Cours sur l'api hooking

**bouazza92** · 15/03/2006, 17h15

Salut tous , je voudrais bien savoir s'il existe des cours sur l'api hooking , et si l'api hooking est aussi valable sous les systémes Unix .

Merci d'avance
Amicalement , Bouazza

mat.M · 15/03/2006, 18h18

Gnnéé c'est quoi l'API Hooking ?
Sous Unix il n'ya pas d'API en standard , c'est du C/C++ standard.
Sous Windows c'est extrêmement pointu à réaliser : je suppose que tu veuilles scruter quand une API d'une dll est appelée ?
Si tu peux trouver notamment le livre de Jeffrey Richter sur Windows NT ( pas ceux de .NET) le système des dll est expliqué

**bouazza92** · 16/03/2006, 09h05

Alors j'explique , moi et un copain sont en train de réaliser un antivirus et pour la protection en temps réel nous avons pensé à l'api hooking qui consiste à redéclarer les appels api d'un programme , et comme ça , nous modifierons l'appel d'execution d'un programme par un appel qui scanne le fichier voulant etre executé puis l'executer , s'il y a une autre méthode permettant d'effectuer un scan avec notre antivirus avant l'execution d'un programme , merci de le dire .

Cordialement , Bouazza .

**Herode** · 16/03/2006, 10h05

Hem... Voilà un "antivirus" qui a un comportement furieusement viral, dirait-on...

**bouazza92** · 16/03/2006, 10h09

S'il vous plait , pouvez vous me dire par exemple comment notre antivirus peut executer une fonction c++ scan_fichier(std::string nom_du_fichier) avant qu'un fichier veut s'executer ?
C'est trés important pour nous car un antivirus sans protection en temps réel n'est pas un antivirus !

Merci d'avance

**Aurelien.Regat-Barrel** · 16/03/2006, 10h37

C'est une possibilité, mais pas la meilleure et la plus robuste. Les antivirus installent généralement un driver filtre qui intercepte tous les accès au disque dur.
Tu peux jeter un oeil à detours:
http://research.microsoft.com/sn/detours/

**bouazza92** · 16/03/2006, 11h35

Mais WinPooch qui offre une protection en temps réel à ClamWIN est basé sur l'api hooking , et ClamAV peut utiliser la protection en temps réel sans WinPooch sous Unix , alors pourriez vous me donner un exemple en C++ qui affiche un message avec le bouton OK lorsqu'on essaie de lancer un programme et le nom du fichier voulant etre executé ?
Et moi je remplacerai l'affichage d'un message par ma fonction de scan .
NOTE : l'antivirus sera libre , voici le site : http://bouazza.chezdavid.ath.cx/

Merci d'avance .

**Aurelien.Regat-Barrel** · 17/03/2006, 00h26

L'API hooking c'est un vaste sujet.
http://www.internals.com/articles/apispy/apispy.htm
et ça peut pas être aussi fiable qu'un driver. Mais c'est plus simple, sans être trivial pour autant, loin de là.
Pourquoi ne pas étudier le code d'un antivirus libre déjà existant ?

**bouazza92** · 17/03/2006, 09h05

Pourquoi ne pas étudier le code d'un antivirus libre déjà existant ?

Il n'y a pas d'antivirus libre pour windows avec la protection en temps réel , winpooch est un antispyware libre qui permet de faire un scan avant d'executer un programme et tout ça en utilisant l'API HOOKING .

Merci pour le lien , mais pourriez vous aussi me donner un cours sur la technique utilisée sous Unix ( Linux , BSD ... ) pour la protection en temps réel ?

Merci d'avance .

**Aurelien.Regat-Barrel** · 17/03/2006, 10h02

Je ne l'a connais pas... Y'a des techniques de Hijacking, mais j'en sais pas grand chose.
PS: ici on veut bien donner un coup de main, mais pas jusqu'à donner des cours ou développer un soft, sous entendu cherche un peu

**bouazza92** · 20/03/2006, 12h09

Merci pour vos réponses , je pense que pour la premiére version de notre antivirus , on n'utilisera pas la désinfection et la protection en temps réel , mais dans la deuxiéme version , ça sera disponible .
Voici le site de notre projet : http://bouazza.chezdavid.ath.cx/

Cours sur l'api hooking

C++

Discussions similaires

Partager

Partager