[so] more questions about tema 2

Andrei Dumitrache so@cursuri.cs.pub.ro
Sun, 14 Nov 2004 10:56:16 +0200


"Eu as recomanda aceasta varianta, pentru ca este mai simpla. Si la aceasta
varianta ne-am si gandit cand am scris enuntul. Cei drept am uitat sa dam si
cheia de registry... Intre timp am facut un update la enunt, in care am
specificat si cheia.

Intr-adevar, exista probleme cu aplicatiile de consola (care nu folosesc
user32.dll). Testarea temei se va face cu o aplicatie scrisa de noi, pentru 
a
avea niste rezultate cat de cat reproductibile. Aplicatia va fi linkata cu
user32.dll.

tavi
"

Legat de asta. Dezavantaje majore :
1) Hooking-ul se va intampla pentru fiecare Windows-based application. Mai 
mult pentru toate care folosesc USER32.dll, nu doar pentru cele care au 
biblioteca (noastra) in directorul curent (fie ele lansate doar dintr-un 
cmd.exe ... si cum a mai fost vorba ..)
2) Odata injectat, codul nu mai poate fi scos decat printr-un reboot !

Parerea mea este ca mult mai utila ar fi injectarea prin 
CreateRemoteThread() folosind tehnica de alterare a IAT (Import Address 
Table). Are toate avantajele posibile :
1) Nu creeaza un System-Wide hook, ca in cazul de mai sus. Super, pentru ca 
scenariul nici nu-l cere.
2) Nu necesita reboot pentru descarcare
3) Nu necesita code overwriting, sau proxy DLL injection
4) last but not least este destul de bine documentata

Iar legat de asa zisul deamon, sper ca nu trebuie sa fie un serviciu de 
Windows. Plus, cred ca s-ar putea realiza tema si fara acest deamon. Pur si 
simplu o singura aplicatie (gen TaskManager, sau Top de pe Linux).

Andrei

_________________________________________________________________
Express yourself instantly with MSN Messenger! Download today it's FREE! 
http://messenger.msn.com/