|
|
本帖最后由 asdasdasd 于 2012-1-29 23:01 编辑
我对于那些流氓程序实在是无可奈何了,他们的强行注入让我无计可施,现将斗争过程归纳如下:
1、驱动删DLL文件及占坑:蓝屏,或过后运行游戏时蓝屏;已经被HOOK,,结果找不到DLL文件,就蓝了;代码0A;
2、Unload指定DLL:会导致被注入的程序崩溃;不可取;
3、创建钩子:本指望后发制人,结果,写不了DLL,WH_MOUSE_LL比WH_MOUSE优先级好象要低点,且不知道如何阻断鼠标双击消息的传递;
4、拦截进程创建:即使我们钩API来监视进程创建,一般也都是钩EXPLORE。EXE,但是很多时候流氓程序并不是调用EXPLORER来执行程序的,所以经常会失效;获取父进程ID或COMMANDLINE进行判断是否为自己的进程打开的页面,结果很乱,父进程ID如果是直接调用IE的话,还能分别,如果是通过创建IE类打开页面的话,就分辨不出来了;COMMANDLINE更不现实,好多没有带参数的;
5、剩下没有尝试的,也觉得最理想的,就是枚举和卸载钩子了,但是相关知识太差了,请大家发挥我们论坛的光荣传统,集思广益,不吝赐教!! |
|
|手机版|小黑屋|AUTOIT CN
( 鲁ICP备19019924号-1 )谷歌
百度
发表于 2012-1-26 22:40:41
.gif)