cze
chciałbym napisać sobie programik, który będzie w stanie wykrywać keylogery i chciałbym się dowiedzieć czegoś o tym co może być objawem występowania keylogera w komputerze.
Czytając kilka postów znalazłem że każdy keyloger programowy wykorzystuje funkcję SetWindowsHookEx, więc może istnieje funkcja która zwróci mi listę programów, które założyły hooka na klawiaturę i po prostu uznawać takie programy za podejrzane? Jak myślicie?
O ile dobrze mi wiadomo to istnieje także funkcja listująca wszystkie hooki na klawiaturę. Po więcej zajrzyj do MSDN. Jednak pamiętaj, że sporo normalnych programów zakłada hooki na klawiaturę ;)
Więcej będe mógł Ci napisać wieczorkiem. Teraz się trochę spieszę.
W praktyce wiekszosc programow tego typu wykorzystuje sygnatury plikow, co swiadczy ze to jeden z lepszych sposobow. Choc ma tez swoje wady, bo czasem sygnatura pasuje do pliku ktory wirusem, spywarem itd nie jest.</quote>
coder - masz rację ale nie do końca ;) Też kiedyś myślałem co by napisać podobny programik bo mam sporo kumpli którzy grają w te przeróżne MMORPG i co chwila posyłają mi linki i programy do sprawdzenia :| Paranoja... W każdym razie omawiany program wcale nie musi skanować plików po sygnaturce. Moim zdaniem można by napisać coś na wzór personalnego firewalla. Program informuje nas, że jakiś proces chce założyć sobie hooka na klawiature i pyta się nas czy się zgadzamy. Można by też wbudować obsługę prostych reguł np. "zawsze pozwalaj", "nigdy nie pozwalaj" itd. Wymagało by to tylko niewielkiej znajomości swojego systemu ze strony użytkownika bo jak już wspominałem hooka na klawiaturę zakłada sporo całkiem przydatnych programów.
Byłbym zapomniał. Funkcja o której wcześniej pisałem to SetWindowsHookEx z parametrem idHook równym WH_DEBUG. Po wywołaniu jej założysz hooka na hooki ;) Znaczy się, że nim właściwa procedura hooka zostanie wywołana to wpierw Ty dostaniesz o niej informacje.
// wrzuć to gdzieś jako art czy gotowiec - Ł
SetWindowsHookEx z parametrem idHook równym WH_DEBUG. Po wywołaniu jej założysz hooka na hooki ;) Znaczy się, że nim właściwa procedura hooka zostanie wywołana to wpierw Ty dostaniesz o niej informacje.
:-) wow thanks man, dokładnie mi o to chodziło [browar] [soczek] </quote>