私のアプリケーションでは、GetProcAddressとCreateProcessのようなAPIを使用していますが、アンチウィルスによって悪意のあると判断されることがあります。APIが監視されているかどうかのチェック
私がしようとしているのは、特定のAPIが監視されているか、フックされているかどうかをチェックすることです。そうであれば、コードのその部分を呼び出しません。
特定のAPIがフックされているかどうかを確認するにはどうすればよいですか?
これはC.
おかげで書かれたWindowsアプリケーションです。
win32では、非常に小さな機能しかカバーしていないSetWindowsHookEx()(http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990)の機能のほかにフックを検出および/または配置する方法はありません。
フックを検出する方法は、フックの適用方法によって異なります。
フックを配置するには、2つの人気の方法がありますフックを配置するさまざまな方法についての詳細(長所/短所)について
を上書き
フックする各方法は、それを検出する別の方法を必要とします。
上記のように配置されたフックを検出する方法については、「ApiHookCheckアルゴリズム」のhttp://www.security.org.sg/code/apihookcheck.htmlを参照してください。このページには、ではなくのテストを行ったサンプルソースがあります。
APIモニタ検出器がフックされていないことを確認するにはどうすればよいですか? –
'GetProcAddress'と' CreateProcess'だけでAVsのフラグを立てるべきではありません。あなたは 'CreateRemoteThread'を使ってリモートDLL注入を行っていますか?その場合、関数のシグネチャはマルウェアのものと一致する可能性があります。 – JosephH
dll注入がなく、リモートスレッドを作成しません。これらの2つのAPIは、プログラムのさまざまな部分で異なることをしています。 APIフックを確認する方法を知っていますか? –