Entwickler-Ecke

Windows API - nt_systemcall hooken


Boldar - So 24.08.08 14:05
Titel: nt_systemcall hooken
Hallo,
ich brauche ein Tutorial, wo erklärt wird, wie man die Dateisystemfunktionen

Quelltext 
1:
2:
3:
 
NtCreateFile,
NtWriteFile und
NtDeleteFile

der NT-Systemcalls im Kernelspace (native API) hookt. Ich bin mir durchaus bewusst, dass dieses Thema sehr komplex ist. Kann auch ein Englisches Tutorial sein!
Mfg Boldar


Delete - So 24.08.08 15:38
Hast du dir schon die einschlägigen Tutorials über Hooks angeguckt?


Boldar - So 24.08.08 15:43
Schon, aber da geht es immer darum, wie man Maus-oder Tastatur Hooks erstellt, und dass ist ja relativ simpel. Aber ich habe noch keine Ahnung, wie man sowas hooken könnte.


Delete - So 24.08.08 16:11
Hier http://www.michael-puff.de/Developer/Delphi/Importe/toms/ habe ich einen ShellHook von toms.


Dezipaitor - So 24.08.08 19:33
Kernelhooks gehen nicht unbedingt mit Delphi. Mir wurde gesagt, es gäbe irgendwo ein Kit für Treiber mit Delphi.
Aber man kann mit C++ und C# Kerneltreiber mit Hooks schreiben. Dann braucht man nur noche eine Kommunikation mit einem eigenen Dienst.

http://www.codeproject.com/KB/dotnet/EasyHook64.aspx

PS.
Wenn du damit Erfahrung sammeln solltest, dann würde ich gerne mit dir nahen Kontakt aufnehmen, da ich soetwas auch für die JWSCL brauche.


Timosch - So 24.08.08 20:58
user profile iconDezipaitor hat folgendes geschrieben:
Kernelhooks gehen nicht unbedingt mit Delphi. Mir wurde gesagt, es gäbe irgendwo ein Kit für Treiber mit Delphi.

Nennt sich DDDK. Ich werde hier aber keinen Link posten, da die dcc32.exe und andere copyright-geschütze Dateien beiliegen. Ist sowieso etwas frickelig.

user profile iconDezipaitor hat folgendes geschrieben:

Aber man kann mit C++ und C# Kerneltreiber mit Hooks schreiben.

Mit C/C++ brauch man das Windows-DDK. Aber mit C#? Im Ernst? Das erzeugt doch .NET-Executables. Kann man damit echt Kerneltreiber für den Ring 0 schreiben?

EDIT: Lt. dem Link hast du Recht.


Boldar - Sa 27.09.08 23:04
Ok, nun brauche ich etwas anderes: eine liste aller Funtkionen der Winapi, welche die Oben genannten kapseln.
(Also auf höherer Ebene)


SAiBOT - So 12.10.08 12:32
user profile iconBoldar hat folgendes geschrieben Zum zitierten Posting springen:
Ok, nun brauche ich etwas anderes: eine liste aller Funtkionen der Winapi, welche die Oben genannten kapseln.
(Also auf höherer Ebene)


http://www.metasploit.com/users/opcode/syscalls.html


Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2026 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!