"Kleine" Ant-Hooking-DLL

[AHT]

Nichts besonderes, blockiert SetWindowsHookEx Hooks im Thread, in den die DLL geladen wurde. Passieren irgendwelche Fehler? Funktioniert das Ding? (Download von meiner Homepage oder auf Anfrage über PM)
PS: Die DLL ist nicht multithreadingfähig - ist also ideal für Profanprogramme.

[AHT]

Testen lässt sich das ganze mit fast jedem Keylogger und mit Franks Botschafter.

[Frabbing]

Hehe, ok. Bin gerade erst wieder gekommen und werd das Teil die Tage testen.

[AHT]

Ich überlege zur Zeit ob es sinnvoll wäre, die DLL nach dem Ladevorgang im Speicher des Prozesses unsichtbar zu machen, damit ein "Angreifer" nicht so leicht herausfindet, was da vor sich geht. Hat jemand dazu eine Meinung?

[Frabbing]

Spricht doch nichts dagegen.
Allerdings kann das von anderen Programmen auch als Versuch aufgefasst werden, einen Virus zu tarnen, oder?

[AHT]

Zitat:

Zitat von Frabbing

Spricht doch nichts dagegen.

War, glaube ich, eine Schnapsidee. Man könnte das viel besser als Memory Modul laden, dann ist es von Anfang an versteckt.

Zitat:

Zitat von Frabbing

Allerdings kann das von anderen Programmen auch als Versuch aufgefasst werden, einen Virus zu tarnen, oder?

Es gibt scheinbar bislang nur ein Programm, was so etwas scannt, und das ist von mir.

[Frabbing]

Hehe

[AHT]

Update hochgeladen:

1) EXE hinzugefügt, die die AXT.DLL versteckt als MemoryModul lädt.

2) zweite DLL, AXT2.DLL dem Packet hinzugefügt:
Beschreibung:

Zitat:

Die DLL ATX2.DLL wird über LoadLibrary geladen (Profan UseDll) und schützt dann alle Threads des jeweiligen Prozesses, die ein Hauptfenster besitzen. Die DLL darf nur einmal pro Prozess geladen werden und schützt nicht vor WH_KEYBOARD_LL und WH_MOUSE_LL Hooks. Die DLL verhindert nicht unbedingt die Injektion einer Hooking-DLL und ist eher dafür gedacht das Abfangen von Messages zu blocken.

3) Das Programm AXT2Loader.EXE wurde dem Download hinzugefügt. Mit diesem Programm lässt sich die AXT2.DLL in fremde Prozesse laden!
Es ist damit auch möglich, Programme zu schützen, von denen man den Quelltext nicht besitzt!

[AHT]

Hatte mir noch einen Fehler eingebaut -> Update hochgeladen. Jetzt funktioniert es auch mit der Injizierung.

[AHT]

Zitat:

Zitat von AHT

3) Das Programm AXT2Loader.EXE wurde dem Download hinzugefügt. Mit diesem Programm lässt sich die AXT2.DLL in fremde Prozesse laden!
Es ist damit auch möglich, Programme zu schützen, von denen man den Quelltext nicht besitzt!

Ich will hoffen, das es deutlich geworden ist, was damit möglich ist:
Es ist möglich, den Blocker in beliebige Programme (zum Beispiel den InternetExplorer, GMER etc.) einzuschleusen, ohne auch nur eine einzige Zeile Code schreiben zu müssen. Das dürfte eine nette Geschichte sein, um Malwarescanner gegen das Abfangen von Messages zu schützen - wie gesagt, ohne eine einzige Zeile an Code schreiben zu müssen.

[AHT]

Ich habe das ganze mal mit Franks Botschafter getestet:

Das macht der Botschafter mit Gmer vor der Injektion der DLL...


...und das kommt noch an, wenn die DLL über den AXT2Loader injiziert wurde...


Ich hoffe, dass das der ein oder andere verwenden kann...

Warum habe ich diese blödsinnige DLL überhaupt geschrieben?
Ganz einfach: Für einen Virus ist eigentlich eine Kleinigkeit, die Anzeige von RootKit-Scannern über einen Hook so zu manipulieren, das die Malware vom Scanner gar nicht angezeigt wird (einfach alle Messages mittels globalem Hook abfangen, die Infos über den Virus enthalten und gar nicht an das Anzeigecontrol des Scanners weiterleiten).
Dem soll diese Sache hier entgegenwirken - egal ob man den Scanner nun selbst geschrieben hat, oder der von jemand anderem entwickelt wurde.

[AHT]

Die DLLs vertragen sich unter Windows95/98/ME scheinbar nicht mit dem Virenscanner Avast, der dort etwas merkwürdig im System herumhookt (das sieht man daran, dass die Testprogramme nach dem Installieren der Ant-Hooking-DLLs nicht mehr reagieren).
Unter NT basierenden Systemen gibt es mit Avast scheinbar keine Probleme. Kann das jemand, der mit Avast arbeitet (2000/XP/Vista), bestätigen?