Мониторинг API

Тема в разделе "WASM.WIN32", создана пользователем _DEN_, 15 авг 2004.

  1. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    Какое API юзается для написания таких програм как FileMon и RegMon. Проги может и полезные, но совершенно не адаптированные для хакинга. Про какое API читать для организации сабжа?
     
  2. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
  3. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    1.4 метра :dntknw:((( Я это по своей линии неделю сливать буду ((



    Нельзя ли носом в MSDN ткнуть?
     
  4. Maxim cOOlick

    Maxim cOOlick New Member

    Публикаций:
    0
    Регистрация:
    2 авг 2004
    Сообщения:
    2
    Адрес:
    Russia - Родина Ильича
    я тоже интересуюсь етим вапросам, ща качаю...
     
  5. krid24

    krid24 Member

    Публикаций:
    0
    Регистрация:
    17 авг 2004
    Сообщения:
    88
    А они собст-но никаких спец. API и не юзают. Они юзают два драйвера - VxD и SYS, которые и перехватывают системные вызовы для реестра и файлов в Win9x и NT соответственно.
     
  6. Maxim cOOlick

    Maxim cOOlick New Member

    Публикаций:
    0
    Регистрация:
    2 авг 2004
    Сообщения:
    2
    Адрес:
    Russia - Родина Ильича
    krid24

    да действительно..
     
  7. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    Мужики, поделитесь! Я не думаю что monitor framework 1.4 метра весит??? В чем суть?
     
  8. Max

    Max Member

    Публикаций:
    0
    Регистрация:
    22 май 2003
    Сообщения:
    192
    _DEN_

    лови, чиста сырцы файлмона.

    компилится ес-но не будет, т.к. все "ненужное" отсутствует :)

    з.ы. я не помню, какую версию я отправлял Володе для выкладке на сайте, вроде как эту же...

    [​IMG] 1570380160__filemon.rar
     
  9. _DEN_

    _DEN_ DEN

    Публикаций:
    0
    Регистрация:
    8 окт 2003
    Сообщения:
    5.383
    Адрес:
    Йобастан
    Ну чиста спасибо, братэлла, сразу видно, наш пацан, братва в долгу не останеца. :)
     
  10. VOOrDOOluck

    VOOrDOOluck New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2004
    Сообщения:
    51
    Адрес:
    Ukraine
    на основе filemon можно сделать хуки или на мониторинге все заканчивается
     
  11. PavPS

    PavPS New Member

    Публикаций:
    0
    Регистрация:
    24 фев 2004
    Сообщения:
    109
    Адрес:
    Russia
    VOOrDOOluck всё можно. Крутая вешь. Это вообще учебное пособие целое.
     
  12. VOOrDOOluck

    VOOrDOOluck New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2004
    Сообщения:
    51
    Адрес:
    Ukraine
    PavPS

    Ну как я понял та главная функция что там используют для мониторинга (присоединяет наш драйвер к другому)посылает вначале нам ирп а потом ведь всеравно отдаст его нужному драйверу.Хук получится только если мы сможем не дать настоящему драйверу получить этот ирп или изменим ирп на что то безобидное.поэтому вопрос: главная функция всегда отдает ирп настоящим дровам или мы можем недопустить этого
     
  13. krid24

    krid24 Member

    Публикаций:
    0
    Регистрация:
    17 авг 2004
    Сообщения:
    88
    Может и можем, тока зачем это монитору? Ведь монитор на то и монитор, чтобы только мониторить :))
     
  14. Four-F

    Four-F New Member

    Публикаций:
    0
    Регистрация:
    31 авг 2002
    Сообщения:
    1.237
    [ VOOrDOOluck: главная функция всегда отдает ирп настоящим дровам или мы можем недопустить этого ]



    Если это файервол или антивирусный сканер, то могут и не отдавать. Если монитор, то обязана отдавать. В общем случае можно делать с IRP всё что угодно.
     
  15. VOOrDOOluck

    VOOrDOOluck New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2004
    Сообщения:
    51
    Адрес:
    Ukraine
    krid24

    монитор это хорошо но мне интересно во что же его можно развить.->Если это файервол или антивирусный сканер, то могут и не отдавать

    Four-F

    Как такое возможно.Направте на путь.
     
  16. Four-F

    Four-F New Member

    Публикаций:
    0
    Регистрация:
    31 авг 2002
    Сообщения:
    1.237
    Например, все операции по открытию файла, переименованию, изменению атрибутов, листанию каталога и т.п. сводятся к формированию определенного IRP и посылке его нужному девайсу. Например, если ты не хочешь, чтоб пользовались первым флопом, то ставишь фильтр на \Device\Floppy0. И все IRP (ну может не всё, а какое-то подмножество), которые сначала будут влетать в фильтр, завершаешь с соответствующим кодом ошибки.
     
  17. VOOrDOOluck

    VOOrDOOluck New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2004
    Сообщения:
    51
    Адрес:
    Ukraine
    Four-F

    Так что же получается.Если я верну код ошибки то оригинальному драйверу обработчику ирп не дойдет? Весело,ничего не скажеш.
     
  18. krid24

    krid24 Member

    Публикаций:
    0
    Регистрация:
    17 авг 2004
    Сообщения:
    88
    А с реестром еще веселее :). Система ваще по нескольку раз в секунду туда залезает.

    В regmon'е, кстати другой прынцып перехвата - замена точек входа родных native фнкций на свои. Адреса родных хранятся в системной таблице (ее адрес лежит в переменной, котрую экспортирует ntoskrnl, т.е. драйверам она доступна). И можно заменить любую native функцию на свою. Регмон запоминает адреса родных (тех, которые для реестра) и в конце каждой своей вызывает родную. А перед завершением (или при остановке мониторинга) все восстанавливает.
     
  19. VOOrDOOluck

    VOOrDOOluck New Member

    Публикаций:
    0
    Регистрация:
    12 июл 2004
    Сообщения:
    51
    Адрес:
    Ukraine
    krid24

    Помоги.Че я делаю не так.Хочу попробовать хук как в регмоне. Но компилятор говорит что не могу преобразовать из PVOID в "указатель на функцию".(в HOOK_SYSCALL->InterlockedExchange)