Discussion :

[ALEX77]

Bonjour,

Je me demandais depuis pas mal de temps s'il était possible de réaliser ça en Delphi (ou dans un autre langage) : un moyen simple de détecter lorsqu'un utilisateur lance un processus et décider si on le laisse s'exécuter on si on l'annule.

Je sais lister les processus 32bits (pas les 64 bits) mais l'idée est d'intercepter un processus avant qu'il puisse s’exécuter.

Avez-vous eu des expériences sur ce sujet ?

Merci pour votre retour

[pprem]

Tu voudrais te greffer sur les mêmes points d'entrée que les antivirus ? Il y a forcément une API Windows pour ça quelque part.

La réponse est probablement quelque part dans la doc de Microsoft (si tu arrives à formuler la bonne demande) sur MSDN (bon courage ).

[anapurna]

salut

de mémoire il existé plusieurs possibilité selon la dérivation que l'on voulez faire

le plus connue est sans nulle doute SetWindowsHookEx

il y a aussi l'injection dll InjectDLL on en parle ici

sinon directement en mémoire avec VirtualAlloc et autres joyeuseté

[edam]

voir ici

[Paul TOTH]

Tu voudrais te greffer sur les mêmes points d'entrée que les antivirus ? Il y a forcément une API Windows pour ça quelque part.

La réponse est probablement quelque part dans la doc de Microsoft (si tu arrives à formuler la bonne demande) sur MSDN (bon courage ).

j'avais vaguement regardé cela, histoire de me débarrasser de l'antivirus en mettant un appli qui accepte tout...sauf qu'il faut que le programme soit signé et répertorié chez MS si je me souviens bien...donc c'est juste pas possible

[ALEX77]

Tu voudrais te greffer sur les mêmes points d'entrée que les antivirus ?

Oui c'est un peu ça l'idée

[ALEX77]

Merci à tous.

Je vais jeter un oeil plus approfondi aux liens que vous m'avez passé au dessus et je ne manquerais pas de revenir. Je sens que la nuit va être longue!

[anapurna]

salut

j'avais lu il y a longtemps des articles de "Anton Bassov" fort intéressant à l'époque
pour contourné un certain nombre de problème, je ne sais pas si ils sont encore d'actualité mais c'était une mine d'information pour moi a ce moment là

[ALEX77]

J'ai testé ces codes avec la library :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
 
library HookActivation;
 
uses
  Windows,
  SysUtils,
  Classes;
 
Type
  TActivationEvent=procedure(var Handle:HWND);
 
var
  hkFenetre: HHOOK;
  hwFenetre: HWnd ;
 
  ActivationEvent:TActivationEvent;
  SaveDllProc:TDLLProc;
 
function MonHookProc(Code:Integer;wParam:WPARAM;lParam:LPARAM):LRESULT; stdcall;
begin
  Result:= 0;
  if Code<0
  then Result:=CallNextHookEx(hkFenetre, Code, wParam, lParam)
  else  if Code=HCBT_ACTIVATE then
        begin
          hwFenetre:=HWND(wParam);
          if Assigned(ActivationEvent)
          then ActivationEvent(hwFenetre);
        end;
end;
 
function ActiveHook:Boolean; stdcall; export;
begin
  if hkFenetre=0 then
  begin
    hkFenetre:=SetWindowsHookEx(WH_CBT, @MonHookProc, HInstance, 0);
    Result:=True;
  end
  else Result:=False;
end;
 
function DesactiveHook: Boolean; stdcall; export;
begin
  if hkFenetre<>0 then
  begin
    UnHookWindowsHookEx(hkFenetre);
    hkFenetre := 0;
    Result := True;
  end
  else Result := False;
end;
 
procedure SetProcedureCallBack(var UneProcedure:TActivationEvent); stdcall; export;
begin
  ActivationEvent:=UneProcedure;
end;
 
procedure LibExit(Reason: Integer);
begin
  if Reason = DLL_PROCESS_DETACH then
  begin
    // code de sortie de la bibliothèque
    //si on a un hook qui traîne, on le libère...
    DesactiveHook;
  end;
  SaveDllProc(Reason);  // appeler la procédure de point d'entrée enregistrée
end;
 
exports
  ActiveHook name 'ActiveHook',
  DesactiveHook name 'DesactiveHook',
  SetProcedureCallBack name 'SetProcedureCallBack';
 
begin
  hkFenetre:= 0;
  ActivationEvent:=nil;
  // code d'initialisation de la bibliothèque
  SaveDllProc:=DllProc;  // mémoriser la chaîne des procédures de sortie
  DllProc:=LibExit;  // installer la procédure de sortie LibExit
end.

et une application fiche VCL toute simple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
 
unit testHookform;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;
 
type
  TForm1 = class(TForm)
    Memo1: TMemo;
    Button1: TButton;
    procedure FormDestroy(Sender: TObject);
    procedure Button1Click(Sender: TObject);
  private
    { Déclarations privées }
  public
    { Déclarations publiques }
  end;
 
type
  TActivationEvent = procedure(var Handle:HWND);
 
procedure ActiveHook; external 'HookActivation.dll';
procedure DesactiveHook; external 'HookActivation.dll';
procedure SetProcedureCallBack(var UneProcedure:TActivationEvent); external 'HookActivation.dll';
 
var
  Form1: TForm1;
  CB:TActivationEvent;
 
implementation
 
uses Math;
 
{$R *.dfm}
 
 
 
procedure MonCallBack(var Handle: Hwnd);
var buf: array [0..1023] of char;
  Classe: string;
  Titre:string;
begin
  GetClassName(Handle, buf, sizeof(buf));
  Classe:=string(buf);
  GetWindowText(Handle, buf, sizeof(buf));
  Titre:=string(buf);
  If Form1<>nil then
  If Form1.Memo1<>nil
  then Form1.memo1.lines.Add(Classe+' ---> '+Titre);
end;
 
procedure TForm1.Button1Click(Sender: TObject);
begin
  CB:=MonCallBack;
  SetProcedureCallBack(CB);
  ActiveHook;
end;
 
procedure TForm1.FormDestroy(Sender: TObject);
begin
  DesactiveHook;
  CB:=nil;
end;
 
end.

Mais ça plante grave...