Discussion :

[masterx_goldman]

Bonjour tout le monde,

Je veux écrire un code qui détecte le lancement d'un programme donné "MonProg.exe" et ça sans faire des vérifications périodiques avec des snapshots sur la liste des process qui tournent.

Je sais pas si les hooks peuvent répondre à ce besoin, si oui merci de me donner une indication sur la façon de faire car j'ai pas fait beacoup d'exemples sur les hooks, sinon y'a t-il un autre moyen ?

Merci pour vos idées !

[minnesota]

Salut,

Peut-être un hook de NtCreateProcess et NtCreateThread.

[sloshy]

Bonjour,
Je pense qu'un hook de la SSDT sur NtOpenProcess() (prototype) est suffisant dans 99% des cas.

Le principe est simple, a chaque appel de NtOpenProcess c'est ta fonction (MyNtOpenProcess par exemple) qui sera appelée.
La fonction MyNtOpenProcess est assez simple, tu va faire une condition afin de déterminer si on veut lancer "MonProg.exe" ou pas.
Si on veut lancer "MonProg.exe" tu retournes STATUS_ACCESS_DENIED
Si on veut lancer autre chose, tu appeles le vrai NtOpenProcess et tu retournes ce qu'il t'aura lui même retourner.
En alternative si tu veux comprendre jusqu'au bout, tu peux implémenter ton propre NtOpenProcess

Dans la pratique c'est déjà plus complexe. (si tu n'a jamais programme en ring 0). Si tu as des bases dans la programmation kernel, ce poste devrait t'aider en expliquant tout dans le détail.
Bonne chance a toi et n'hésite pas si tu as des questions.

[Neitsa]

Hello,

en kernel mode mieux vaut passer par PsSetCreateProcessNotifyRoutine(): http://www.osronline.com/ddkx/kmarch/k108_5lwy.htm

C'est documenté et ça ne risque pas de faire hurler les anti-rootkits

[sloshy]

Je vois que j'ai encore beaucoup a apprendre