找回密码
 加入
搜索
查看: 6199|回复: 11

[系统综合] 『大家来挑战,枚举并卸载全局钩子』

 火.. [复制链接]
发表于 2012-1-26 22:40:41 | 显示全部楼层 |阅读模式
本帖最后由 asdasdasd 于 2012-1-29 23:01 编辑

我对于那些流氓程序实在是无可奈何了,他们的强行注入让我无计可施,现将斗争过程归纳如下:
1、驱动删DLL文件及占坑:蓝屏,或过后运行游戏时蓝屏;已经被HOOK,,结果找不到DLL文件,就蓝了;代码0A;
2、Unload指定DLL:会导致被注入的程序崩溃;不可取;
3、创建钩子:本指望后发制人,结果,写不了DLL,WH_MOUSE_LL比WH_MOUSE优先级好象要低点,且不知道如何阻断鼠标双击消息的传递;
4、拦截进程创建:即使我们钩API来监视进程创建,一般也都是钩EXPLORE。EXE,但是很多时候流氓程序并不是调用EXPLORER来执行程序的,所以经常会失效;获取父进程ID或COMMANDLINE进行判断是否为自己的进程打开的页面,结果很乱,父进程ID如果是直接调用IE的话,还能分别,如果是通过创建IE类打开页面的话,就分辨不出来了;COMMANDLINE更不现实,好多没有带参数的;
5、剩下没有尝试的,也觉得最理想的,就是枚举和卸载钩子了,但是相关知识太差了,请大家发挥我们论坛的光荣传统,集思广益,不吝赐教!!
发表于 2012-1-26 23:03:22 | 显示全部楼层
这个正月也不够我认真这个问题。。
果断帮顶
发表于 2012-1-26 23:26:38 | 显示全部楼层
深哦~~不懂呢
发表于 2012-1-27 09:48:23 | 显示全部楼层
留点事情让杀软做
 楼主| 发表于 2012-1-27 14:07:09 | 显示全部楼层
各位版主可否路过,来帮忙看看。。
发表于 2012-2-1 09:21:33 | 显示全部楼层
路过,帮顶。。。
发表于 2012-2-1 22:07:31 | 显示全部楼层
api 不懂~~想学~~帮你顶下
发表于 2012-2-2 11:31:27 | 显示全部楼层
关注~
 楼主| 发表于 2012-2-4 22:06:45 | 显示全部楼层
查找的资料方面,有谈到需要用到驱动,不确定。
发表于 2012-2-4 23:26:22 | 显示全部楼层
这个有点太深入了吧?
 楼主| 发表于 2012-2-13 10:35:07 | 显示全部楼层
哇,这么久还没人关注啊//
发表于 2012-2-19 14:27:10 | 显示全部楼层
看不不懂啊
您需要登录后才可以回帖 登录 | 加入

本版积分规则

QQ|手机版|小黑屋|AUTOIT CN ( 鲁ICP备19019924号-1 )谷歌 百度

GMT+8, 2024-12-23 12:48 , Processed in 0.077172 second(s), 23 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表