REGISTRY GUARD BETA

Commentaire de MuPuF le 17/07/2006 19:24:20

Bonne chance Taron, tu va y arriver !

Signé, le lacheur ;-D

Commentaire de MuPuF le 18/07/2006 12:06:05

je répond pour lui (en attendant sa réponse définitive)
Le programme ne hooke pas l'execution d'un programme, seulement si celui çi accede au registre ou pas.
A la base, c'étais pour faire un antivirus qui demande trés peu de ressource (on est partit du constat qu'un virus écrit à 98% dans la bdr, ça permet d'allerter, à l'utilisateur de faire son travail aprés).
Voila, pour la taille de l'exe, il a mit des images dedans ;-)
Bonne journée

Commentaire de racpp le 18/07/2006 21:53:14 administrateur CS

Salut,
MuPuf >> Merci pour la réponse. Je sais ce que c'est un hook d'API. J'en ai déjà fait. Je parlais donc du hook des 3 APIs pour  un programme nouvellement lancé alors que RegistryGuard est déjà actif.

Taron32 >> Merci pour la précision. En effet, je viens de tester en ouvrant Winzip. Mais il parait que le programme ne détecte pas les processus n'ayant pas une fenêtre ou une boite de dialogue. Que ces processus soient créés avant ou après le lancement de RegistryGuard, ils ne sont pas hookés. Voici un petit exemple de code à compiler et tester:

int WINAPI WinMain(HINSTANCE hInst, HINSTANCE hPrev,LPSTR cmd, int show)
{
HKEY keyHandle;
RegOpenKeyEx(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\Windows\\CurrentVersion",0,KEY_ALL_ACCESS,&keyHandle);
RegCloseKey(keyHandle);
ExitProcess(0);
}

Il est donc préférable de lister tous les processus existants, avec ou sans fenêtre. Le cas de ceux nouvellement créés (sans fenêtre) est plus délicat. J'avais ce genre de problème dans une application qui doit hooker une API pour tous les processus existants et à venir. J'ai lu quelque part qu'il existe une fonction de ntdll.dll qui permet à une application d'être informée quand un processus quelconque vient d'être créé. Je n'ai pas encore testé cette solution car j'ai encore du temps avant la première mise à jour de mon application.

Pour la taille de l'exécutable, l'un des responsable est, c'est vrai, surtout l'image BMP nagsreen de 263ko. Tu peux la convertir en JPG pour avoir une taille de seulement 25ko en gardant 100% de la qualité originale. Pour l'afficher dans ton programme tu utliseras l'interface IPicture. Ainsi, tu gagneras donc 238Ko. A remarquer aussi que la taille de la DLL est assez garnde aussi (200Ko).

Concernant l'interface du programme, j'ai quelques remarques:
- Puisqu'il n'y a pas beaucoup de fonctionnalités, il est préférable d'utiliser une ToolBar au lieu des menus.
- La ListView doit avoir une ScrollBar vericale.
- Les derniers éléments ajoutés à la ListView doivent être en bas de la liste au lieu du début.
- En actionnant la roulette de la souris, l'affichage de la ListView n'est plus normal.
- L'heure de la détection ne correspond pas à l'heure locale du PC.
- L'affichage de l'heure de détection doit être corrigé. Par exemple ça affiche "21:4 52 sec" au lieu de "21:04:52".

Je sais que c'est une version Beta et que tout cela n'est pas difficile à régler.
Je le répète, je trouve ce code très très intéressant.
J'attends la prochaine mise à jour pour donner une note, qui sera certainement 10/10.
Merci.

Commentaire de racpp le 18/07/2006 22:33:29 administrateur CS

Merci BruNews. Et les services non système? seront-ils hookables?
Certains programmes utilisent les fonctions de ntdll.dll. Ils sont également non hookables par la méthode utilisée dans ce code source.
Quand tu dis "kernel mode dans un driver" tu parles du hook des fonctions de la ntdll.dll ou les autres APIs?

Commentaire de Taron31 le 18/07/2006 23:10:12

Oula, il va falloir parler...

Racpp: c'est vrai j'avais deja remarqué ce problème là, je ne comprends pas vraiment et je ne sais pas comment y remedier ; car si on detecte le nouveau processus, je devrais peut-être injecter la DLL manuellement ? A voir... Concernant encore la taille, un coup d'UPX et ça fera 200ko à tout casser.
Concernant tes remarques sur l'interface, et les menus, je pense le laisser comme ça (pas sûr) car d'autres fonctionnalités seront sûrement à venir. Il y'a aussi le problème de la ToolBar à régler c'est  veridict, enfin bref, je corrigerai tout ça. Je tenterai de lancer une nouvelle version en août dès que j'aurais le temps, parce que là je suis en stage. En tout cas merci beaucoup pour tes commentaires, ça aide.

BruNews, justement c'était un point que je comptais aborder, tout ne sera pas hooké. Et dans d'autre produits (tel que Regmon par exemple) utilisent des Drivers en Kernel Mode pour tout catcher. Et je me pose exactement les mêmes question que Racpp, pour hooker les fonctions agissant sur la registry de ntdll.dll il faut passer obligatoirement en kernel mode ? En fait, je comptais utiliser un driver pour avoir un meilleur impact dans le hook mais j'ai trouvé aucune doc à ce sujet.

Merci pour vos commentaires, j'en attends d'autre...

Commentaire de BruNews le 18/07/2006 23:29:39 administrateur CS

Pas le temps d'aller voir le fonctionnement re RegMon mais s'il hooke tout, il est certain qu'il utilise un driver, absolument le seul moyen.
En cas de hook par driver, tu n'as plus à te soucier de quelles fonctions sont appelées pour accès à la BDR, que soit de ntdll ou kernel32 peu importe, elles finiront sur l'entrée modifiée par le driver du ServiceDescriptorTableEntry qui devra repointer sur TA fonction perso.
Pour de la doc sur les drivers, faut lire Walter Oney 2de édition et surtourt collecter tout ce que tu trouveras sur le net car le bouquin suppose pas mal de concepts connus (pas évident pour tout le monde). Il te faudra le DDK, il comporte un gros chm d'aide.

Commentaire de racpp le 18/07/2006 23:38:56 administrateur CS

Taron31 >> Je n'ai pas analysé ton code, mais il parait que tu utilises le HWND des fenêtres existantes et celles à venir pour récupérer les identificateurs de leurs processus. Tu peux lister tous les proccessus actuels directement. Pour les nouveaux processus, ça pose problème comme j'ai dit plu haut. Si le programme est informé de la création du nouveaux processus, il pourra donc y injecter la dll sans problème. Le problème se situe donc au niveau de la détection de la création.
A propos de la taille de l'EXE, tu peux la réduire avant même de le passer sous UPX. La taille finale sera encore plus petite.

Commentaire de BruNews le 19/07/2006 00:05:53 administrateur CS

Certain si tu veux l'ensemble des fonctions BDR, pour cela que je te dis que sera un gros boulot car faut ensuite négocier le discours entre kernel et user mode. Le moindre faux pas c'est écran bleu et il y en aura avant que ceci ne soit au point.

Commentaire de racpp le 20/07/2006 05:30:39 administrateur CS

Je viens de remarquer que ce programme empêche WinZip de fonctionner normalement et l'oblige à se fermer. Winrar lui, fait carrément planter le programme. Je ne sais si c'est seulement chez moi ou non.

Commentaire de wxccxw le 23/08/2006 14:00:07

vraiment bien jouer, voila plusieur mois que je fait du hooking detouring, je vais recommencer le meme projet, sa pourrait etre un entrennament pour moi