V minulých článkov v sekcií (IT-Security), sme si priblížili a na videu s kódmi popísali metódy hookingu, a to Inline Hook DLL a IAT (Import Acces Table) Hook.
Avšak naskytuje sa otázka, či existuje nástroj, ktorý nám dokáže detekovať jednotlivé metódy hooku. Ak si uvedomíme, že pri IAT Hooku je nutné zaviesť do procesu infikovanú knižnicu prostredníctvom Inline Inject .dll. V konečnom výsledku nám stačí len kontrolovať / zobraziť všetke inline pripnuté knižnice k danému procesu. Pokiaľ sa nenájde knižnica v importovanom zozname knižníc - white list, tak je v logu zobrazená a je prípadne rozoznaná ako infikovaná.
Teoreticky by to tak malo fungovať, avšak otázkou je, existuje nástroj na podobnú detekciu?
Pri testoch som použil antirootkit Gmer a nástroj Ring3 API Hook Scanner.
Výsledky boli nulové, nakoľko ani jeden z nich nedokázal detekovať zavedené .dll moduly.
Rozhodol som sa, že napíšem vlastný nástroj, Inline Hook Scanner Výsledky testov všetkých troch nástrojov je na videu:
Inline Hook Scanner je nástroj, ktorý prejde všetky bežiace procesy a vypíše k nim pripnuté moduly. Rozoznáva tak Inline hook modulov.
Program obsahuje whitelist súborov ktorý je aktualizovateľný. Program zobrazí výsledný log v ktorom je výpis loadovaných modulov.
Program enumeratívne prejde bežiace procesy a k nim vypíše zavedené (hooknuté) moduly.
Podľa druhu súborov je možné zistiť škodlivé moduly.
Program prehľadáva moduly na úrovni Ring3.
Hlavné okno
Scanning
InlineHookScanner.exe
---------------------------------------------------------------------
Jazyk: C++
Podporované OS: Win.XP,7,8,Vista - 32/64 bit platform.
Posledná revízia: 08.28 2016
Verzia: 3.8
Autor: Diallix
---------------------------------------------------------------------
[ Verzie ] –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– [Updates]
3.6 --- Celková revízia programu.
3.5 --- Úprava a revízia prístupu k modulom.
3.4 --- Test - úprava jadra.
3.3 --- Aktualizovanie Whitelistu.
3.2 --- Revízia White Listu.
3.1 --- Revízia kódu.
2.3 --- Pridaný White List.
2.2 --- Pridanie modulu detekovania naloadovaných knižníc.
2.1 --- Revízia kódu.
2.0 --- Pridanie právo prístupu.
1.5 --- Vytvorenia jadra správy procesov.
1.0 --- Vytvorenie jadra prístupu k procesom.