Проверка контроля API (подключен?)

Мое приложение использует некоторые API, такие как GetProcAddress и CreateProcess , которые иногда заставляют антивирусы отмечать его как злонамеренные, даже если это не так.

То, что я пытаюсь сделать, это проверить, контролируется ли какой-либо конкретный API или подключается, и если это тогда, я не буду называть эту часть кода.

Как проверить, подключен ли определенный API?

Это приложение Windows, написанное на C.

Благодарю.

0
Нет инъекции dll и никакого создания удаленных потоков. Эти 2 API находятся в разных частях программ, которые делают разные вещи. Вы знаете, как проверить API-интерфейс?
добавлено автор Mr Aleph, источник
@alk Any. Выбери один.
добавлено автор Mr Aleph, источник
GetProcAddress и CreateProcess не должны создавать флагов для AV-файлов. Выполняете ли вы удаленное внедрение dll с помощью CreateRemoteThread ? Если это так, подпись вашей функции может совпадать с сигнатурой вредоносной программы.
добавлено автор JosephH, источник
«... проверьте, есть ли конкретный API ...», о каких API (-ах) вы говорите?
добавлено автор alk, источник
И как вы проверите, что ваш детектор монитора API не был подключен?
добавлено автор Raymond Chen, источник
Нет надежного способа проверить, был ли подключен API, потому что человек, который подключил API, также может подключить ваш детектор API.
добавлено автор Raymond Chen, источник

1 ответы

В win32 нет никаких методов обнаружения и/или размещения крючков (кроме SetWindowsHookEx() ( http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990 ) и другие функции, которые охватывают только очень небольшой набор функций) ,

Обнаружение крюка зависит от того, как был применен крючок.

Существует два популярных способа размещения крючка:

  1. Папка для импорта/экспорта таблицы
  2. Перезаписи кода

Для получения дополнительной информации (плюсы/минусы) о различных методах размещения крючков, пожалуйста, прочитайте здесь http: //help.madshi .net/ApiHookingMethods.htm .

Каждый метод подключения требует другого подхода для его обнаружения.

Для методов обнаружения крючков, размещенных, как указано выше, смотрите в разделе «Алгоритм ApiHookCheck» здесь http://www.security.org.sg/code/apihookcheck.html . На этой странице есть примеры источников, которые я тестировал not .

1
добавлено
Это необходимая мне информация. Благодаря!
добавлено автор Mr Aleph, источник
Ссылка на ApiHookCheck Algorithm больше не работает. Может ли кто-нибудь предоставить хорошую ссылку на него?
добавлено автор Benny, источник
@alk спасибо, я тоже нашел этот вопрос. Если это похоже на алгоритм APIHookChecking, о котором вы говорили, в вашем ответе?
добавлено автор Benny, источник
@Benny: Это может быть точкой начала: security.stackexchange.com/q/17904/36769
добавлено автор alk, источник
Про Windows
Про Windows
941 участник(ов)

Microsoft Windows и всё, что с этим связано. Список интересных групп и каналов: https://github.com/goq/telegram-list

Microsoft Developer Community Chat
Microsoft Developer Community Chat
584 участник(ов)

Чат для разработчиков и системных администраторов Microsoft Developer Community. __________ Новостной канал: @msdevru __________ Баним за: оскорбления, мат, рекламу, флуд, флейм, спам, NSFW контент, а также большое количество оффтоп тем. @banofbot