点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 【sudami】拦截全局钩子貌似没有更好的方法了
WINDOWS内核疯狂爱好者 sudami
http://hi.baidu.com/sudami/blog/ ... 4c47aacbefd091.html
2008年12月24日 星期三 01:43
跟踪调试了半天,发现从应用层到内核层,整个全局钩子过程没有走多少路线, 也就是可以监控的地方就那么点儿,很是纳闷. 看了下几个其他的安全软件,同出一辙的方法. 暂时也想不出其他好方法了. 无非是NtUserSetWindowsHookEx 、zzzSetWindowsHookEx. 没意思啊. 哪位同学有更好的思路还请指点一二~
貌似都是看见敏感的全局钩子,就拦截之. 效果雷同:
说弱不弱,说强不强. 只是某些防御软件Inline hook后又加线程/ DPC守护之.
效果相对比较不错...
哎,再过20多天,就可以离校返乡了. 一年没回家了啊. 回去得把网络驱动恶补一下,太菜了~~~
【0 4 6 5 6 9】最近微点的规则变动怎么这么大
最近微点的规则变动怎么这么大 以前的已知行为规则不报警了
有些单一动作也开始报可疑了 比如旧版的微点
如果一个程序有如下动作
释放文件到敏感目录 写启动项 运行自身会报警可疑
现在不报警了 而随便一个钩子 比如
hook openprocess 会直接报警可疑程序
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
