APIフックを検知する関数を探しています。

[helloworld1853]

SSDTを改竄してAPIフックをしたとします。

セキュリティソフトはそうした改竄をどうやって検知するのでしょうか。

それとも　そのような事態になればセキュリティソフトといえど

改竄を検知できないのでしょうか。

御回答をお待ちしております。

[h2so5]

ググったらすぐ出ましたけど...
http://d.hatena.ne.jp/mayahu32/20111014/1318609842

[helloworld1853]

これを見て疑問に思ったんですけど、

セキュリティソフトはRootkitっぽい挙動をするので

セキュリティソフトを二つ入れると

ウイルスと誤検知してしまうということはないのでしょうか。

日本語がおかしくてすみません。

あと恐ろしいほど関係ない質問なんですが　

こちらの質問も答えていただけたらうれしいです。

下記のソースコードが対応できるファイルのバイト数は9999ですよね。

コード:

#include <stdio.h>

int main(void)
{
  FILE *fp;
  char *fname = "test.bmp";
  unsigned char buf[10000];
  int  i, size;

  fp = fopen( fname, "rb" );
  if( fp == NULL ){
    printf( "%sファイルが開けません¥n", fname );
    return -1;
  }

  size = fread( buf, sizeof( unsigned char ), 10000, fp );

  for( i=0; i<size; i++ ){
    if( i % 16 == 0 ) printf( "¥n" );
    printf( "%02X ", buf[i] );
  }

  fclose( fp );
  return 0;
}

[h2so5]

これを見て疑問に思ったんですけど、

セキュリティソフトはRootkitっぽい挙動をするので

セキュリティソフトを二つ入れると

ウイルスと誤検知してしまうということはないのでしょうか。

実際に誤検知するかどうかは分かりませんが、競合は起きると思います。
主要なセキュリティソフトなら、誤検知しないように例外として登録されているかもしれません。

下記のソースコードが対応できるファイルのバイト数は9999ですよね。

10000Byteでは？

[helloworld1853]

ありがとうございます。

皆様のおかげで解決しました。

これからもよろしくおねがいします。