Popis

Pri testoch detekcie hookingu boli použité nástroje antirootkit Gmer a nástroj Ring3 API Hook Scanner.

Výsledky neboli dostačujúce, nakoľko ani jeden z nich nedokázal detekovať zavedené .dll moduly.

Účinnosť detekcie Inline Hook Scanneru - výsledky testov všetkých troch nástrojov je na videu:

                                                 

Inline Hook Scanner je nástroj, ktorý prejde všetky bežiace procesy a vypíše k nim pripnuté moduly. Rozoznáva tak Inline hook modulov.
Program obsahuje whitelist súborov ktorý je aktualizovateľný. Program zobrazí výsledný log v ktorom je výpis loadovaných modulov.
Program enumeratívne prejde bežiace procesy a k nim vypíše zavedené (hooknuté) moduly.
Podľa druhu súborov je možné zistiť škodlivé moduly.
Program prehľadáva moduly na úrovni Ring3.


Hlavné okno



Scanning







Verszie:
Aktuálna verzia: 3.9

Verzia 3.9 - Celková revízia programu.
Verzia 3.8 - Revízia kódu (Release).
Verzia 3.7 - Revízia kódu (Debug).
Verzia 3.6 - Úprava práv detekcie.
Verzia 3.5 - Úprava a revízia prístupu k modulom.
Verzia 3.4 - Test - úprava jadra.
Verzia 3.3 - Aktualizovanie Whitelistu
Verzia 3.2 - Revízia White Listu.
Verzia 3.1 - Revízia kódu.
Verzia 2.3 - Pridaný White List.
Verzia 2.2 - Pridanie modulu detekovania naloadovaných knižníc.
Verzia 2.1 - Revízia kódu.
Verzia 2.0 - Pridanie právo prístupu.
Verzia 1.5 - Vytvorenia jadra správy procesov.
Verzia 1.0 - Vytvorenie jadra prístupu k procesom.