Ist es zwingend notwendig, das ganze mit Inline hooks zu realisieren?

Ich würd wie folgt vorgehen:
Eine DLL, die bestimmte (DeleteFile, ... usw & CreateProcessA/W) Api-Funcs. hookt, erstellen und in den Explorer injizieren. CreateProcesss deswegen, weil es sich bei diesem Call/Hook automatisch in den anderen Prozessen injizieren kann.

MfG

zu inline Hooking:

http://wiki.hackerboard.de/index.php/Windows_API

zu den Messages:

Die kommen immer zuerst beim Hook an, sonst könnte man sie ja auch nicht abändern.

zu der Explorer injection:

Sicher das alle Programme die Dateien löschen, dies immer über den Explorer tuen?
Ich dachte jetzt eher, das diese direkt die API aufrufen und diese nicht weiter an den Explorer verweist.

Vielleicht lässt sich auch was über die IAT machen, aber damit habe ich keine Erfahrung.

Es werden auch nicht alle Prozesse, die Daten löschen/verschieben, über den Explorer gestartet. Das müsste man auch beachten.


Mir ist nicht ganz klar, was das bis jetzt mit Kryptographie (siehe Titel) zu tun hat (die TrueCrypt-Erwähnung mal ausgenommen).

Zum mehrfachen Überschreiben: einmal genügt.


MfG,
Bug

Also was das Keylogging angeht: Bei mir springt die Firewall an, wenn ein Programm Maus oder Tastatur überwachen will. D.h. die Firewall fängt schon das Setzen eines Hooks und ähnliches ab.

Wenn du wie du eingangs geschrieben hast die Tastendrücke nur verwerfen willst, da bin ich mir nicht sicher, ob das klappt. Ich habe es allerdings auch noch nie versucht.