asdasdasd 发表于 2012-1-26 22:40:41

『大家来挑战,枚举并卸载全局钩子』

本帖最后由 asdasdasd 于 2012-1-29 23:01 编辑

我对于那些流氓程序实在是无可奈何了,他们的强行注入让我无计可施,现将斗争过程归纳如下:
1、驱动删DLL文件及占坑:蓝屏,或过后运行游戏时蓝屏;已经被HOOK,,结果找不到DLL文件,就蓝了;代码0A;
2、Unload指定DLL:会导致被注入的程序崩溃;不可取;
3、创建钩子:本指望后发制人,结果,写不了DLL,WH_MOUSE_LL比WH_MOUSE优先级好象要低点,且不知道如何阻断鼠标双击消息的传递;
4、拦截进程创建:即使我们钩API来监视进程创建,一般也都是钩EXPLORE。EXE,但是很多时候流氓程序并不是调用EXPLORER来执行程序的,所以经常会失效;获取父进程ID或COMMANDLINE进行判断是否为自己的进程打开的页面,结果很乱,父进程ID如果是直接调用IE的话,还能分别,如果是通过创建IE类打开页面的话,就分辨不出来了;COMMANDLINE更不现实,好多没有带参数的;
5、剩下没有尝试的,也觉得最理想的,就是枚举和卸载钩子了,但是相关知识太差了,请大家发挥我们论坛的光荣传统,集思广益,不吝赐教!!

502762378 发表于 2012-1-26 23:03:22

这个正月也不够我认真这个问题。。
果断帮顶

_LK_一生所爱 发表于 2012-1-26 23:26:38

深哦~~不懂呢

komaau3 发表于 2012-1-27 09:48:23

留点事情让杀软做{:face (88):}

asdasdasd 发表于 2012-1-27 14:07:09

各位版主可否路过,来帮忙看看。。

80ren 发表于 2012-2-1 09:21:33

路过,帮顶。。。

wua0550 发表于 2012-2-1 22:07:31

api 不懂~~想学~~帮你顶下

35888894 发表于 2012-2-2 11:31:27

关注~{:face (88):}

asdasdasd 发表于 2012-2-4 22:06:45

查找的资料方面,有谈到需要用到驱动,不确定。

哈密瓜 发表于 2012-2-4 23:26:22

这个有点太深入了吧?

asdasdasd 发表于 2012-2-13 10:35:07

哇,这么久还没人关注啊//

yorker0503 发表于 2012-2-19 14:27:10

看不不懂啊
页: [1]
查看完整版本: 『大家来挑战,枚举并卸载全局钩子』