API Hooking için x86 üzerinde bir üst seviye olarak SSDT hook tavsiye edebilirim. System Service Dispatch Table olarak da bilinen bu yapı windows üzerindeki tüm apilerin ortak bir alanda toplandığı tablodur. Kullanıcının kullanımına izin verilen her türlü api bu tabloda yer alır. Hook işlemini bu tabloya uyguladığınız zaman herhangi bir process'e erişim gereksinimi duymaksızın. İstediğiniz API'yi kontrol altına alabilirsiniz. Ancak bunun için gerekli olan şey kernel level bir sürücü yazmaktır. Bu sistem bir çok hacker ve virüs yazarı tarafından kullanılarak, keylogger, trojan, process hide ve hile gibi programlar oluşturulmuştur. Windows ise x64 sürümünde "Patch Guard" adı verilen bir sistem yazılımı ile bunun önüne geçmiştir. x64 üzerinde kernel erişimi sağlamanız için windows onaylı bir sürücüye sahip olmanız gerekmekte. Onaya sahip olsanız bile bu erişime hakkınız yok diye biliyorum. Hooking programlama üzerindeki en güçlü yöntemlerden biridir.
Verdiğin bilgiler için teşekkürler Fatih.
Aynı zamanda mühendisler hakkında söylediklerine katılıyorum. Eğitim sistemi sadece diploma veriyor bu çok yanlış, ring1, ring2, ring3 ve ring0 hakkında herhangi bir bilgi veya tam anlamıyla server/client iletişim paket veri gönderimi veri şifreleme vb. bir çok sistem apilerine kapalı olan mühendislerimiz bu nedenle herhangi bir ilerleme kayıt edemiyor.. Bu çok çok üzücü yine de insanın kendisini yetiştireceğine inanıyorum. Kernel çok zevkli bir kısım bence herkez biraz kernel ile haşır neşir olmalı
Hocam kernel driver işleri konusunda windows 7-8 64bit kullandığım için çok bir çalışma yapamadım dediğiniz korumadan dolayı, bunu aşan bir kaç yöntem buldum ancak çok da ihtiyacım olmadığı için üzerine fazla düşmedim, bilgilendirme için çok teşekkür ederim
--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 22:23:26 -->-> Daha önceki mesaj 22:21:11 --
10küsür yıl önce yazılmış makaleyi tercüme edip özetleyip hazırladığınız yazı ile buradaki üçüncü mesajınızda bu yazıya link vererek hit toplama amacında olmadığınızı varsayarsak, Türkçe'ye katmış olduğunuz "hooklamak" "enjekte" gibi terimlerden dolayı kutluyorum(!)
Hocam açıkçası bu yorumunuz Türkçe kaynağı hiç olmayan bir konuda biraz da olsa yardımcı olma isteğimi kırdı. İlk konumda bahsettiğiniz makaleye buradan yararlandığımı belirterek link verdim ki eminim ki bu konuda okuduğunuz ilk makaleydi. İkinci metni çevirip özetlediğim orjinal metni de yayınlarsanız sevinirim sonuçta öyle dediniz değil mi?
Enjekte etmek ingilizce teriminin yerini gayet tuttuğunu düşünüyorum eğer literatürde geçerli bir terim varsa makalemi düzeltmek isterim.
Hooklamak konusunda da herhangi bir sorun göremiyorum, yazdığım makale bilimsel standartlarda profesyonel bir yazı değildir, sadece konu hakkındaki bildiklerimi paylaşmak amacıyla ortaya koyduğum bir yazı dizisidir.
Ayrıca geçtiğimiz yılki veritabanından user tablosunun truncate edilmesi sonucunda 2011 ocak ayında beri kullandığım hesabım silindi, ayrıca ilk mesajımdan gelip bunu burada paylaşıp link versem bile buna aykırı bir kural olduğunu hatırlamıyorum.
Sadece iyi niyetlerle oluşturduğum yazı dizime yaptığınız hakaret gibi yorum için de tekrar teşekkür ediyorum.
Paylaşım yaptığım sitemde 2 yıldır tek bir reklam yada link bulunmadı ve bulundurmayı da planlamıyordum.
R10 topluluğunun burayı sadece ticaret amacıyla kullandığını unutmuşum, affola.