Hey,

ich bin im Internet auf das Programm RkUnhooker gestoßen, welches alle kernel mode Hooks auflistet und diese auf entfernen kann. Ich finde das Programm sehr nützlich, weil man damit effektiv Rootkits enttarnen und somit auch entfernen kann.

Leider funktioniert das ganze unter Vista nicht mehr und die offizielle Seite ist auch down. Da kam ich auf die Idee für mich ein kleines Tool zu schreiben, was die selben Funktionen erfüllt - möglichst auch unter Vista.

Hat jemand eine Idee, wie man alle gehookten Funktionen auflisten und dann auch bestimmte Hooks entfernen kann? Eventuell mit der uallCollection?

Vielen Dank

Entfernen sollte mit UnhookWindowsHookEx gehen.

Uhm, er meinte die Kernel Hooks, SSDT = System Service Dispatch Table.

Schaue dir vielleicht Aphex's Leaktest an, das entfernt alle hooks aus der SSDT. Aber mit der uallCollection sollte es auch funktionieren. Aber das ist nicht wirklich Stabil, kann leicht passieren das es zu einem Bluescreen kommt.

Edit: Ganz vergessen eine Antwort zu geben .

Also Aphex Leaktest hatte ich mir schonmal angesehen, leider gibt es einige Probleme. Zum einen beim Entfernen der API Hooks meint das Programm "Spyware Doctor" den Prozess einfrieren zu müssen Okey, das ist nicht weiter tragisch, allerdings funktionierte das Entfernen der SSDT Hooks auch nicht. Unter XP kommt eine Zugriffsverletzung, die man nicht weiter debuggen kann und unter Vista gibt das Programm sofort aus, dass diese Version nicht unterstützt wird.

//Edit: Unter Vista zeigt er nichtmal Usermode Hooks an merke ich grade =/

Hmm, www.iamaphex.net ist leider down, kennt einer vieleicht eine anderen seite auf der man seine projecte noch finden kann?


gruß win32

Ich hab seine Source alle auf dem Rechner .. kann ich dir schicken, wenn du magst. Sind leider zu groß, um sie hier hochzuladen.

Laß es einfach. Es ist nämlich ganz simpel nicht möglich ... viel Erfolg!

(Oh, ich sollte erwähnen, daß es C/C++-Programme mit Source gibt, die behaupten es geht. Aber es ist schon theoretisch nur unter optimalen Umständen möglich und unter normalen Umständen in 99,9% der Fälle ausgeschlossen)

Achso, zum "Warum" ansatzweise: http://blog.assarbad.net/wp-content/...t_rootkits.zip

For those who still want to take a look at the program, I found a link Here (version 3.20).

@Olli: hast du das auch noch mal in einem Format, dass man auch öffnen kann? Der IE läd sich tot und der Firefox frag mich jedes mal, ob ich die Datei mit Firefox öffnen will, nur um mich das dann noch mal und noch mal und noch mal zu fragen.

Olli, ich würde die MHTML auch gerne lesen Habe die gleichen Probleme wie Luckie.

Gruß Hagen