Zabezpieczenie przed ReadProcessMemory

Witam wszystkich. Jestem początkującym programistą, jak każdy mam problemy z ogarnięciem API Windowsa.

Ostatnio czytałem dużo na ten temat ale dalej nie do końca rozumiem przeznaczenie HOOKów. Moim celem jest stworzenie zabezpieczenia przed keyloggerami. Keylogger za pomocą funkcji ReadProcessMemory kradnie z pamięci procesu dane użytkownika. Myślałem nad tym aby zablokować tę funkcję i dowiedziałem się że jest to nie możliwe aby zabezpieczyć pamięć w 100%. Jednak podobno z pomocą przychodzą HOOki. Czytałem wiele na ich temat i wiem że są globalne oraz lokalne. Lokalne działają w programie a globalne na całym komputerze.

Nie jestem pewien czy da rade zrobić takie coś ale wpadłem na pewien pomysł. Czy da się założyć HOOK na funkcję ReadProcessMemory? Należy podkreślić że nie znam nazwy procesu (ani PID ani HANDLE) który jest keyloggerem.

Jak by to wyglądało? Od czego zacząć naukę nad takim bajerem? Czytałem już dużo na różnych forach i kursach ale brakuje tam podstaw. Pomyślałem że ktoś nakieruje mnie na tym forum.

Jak to jest z kontrolą funkcji ReadProcessMemory? Od czego zacząć i jak to może teoretycznie wyglądać?

@Edit:
Myślę że jest to możliwe bo na jednym z forum znalazłem coś takiego:

*Odpowienie ustawienie uprawnień ACL - pętla ustawiająca DENY na READ (GR) WRITE (GR) i usuwająca Debug Privilege każdemu procesowi

*DLL Injection - hook na funkcję OpenProcess, ReadProcessMemory, ReadVirtualMemory. Z hooka będzie można kontrolować każde żądania tych funkcji

Przede wszystkim keyloger nie potrzebuje czytać pamięć, jak sama nazwa wskazuje: KEY czyli klawisz, LOG - czyli zapisz; keyloger przechwytuje naciśnięcia klawiszy.
Dużo różnych aplikacji użytkowych stosuje HOOK'a nawet na klawisze, odróżnienie która z nich jest keylogerem a która nie nie wydaje się być możliwym.

(..) Zwykłe keyloggery zapisują naciśnięte klawisze, przez co czasem bywają nie dokładne np. kopiowanie haseł. Zwykły keylogger dostarcza długi ciąg znaków w którym sami musimy odnaleść hasła. (..) Nasz keylogger jest lepszy, nie zapisuje wciśniętych klawiszy. Hasła są pobierane bezpośrednio z pamięci procesów, zamieniane na czytelne znaki i zapisywane na nasze konto. Dzięki temu nie da się go obejść ani oszukać. (..)

To cytat ze strony, mam 100% pewności że używana jest funkcja ReadProcessMemory, z resztą potwierdził to autor keyloggera na forum. Próbuję dokładnie wszystko analizować i wyciągać wnioski z tego co piszesz. Czyli, jeżeli nie znam procesu keyloggera nie dam rady nic zrobić w tym kierunku? Co z cytatem z poprzedniego postu:

Odpowienie ustawienie uprawnień ACL - pętla ustawiająca DENY na READ (GR) WRITE (GR) i usuwająca Debug Privilege każdemu procesowi

DLL Injection - hook na funkcję OpenProcess, ReadProcessMemory, ReadVirtualMemory. Z hooka będzie można kontrolować każde żądania tych funkcji

O ile dobrze wyczytałem, autor cytowanego postu jest autorem AntyHacka do gier typu GameGuard czy coś takiego.

Dużo różnych aplikacji użytkowych stosuje HOOK'a nawet na klawisze, odróżnienie która z nich jest keylogerem a która nie nie wydaje się być możliwym.

Mylisz pojęcia. Tzn. hooki - SetWindowsHookEx to 'grzeczny' hook, stworzony w jak najlepszych intencjach - czasami faktycznie jest używany przez keyloggery (prymitywne keyloggery (C) ScriptKiddie ^TM), ale autor napisał że keylogger który go interesuje korzysta z ReadProcessMemory. Jak to robi - nie mam pojęcia ale to już nie mój problem ;) *

DLL injection to zupełnie inna sprawa, zdecydowanie nieładna i antywirus się będzie prawdopodobnie rzucać. Chodzi o wstrzyknięcie kodu wykonywalnego do innego procesu. DllInjection to ofc ie jest hook, ale w momencie gdy jesteśmy już w pamięci procesu możemy podmienić początek interesujących nas funkcji (tzw. detour patch) żeby skakały w podstawiony kod - obrazowo:

przed hookiem:

poczatek_1
poczatek_2
środek_1
środek_2
koniec_1
koniec_2
return

po hooku:

jump adres_hook
adres_powrotny
poczatek_2
środek_1
środek_2
koniec_1
koniec_2
adres_hook:
kod_wstawiony1
kod_wstawiony2
kod_wstawiony3
poczatek_2
jump adres_powrotny

Tradycją chyba już jest że kiedy mowa o sprawach tego pokroju (re, security, malware, hooki i co tam jeszcze) rzucany jest adres http://re.coldwind.pl/ - polecam jeśli chcesz ogarnąć tą tematykę. Informacje których szukasz są konkretnie w odcinku 7, ale jeśli chcesz to wszystko ogarnąć to może warto oglądnąć więcej.

• Strzał - robi dump pamięci procesu i wyłuskuje sekwencje \w+\0.

Dziękuję bardzo za długą odpowiedź, rozjaśniłeś mi bardzo. Fakt nie rozróżniałem tych pojęć ale to chyba przez to że czytałem na stronach anglojęzycznych a tam wszędzie jest hook hook hook i tylko hook : )

Z całą pewnością przeczytam cały materiał zawarty na podanej stronie.

A jak wygląda sprawa z:

Odpowienie ustawienie uprawnień ACL - pętla ustawiająca DENY na READ (GR) WRITE (GR) i usuwająca Debug Privilege każdemu procesowi

Wnioskuję z tego, że po użyciu jakiejś funkcji API (przypuszczam że coś na styl VirtualProtect, VirtualAllocEx) mogę zablokować pamięć procesu przed odczytem, pętla była by potrzebna aby pierwszy lepszy program nie ustawił znowu przywilejów do odczytu. Chociaż taka wojna na pętle i zakaz odczytu pamięci wydaje się mało profesjonalne jednak może być skuteczna a dla większości nie do obejścia.

Mój drugi wniosek jest taki, że jeżeli ustawię pętlę aby usuwała danemu programowi Debug Privilege (funkcja SetPrivilege) to nie będzie on mógł korzystać z funkcji typu ReadProcessMemory, OpenProcess, CreateThread itd.?

Był bym wdzięczny za poprawienie moich wniosków jeżeli moje myślenie idzie w złą stronę.