Hallo,

ist es möglich festzustellen, ob irgendjemand in meinem Speicherbereich (Applikationsspeicher) liest. Wenn ja, bekomme ich heraus welche Anwendung es ist und ist es verhinderbar, dass eine andere Anwendung auf meinem Speicherbereich zugreift?

Vielen Dank schon mal im Voraus.

Hi,

Also die einzige Möglichkeit die eventuell funktionieren könnte ist, wenn du die Funktion ReadProcessMemory hookst.

Ich sag mal zu 90% gibt es keine Möglichkeit.
Und falls es eine gibt, ist die auch nicht 100% abgedeckt bzw umgehbar.
(Das war zumindest mein Erbegnis meiner damaligen Recherche)

Danke. Wie kann ich denn ReadProcessMemory hooken?

Wenn jemand den Systemcall selbst ausführt, bist du schutzlos. Am Ende hilft nur ein Treiber.

Es geht aber ziemlich einfach, wenn du deinem Prozess einen vernünftigen Security Descriptor verpasst. Die DACL kann dann das Lesen verhindern und mit der SACL kannst du automatisch Logs erstellen lassen. Zumindest den Teil mit der DACL habe ich hier beschrieben.

das müßte man dann aber doch global machen?

Denn ein anderer Prozess würde ja seine eigene Funktion nutzen und nicht die aus dem eigenem Programm (wo das überwacht werden soll)

PS: wenn man z.B. eine DLL reinschuggeln kann, ohne ReadProcessMemory zu nutzen, dann könnte diese direkt lesen.

Eigentlich würde mir schon ausreichen, wenn ich wüsste, welches Programm gerade meinen Speicherbereich ausliest.

Was hast du denn zu verbergen?

Such mal nach Inline Hooking bei Google, ich weiß nicht wies ausschaut und wie nahe darauf hier eingegangen werden soll, weil sowas in den meisten Fällen nur von Rootkits und ähnlichem Spaß benutzt wird.
Ein Angreifer könnte diesen Schutz auf die selbe Art wieder umgehen.
Du solltest, wenn du es probierst, GENAU wissen was du machst, da das ganze sich im Ring 0 abspielt und sich sowas logischerweise auf alle Programme auswirkt und mit unter die Systemstabilität und -integrität gefährdet.
Auch solltest du bedenken, dass sich (ungetestet) eventuell Antivirenscanner auf sowas zu Wort melden werden.
Allerdings könnte dein Code ohnehin nur von Administratoren ausgelesen werden und falls es um reverse engineering geht, lässt sich das ziemlich sicher umgehen.
Ansonsten bleibt dir nicht viel übrig außer ein eigenes Betriebssystem für eine trusted platform zu schreiben.
Wobei selbst dann bestimmt immernoch mit teuren equipment, das keiner hat, der Speicher hardwaremäßig ausgelesen werden könnte.

Ich möchte verhindern, dass sicherheitsrelevante Daten von anderen Programmen (wie z.B.: WinHex) gelesen werden können.