Zitat von
himitsu:
Klar ist sowas nicht bei jedem beliebigen Programm möglich, aber ich gehe einfach mal davon aus, daß bestimmt 99% aller Programme nur ganz stinknormale
API-Aufrufe nutzen und keine Anstalten machen etwas gegen Hooking zu unternehmen.
In den meisten Fällen wollen Leute so eine Monitoring
API haben um damit ihnen unbekannte Programme (meistens Malware) zu "beobachten". Unbekannte Programme können dabei durchaus zu den 1% der Anwendungen gehören, die versuchen
API Hooks zu umgehen. Sehr viele kommerzielle Kopierschutzsysteme, die oft von Shareware Programmierern genutzt werden, bieten z.B. die Möglichkeit
API Hooks automatisiert zu entfernen. Malware ist ein anderes Feld in denen solche Techniken oft genutzt werden. Die Anti-Rootkit Industrie wäre sogar ein ganzer Zweig innerhalb der IT Security, die sich großteils mit dem Aufspüren und Umgehen von Hooks beschäftigt
.
Alles was ich letztlich sagen will ist, daß wenn die Lösung mit beliebigen Anwendungen und nicht mit nur mit "einigen" oder den "meisten" laufen soll, Usermode Hooks eher eine schlechte Wahl sind. Wenn ich dagegen eine spezifische Anwendung überwachen möchte, bei der ich sicher stellen kann, daß meine Usermode Hooks alles erfassen, ist dagegen nichts einzuwenden. Wobei es dann natürlich fraglich ist, ob ich die Hooks dann überhaupt noch brauche
.
Zitat von
himitsu:
Willst du wirklich unmassen fremder Treiber in deinem System, welche auch noch die Stabilität beeinträchtigen können, oder denkst du nicht, daß bei "einfachen" Programmen auch mal nur "einfache" Wege reichen?
Schlechte Usermode Hooks beeinträchtigen ebenfalls die Stabilität. Zwar nicht des kompletten Systems, wohl aber der Anwendung. Und ja, ich ziehe eine außerordentlich gut dokumentierte Methode etwas zu implementieren wie z.B. den
File System Mini Filtern einer gänzlich undokumentierten und selbstgestrickten Lösung (aka 99% aller im Umlauf befindlichen "Hooking Engines") vor.