APIフックを検出するにはどうすればよいですか？

Question

私はAPIフック、インライン、EATフックを検出しようとしています。

今のところ、EATフックを検出する方法については何も見つかりませんでした。

私がこれまで持っているもののインラインリング3フックについて：

FARPROC Address = GetProcAddress(GetModuleHandle("kernel32.dll"),"ExitProcess"); 
if (*(BYTE*)Address == 0xE9 || *(BYTE*)Address == 0x90 || *(BYTE*)Address == 0xC3) 
{ 
printf("Api hooked\n"); 
} 

問題は、JMP/NOP/RETをチェックし、機能のプロローグを変更/フックするために使用することができますいくつかのオペコードがあるということです私はPUSH RET、MOV、RETNなどのフックタイプをたくさん見てきました。

APIでこれらのフック（迂回路）や修正を検出する方法が分かっているのでしょうか。 EATフックを検出する方法もあります。

ありがとうございます。

Answer 1

GetProcAddressもフックすることができます。また、パッチを当てるべき正確なAPIを知ることができないので、インポートされたすべての関数をチェックする必要がありますが、これはかなり面倒です。侵入者はあなたのプロセスのアドレス空間に注入し、APIメソッドをフックするのに十分な特権を持っているので、保護メカニズムを完全に取り除くことを防ぐ方法はほとんどありません。通常、最新のソフトウェア保護システムには、カーネルモードドライバが含まれており、プログラムメモリをスキャンし、dll注入やリモートメモリの変更を防ぎます。また、コード暗号化/難読化システム（Themidaなど）や完全にエイリアンなプロセッサ命令セットを使用した内部仮想実行マシンを使用することもかなり一般的です。

Answer 2

私はあなたがメモリ内の現在のdllでディスクからkernel32.dllを比較する必要があります、またIATを無視し、再配置を修正するか、別のハッシュを取得する必要がありますと信じています。

もっと簡単な解決方法が必要な場合は、kernel32.dllの名前を変更し、名前を変更したDLLからAPI呼び出しを行います。

Answer 3

現在のプロセスのIATアドレスをフックし、すぐにバイトを保存する必要があります。

この後に元のバイトを持っている、あなたは後から新しいものにバイト再びそれらをコピーしようと、古い（元）を比較することmemcmp（）を使用することができますので、それらが異なる場合は、あなたのIATアドレスを持っています別のプロセスによって引っ掛けられた。