cs_OCA
Messages postés4Date d'inscriptionmercredi 19 mars 2003StatutMembreDernière intervention15 juillet 2010
-
14 juil. 2010 à 20:19
DeAtHCrAsH
Messages postés2670Date d'inscriptionvendredi 25 janvier 2002StatutMembreDernière intervention 6 février 2013
-
15 juil. 2010 à 16:27
Ce que je cherche à faire :
- Controller une application Win32 sans que cela soit détectable par celle-ci.
Pistes :
- placer un pilote dans le noyau de Windows.
- injection de code dans la mémoire du processus.
Etape 1 : Dans un log placer les informations suivantes :
- Accès base de registre
(lecture/écriture/création/suppression)
- Accès fichiers
(lecture/écriture/création/suppression)
- Déterminer les appels aux fonctions du système Windows
- tracer éventuellement les accès réseaux.
Etape 2 :
- en fonctions des éléments trouvés sur l'étape 1, la solution devra renvoyer à l'application controllé les informations de mon choix.
Mon environnement de travail choisi est Visual Studio 2008 C++. Si vous avez des exemples, informations, liens , conseils à me soumettre. Je suis preneur.
Donc en gros c'est un mix entre filemon,regmon,sandboxie.
cs_OCA
Messages postés4Date d'inscriptionmercredi 19 mars 2003StatutMembreDernière intervention15 juillet 2010 14 juil. 2010 à 23:08
En cherchant un peu je n'est plus besoin de faire l'étape 1.
J'ai utilisé Procmon.exe de SysInternals (que j'avais oublié dans l'un des dossiers de mon NAS)
Il utilise ETW , une api de bas niveau.
J'ai une bonne vue d'ensemble des éléments à renvoyer à l'application.
Donc, je me penche sur trouver la meilleure façon d'intercepter certaines requetes et substituer les réponses système par les miennes.
Genre les fonctionnalités du type RegQueryValue, QueryDirectory, CreateFile ...
qui se trouvent apparemment dans kernel.dll, user.dll ...
cs_OCA
Messages postés4Date d'inscriptionmercredi 19 mars 2003StatutMembreDernière intervention15 juillet 2010 15 juil. 2010 à 01:40
C'est dingue, je trouve que des solutions payantes ou limitées. Pas d'open source...
Je pensais trouver un équivalent à Sandboxie par exemple, ou des sources intéressantes.
C'est pas le cas.