Ergebnis der Suchanfrage

• Forum: Win32/Win64 API (native code)

  Re: API von Reg.exe

    Delphi
    by richard_boderich, 22. Jun 2008
  @Metal Snake
  
  Zitat:
  We using our technology of direct parsing of system registry.
  Zitat Ende
  
  Diese Aussage bedeutet nicht das sie keinen Treiber benutzten, sondern das sie die Registry Binär öffnen und die einzelnen
  Keys parsen. (also die Strings suchen)
  
  Zitat:
• Forum: Win32/Win64 API (native code)

  Re: API von Reg.exe

    Delphi
    by richard_boderich, 19. Jun 2008
  @Olli
  
  Danke erstmal für die Infos. Noch zwei Fragen
  
  1. Ist es möglich ein Reload der NTDLL durchzuführen bzw. eine 2 Instanz zu Laden und diese anstatt der gehookten zu verwenden?
  
  2. Könntest du nochwas zu möglichen Maßnahmen gegen DLL Injection ausführen?
  
  mfG Richard
• Forum: Win32/Win64 API (native code)

  Re: API von Reg.exe

    Delphi
    by richard_boderich, 19. Jun 2008
  @Olli
  
  Die Frage ist, was macht man, wenn das Rootkit via SSDT alle ZW Key Funktionen hookt. Dann kommt man doch um einen Driver gar nicht herum und dann ist doch auch die Frage welcher zuerst geladen wird? Der von der Malware oder der Eigene.
  Außerdem müsste es doch auch Maßnahmen gegen DLL Injection geben oder etwa nicht?
  
  PS:
  Kann man sich dieses Hooktutorial irgendwo runterladen?
  
  mfG...
• Forum: Win32/Win64 API (native code)

  Re: API von Reg.exe

    Delphi
    by richard_boderich, 16. Jun 2008
  @Metal Snake
  
  Probier mal ob mein Testprogramm die Autostarteinträge findet. Würde mich mal interessieren. Von Adramax hab ich nur ein Keylogger light getestet und der wird gefunden. Einfach die Exe starten und auf Scan Komplett drücken.