Есть приложение, использующее функцию send (winsock). Как отловить событие когда стороннее приложение внедрит в моё приложение свою dll и поставит хук на функцию send. Обычно методом CreateRemoteThread.
надеюсь я правильно выразился=\

Это сообщение отредактировал(а) takep - 30.5.2008, 20:18

Отслеживай появление нового потока.

Если перехват обычный, т.е. сплайсинг путём изменения первых байт функции, то можно, допустим, каждую секунду или перед каждым вызовом send сравнивать первые N байт начала функции send с байтами из ws2_32.dll, если не равно - значит функция перехвачена(только здесь ещё релоки надо восстановить в загруженной с диска dll, прежде чем сравнивать).

Другой способ перехват самому LdrLoadLibrary, но вопрос в том, как ты отличишь "вражескую" dll от системной при загрузке? Если известно, что-то о первой, тогда можно использовать.



Плохой способ. А если поток создаст наше приложение? Как отличать их будешь? И потом, твой цикл загрузит процессор на 100%. 

думаю это подойдет больше всего, попробую так.

А что насчет глобального хука на ZwOpenProcess?

Можно вести учет своих потоков. Это несложно.


Не загрузит, если этот код оформить в отдельный поток, и приписать внутри Sleep.

Добавлено через 1 минуту и 50 секунд
takep, ты знаешь, сплайсинг там или CreateRemoteThread?

Знаю

А пример учета своих потоков можно?

Всё, что нужно есть в библиотеке advApiHook.



Во-первых, глобальный хук на порядок сложнее реализовывается, во-вторых зачем расползаться по всей системе, если нужно контролировать то, что происходит внутри твоего процесса.



Те, что создашь ты сам можно, а те, что будут созданы сторонними компонентами, внутри системных функций или dll-модулями вполне легального ПО? 



Хорошо, когда твой поток зайдёт в Sleep, то управление передасться на поток, который загрузит dll и уничтожится, а в случае многоядерного процессора эти два потока могут выполняться одновременно и неизвестно, какой из потоков первый завершит выполнение  

Я предлагал, чтобы следящий поток работал все время с программой. И завершение его произойдет при завершении программы.

Это сообщение отредактировал(а) Rrader - 1.6.2008, 12:10

Строго говоря, потоки в Windows не работают всё время, если я правильно тебя понял. Они делят процессорное время с другими потоками. Когда поток заходит в Sleep управление передаётся другим потоками и может быть передано в том числе и тому, который загрузит dll, пока следящий поток спит. Если следящий поток крутится всё время - это нерациональное использование ресурсов просто напросто. К тому же, чтобы подгрузить DLL вовсе необязательно создавать поток, достаточно изменить контекст уже существующего потока в процессе(насильно переправить его исполнение на наш код). 

Но вообще, почему твой метод в прицнипе нароботоспособен, так это потому, что обычно в момент внедрения своей dll все потоки приложения-жертвы останавливаются(SuspendThread), а после вновь запускаются(ResumeThread). 

Ну не совсем.  Я ориентировался на то, что мы знаем, сколько "наших" потоков в программе. И тогда неважно, когда произойдет внедрение. Мы это можем отследить в одной из итерации следящего потока, рано или поздно.

Добавлено @ 12:18

Ну CreateThread от CreateRemoteThread можно отличить по модулю.




А почему молчишь?  

Это сообщение отредактировал(а) Rrader - 1.6.2008, 12:49

И нелегальными тоже 

Я немного некорректно выразился. Да, поток будет принадлежать нашему процессу, но созданный через CreateRemoteThread поток можно отличить по модулю kernel32.dll

Rrader, нельзя. Как ты его отличишь? Созданный поток становится полноправной часть твоего приложения. 

Универсально никак. Но для конкретного своего приложения можно.

Это сообщение отредактировал(а) Rrader - 1.6.2008, 13:04

Как?