ページ 1 / 1
APIフックを検知する関数を探しています。
Posted: 2012年4月23日(月) 20:17
by helloworld1853
SSDTを改竄してAPIフックをしたとします。
セキュリティソフトはそうした改竄をどうやって検知するのでしょうか。
それとも そのような事態になればセキュリティソフトといえど
改竄を検知できないのでしょうか。
御回答をお待ちしております。
Re: APIフックを検知する関数を探しています。
Posted: 2012年4月23日(月) 20:19
by h2so5
Re: APIフックを検知する関数を探しています。
Posted: 2012年4月23日(月) 20:54
by helloworld1853
これを見て疑問に思ったんですけど、
セキュリティソフトはRootkitっぽい挙動をするので
セキュリティソフトを二つ入れると
ウイルスと誤検知してしまうということはないのでしょうか。
日本語がおかしくてすみません。
あと恐ろしいほど関係ない質問なんですが
こちらの質問も答えていただけたらうれしいです。
下記のソースコードが対応できるファイルのバイト数は9999ですよね。
コード:
#include <stdio.h>
int main(void)
{
FILE *fp;
char *fname = "test.bmp";
unsigned char buf[10000];
int i, size;
fp = fopen( fname, "rb" );
if( fp == NULL ){
printf( "%sファイルが開けません¥n", fname );
return -1;
}
size = fread( buf, sizeof( unsigned char ), 10000, fp );
for( i=0; i<size; i++ ){
if( i % 16 == 0 ) printf( "¥n" );
printf( "%02X ", buf[i] );
}
fclose( fp );
return 0;
}
Re: APIフックを検知する関数を探しています。
Posted: 2012年4月23日(月) 21:01
by h2so5
helloworld1853 さんが書きました:これを見て疑問に思ったんですけど、
セキュリティソフトはRootkitっぽい挙動をするので
セキュリティソフトを二つ入れると
ウイルスと誤検知してしまうということはないのでしょうか。
実際に誤検知するかどうかは分かりませんが、競合は起きると思います。
主要なセキュリティソフトなら、誤検知しないように例外として登録されているかもしれません。
helloworld1853 さんが書きました:
下記のソースコードが対応できるファイルのバイト数は9999ですよね。
10000Byteでは?
Re: APIフックを検知する関数を探しています。
Posted: 2012年4月24日(火) 06:22
by helloworld1853
ありがとうございます。
皆様のおかげで解決しました。
これからもよろしくおねがいします。