Ho bisogno di monitorare una sequenza di chiamate API creata da un processo in esecuzione su Microsoft Windows, per analizzare il comportamento del malware.
So che possiamo fare il modo utente o il monitoraggio della modalità kernel. Ho provato alcuni strumenti che possono intercettare le chiamate API, come Detours, EasyHook e NTHookEngine, ma tutti, a mio avviso, utilizzano il monitoraggio della modalità utente. Ciò rende impossibile per loro rilevare malware in esecuzione nella modalità kernel (come i rootkit).
Se proviamo ad agganciare la chiamata API usando Detours o EasyHook, dobbiamo definire la nostra funzione di hooking che in questo caso non è necessario. Ho solo bisogno di conoscere la funzione che viene chiamata da un processo monitorato e i suoi parametri.
C'è un modo per farlo in modo efficiente (poche righe di codice) ed efficace (modalità utente e modalità kernel monitor)?