تشکر در 2650 ارسال )
ارسال: #13
RE: هوک کردن پیغام های ارسالی بین پنجره ها
(۲۱-تير-۱۳۹۲, ۱۴:۲۴:۴۴)sadeghpc نوشته است: شما پس چه نوع هوکی را پیشنهاد میکنید تا بروم روش کار کنم(یک تابع را می خواهم هوک کنم) لطفا):At
انتی ویروسها از هوکهای سطح کرنل مانند ssdt استفاده میکنند که با استفاده از درایور انجام میشه شما برای شروع میتونین از هوکهای سطح یوزر مثل relative jump hook استفاده کنید
نقل قول: سیستم عامل وقتی یک برنامه اجرا میشه یک فضایی از رم رو بهش اختصاص میده و با استفاده از یک سری الگوریتم تا 2 گیگ فضای مجازی(فضای ادرس دهی)برای اون پروسه ایجاد میکنه
فکر کنم سیستم عامل کلا 2 برابر حافظه رم به عنوان حافظه مجازی در نظر میگیرد.
[/quote]
خیر سیستم عامل هیچ گاه 2 برابر حافظه رم برای حافظه مجازی ایجاد نمیکنه
سیستم عامل برای هر پروسه حداکثر 4 گیگ( 32^2)فضای مجازی ایجاد میکنه 2 گیگ برای خود برنامه 2 گیگ برای کرنل البته بعضی برنامه ها مثل sql server و active directory برای بهینه سازی بهتر میتونن به جای 2 گیگ تا 3 گیگ فضای ادرسی رو از 4 گیگ در اختیار داشته باشند

توضیحات بیشتر
http://blogs.technet.com/b/markrussinovi...55406.aspx

[تصویر:  xshon.png]
از آن نماز که خود هیچ از آن نمی فهمی خدا چه فایده و بهره اکتساب کند
تفاخری نبود مر خدای عالم را که چون تو ابلهی او را خدا حساب کند
۲۲-تير-۱۳۹۲, ۱۰:۰۲:۰۶
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : babyy, sadeghpc, godvb


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS