|
#1
|
||||
|
||||
Перехват API
интересуют:
1) наиболее эффективные способы перехвата вызовов API функций.(чтение/запись в реестр, создание-убийство процессов). желательно универсальные для всех процессов, почитал про сплайсинг, но что-то мне кажется это не совсем то, т.к. так в каждый процесс по отдельности записываются новые адреса. возможно есть более универсальные и эффективные способы, вроде хуков? не? 2) способы максимальной защиты приложения от закрытия и вмешательства в него. принимаются так же варианты с созданиями служб и драйверов. желательно чтобы имея права админа можно было сделать так, чтобы данный процесс/сервис/драйвер стартовал при старте вин с админскими правами и работал 24/7, отслеживая и действия юзера, и вообе всех, не имеющего таких прав. 3) реально ли вызывать окно UAC со своими параметрами оповещений и обработкой нажатия "да" или "нет"? если да - то как ? |
#2
|
||||
|
||||
возможно, я многого ещё не понимаю в этой теме, но есть идея создать нечто вроде небольшой системы защиты для себя.
отслеживать изменения в реестре/файловой системе/процессах и разрешать/запрещать их вносить в тот самый момент вызова соответствующих api функций. несмотря на то что сижу я сейчас через user'a, все же не доверяю иногда тому что запускаю. т.к. сами знаете что криптануть вирь и склеить с полезной прогой и подсунуть можно проще простого, но вот если отслеживать действия этого виря и запрещать ему делать что он хочет - уже больше шансов не пустить его в систему. если все сделать как я примерно описал в первом посте - то мне кажется отпадет надобность в антивирусах, которые иногда и пропускают те самые моменты когда вирь пытается прожить дольше и прописаться в автозапуск или "заразить" другой файл, который уже например есть в автозапуске. |
#3
|
||||
|
||||
Во первых: Это давно уже сделано до вас, надо только поискать..
Во вторых: Почти любой антивирус+брандмауэр отлавливает все нужные вам события (особенно связанные с Интернетом). Помогаю за Спасибо Последний раз редактировалось v1s2222, 27.05.2011 в 21:00. |
#4
|
||||
|
||||
Цитата:
мне нахер не нужен антивирус потому что он стоит денег больших и не всегда оправдывает надежд и часто тупо нагружает систему, а с недавних пор я не пиратствую =) |
#5
|
||||
|
||||
Не буду разводить дискуссию, но есть много бесплатных не плохих антивирусов, которые все отлавливают не хуже каспера. По теме: ответы на ваши вопросы есть в той ссылке. Если чего-то конкретно не получается - пишите что.
Помогаю за Спасибо |
#6
|
||||
|
||||
NekitoSSSS, структуиройте мысли (разбить по полочкам, пункам). Иначе то месиво, что было сказано, мне хочется оозначить как флуд.
Некоторые программисты настолько ленивы, что сразу пишут рабочий код. Если вас наказали ни за что - радуйтесь: вы ни в чем не виноваты. Последний раз редактировалось Aristarh Dark, 27.05.2011 в 23:13. |
#7
|
||||
|
||||
Aristarh Dark, ок. перефразирую вторую часть вопроса из первого поста:
где мне можно найти исходник сего чудного драйвера, который из этого примера http://www.delphisources.ru/pages/so...protector.html ? |
#9
|
||||
|
||||
Bargest, КЭП?! внутри архива исходник лишь той гуевской части софта которая подгружает ProtectDriver.sys для защиты себя. но исходника этого драйвера там нет.
|
#10
|
|||
|
|||
Цитата:
|
#11
|
|||
|
|||
Автору экзампла писать пробовал? zorkovigor@mail.ru
|
#12
|
||||
|
||||
сразу же написал, как только нашел этот исходник. молчит =(
|
#13
|
|||
|
|||
Цитата:
В гугле туева хуча примеров перехвата NT функций в драйвере, плохо искали madCodeHook попробуйте http://www.madshi.net/index.htm P.S. А вообще не советую пользовать этот драйвер, там довольно много ошибок, большая вероятность BSOD Последний раз редактировалось Zorkov Igor, 06.06.2011 в 15:07. |
#14
|
||||
|
||||
Zorkov_Igor, о_О поделитесь пожалуйста исходником своего драйвера.
|
#15
|
|||
|
|||
Zorkov_Igor, о_О поделитесь пожалуйста исходником своего драйвера.
Последний раз редактировалось Zorkov Igor, 13.06.2011 в 19:29. |