monitorear un proceso para saber si ha sido "alterado"

[mamcx]

Una forma de detectar el cambios es correrle un HASH previo y comparar con el guardado.

[reyss]

gracias por responder en tan breve tiempo...
he probado la variante le un hook, lo he hecho a nivel de sistema y me informa de algunos mensajes que son enviados desde y hacia el programa que estoy monitoreando, demasiada información y nada realmente significativo....ya me he estudiado e implementado los procesos de inyección de dll, realmente interesantes pero no creo que se pueda sacar nada para hacer lo que necesito....

me gustaría saber más de la variante del HASH ... si no te es mucho problema me gustaría tener una explicación de su funcionamiento o un demo de cómo se hace y yo me ocupo de sacar lo que pueda....

gracias a ambos y saludos...

[reyss]

pd. al programa que voy a monitorear puede que se le inyecte una dll...pero no tengo forma de saber la lista de las posibles dlls a inyectarle...es por eso que estoy tratando de saber de cualquier alteración....eso debería incluir la inyección de cualquier librería....

[reyss]

pd. otra vez.... disculpenme, es la primera vez que pongo un hilo y realmente no quisiera "meter la pata"...

el programa a monitorear no es mio, es un juego, de hecho es para monitorear que varios jugadores no "alteren" diferentes juegos mientras juegan en red...en eso estoy...y estoy estancadito en ese enorme detallito...

así que será bienvenida toda la ayuda que me puedan dar en este punto...

[[escafandra]]

El problema del Hash es que el proceso se está ejecutando y se pretende ver alteraciones en un proceso ya cargado por el S.O. Además, el proceso puede cargar dinámicamente dlls o incluso abrir otros ejecutables.

El típico hook de sistema Windows conseguido con SetWindowsHookEx no sirve. Hay que interceptar las API usadas para inyección y, tratándose de porteger un juego, habrá que inyectarlo previamente al atacante, con el fin de desplegar la protección.

En cualquier caso hay que analizar primero como es el ataque, si la máquina es nuestra o del jugador, si es a nivel de usuario o Kernel, que herramientas usa, si estamos en win32 o 64...

Para cada estrategia de ataque puedes diseñar una defensa pero para cada defensa puede haber otra modalidad de ataque. Lo ideal es que los jugadores usen tus PCs en los que no permiras injerencias.

Saludos.

[reyss]

o sea que el hash no es más que la función hash que conozco y no sirve...lo que sugieres es que haga una dll con todo lo necesario para monitorear y la inyecte al juego en tiempo de ejecución, como un hook pero cargado en el propio juego y hacer que él mismo detecte cuando ha sido "alterado"...parece viable...las pcs no son mias, son de los jugadores, pero una de las reglas para jugar es que carguen todos el programa de monitoreo, de lo contrario son expulsados del servidor...
vale...voy a ponerme en función de tu sugerencia...

saludos y muchas gracias

[[escafandra]]

Básicamente, esa es la idea.

Saludos.