Api-Hooking Programme verstecken

[D@nger]

Hallo, also das folgende Thema "Api-Hooking" ist etwas kompliziert (für mich jedenfalls). Und zwar gibt es ja die sogeanannten Apis auf Windows-Systemen (z.B: "FindNextFile"). Das sind Funktionen die aus System-Dlls gelesen und verwendet werden können. So, jetzt gibt es Api-Hooking oder auch Dll-Injection, was bedeutet, dass diese Funktionen überschrieben und druch neue, eigene, ersetzt werden. Meistens wird das Ganze zu nicht ganz legalen Aktivitäten genutzt. Allerdings habe ich etwas vor, das nicht illegal ist.
So, kommen wir nun zu einem Beispiel:
Das Programm, ein Trojaner, muss aufs Internet zugreifen, um die gesammelten Daten zu übertragen. Nur wie kommt der jetzt an der Firewall vorbei? Killen oder Regel erstellen sind sogut wie ausgeschlossen, da erstes zu auffällig ist und zweites fast unmöglich. So, jetzt bleibt die Dll-Injection. Und zwar wird z.B. die Api zur Auflistung der Prozesse so verändert, dass die Firewall die Datei nicht mehr findet. Das wäre theoretisch machbar, doch was für ein Code ist das genau? Wie schreibt man die Api um? Hat da jemand vielleicht Ahnung on? Das Beispiel ist nur ein Beispiel (logisch oder? ;-)). Danke schon mal.

 

[D@nger]

Hallo,
schaut euch mal bitte folgendes, in C++ geschriebenes Beispiel an:
http://s4.simpleupload.de/f73f3eb1e/hAxLoader.exe.html
Lasst euch nicht von der Bezeichnung ablenken

So, wenn ich jetzt z.B. die URL urlmon.dll wähle und diese in den Prozess Notepad.exe injecte. Was bringt mir das jetzt genau? Vielen Dank.
Sorry fürs DP

 

[D@nger]

Hallo,
wie sieht's denn aus? Kann mir jemand helfen?

 

[Wolfsbein]

Ich denke die fehlende Hilfe liegt an der etwas zwielichtigen Frage. Warum brauchst du sowas?

 

[D@nger]

Also es ist aufjedenfall ein nicht gefährliches Programm, sondern es ist sogar auf der guten Seite. Es soll bestimmte Dinge überwachen können, wie z.B. Änderungen an bestimmten Dateien. Deshalb darf dieses Programm nicht von anderen Programmen entdeckt werden und somit muss die jeweilige Api überschrieben werden. Vielen Dank schon mal.

 

[mike4004]

Hi

hört sich ja lustig an was du machst ich will dir net wirklich helfen da ich mit so nem mist nix zutun haben will.

Firewall umgehen?

Da gibts zur zeit ein paar lustige Sachen.

zb.http://www.winfuture.de/news,23878.html nicht erschrecken weil nur Zonealarm angesprochen wird funktioniert auch bei anderen Firewalls und das ist nur eine von vielen Beispielen wie mann sie austrickst allerdings ist das eine der Leichtesten Möglichkeiten und fast immer naja die Methode wurde schon verbessert so das fast alles im hintergrund abläuft aber diesen Themen wurden auf anderen Boards schon ausführlich besprochen musst nur suchen aber Google hilft dir dabei dieses mal nicht.

mfg mike4004

 

[D@nger]

Hallo,
wie du willst damit nichts zu tun haben? Ich sprech dich hier nicht auf Drogendealerei an ja.
Und zum Firewall-Umgehen:
Das war nur ein Beispiel!