ob es üblich ist, dass diese Programme Hooks bemerken und sich dagegen wehren.
Auch wenn es einfach ist Hooks zu umgehen bin ich ziemlich sicher, dass die wenigsten Programme dies tun.
Gefühlt würde ich sagen dass Anti-Virenprogramme eher (ziemlich wahrscheinlich) Hooks umgehen,
Viren oder generell Malware wahrscheinlich nur zum Teil (Ich würde mal unqualifizierte ~10% in den Raum werfen) Hooks umgehen.
Bei "normalen" Programmen liegt der Anteil wahrscheinlich unter 1%.
Das sind wie gesagt komplett in den Raum geworfene Zahlen, aber ich denke mal dass sie nicht allzu fern von der Realität sind.
Wenn nicht wäre der ring0 Kernelmode Hook das, was ich ausprobieren würde.
Das dürfte wahrscheinlich noch ein ganzes Stück schwieriger werden als Ring3 Hooks (und das wird schon nicht soo einfach).
Außerdem kannst du dann Delphi schon mal vergessen (falls du vor hattest dafür Delphi zu verwenden).
Da du dich da auskennst frage ich einfach mal, um mir die Recherche zu ersparen, ob es ein vertretbarer Mehraufwand beim Nutzen des fertigen Programmes ist und / oder nur die Programmierung weit aufwändiger ist?
Ich denke nicht dass es das Wert ist.
Ich würde zumindest mal in Ring3 anfangen und einfach mal Copy oder/und CreateFile hooken und ein bisschen rumtesten ob sich meine Zahlen oben bestätigen.
Wenn sich herausstellt (was ich nicht denke), dass jedes 2. Programm deine Hooks umgeht (oder ganz allgemein für deinen Geschmack "zu viele") dann musst du dir die Ring0 Hooks vielleicht doch mal anschauen. Aber würde erstmal Ring3 antesten.
Da Hooks allgemein offensichtlich recht einfach umgangen werden können, stellt sich mir die Frage, ob es überhaupt möglich ist, das, was ich vor habe, so umzusetzen, dass es nicht umgangen werden kann.
Es kann ziemlich leicht umgangen werden. Aber man muss es halt tun.
Und ich denke wie gesagt, dass es unterm Strich mindestens 90% aller Programme NICHT tun.
Was mir aber noch eingefallen ist: Könnte man nicht das umgehen von Hooks umgehen indem man GetProcAddress hookt?