Board logo

标题: 【sudami】拦截全局钩子貌似没有更好的方法了 [打印本页]
作者: 点饭的百度空间     时间: 2008-12-24 10:16    标题: 【sudami】拦截全局钩子貌似没有更好的方法了

WINDOWS内核疯狂爱好者 sudami
http://hi.baidu.com/sudami/blog/ ... 4c47aacbefd091.html


2008年12月24日 星期三 01:43

跟踪调试了半天,发现从应用层到内核层,整个全局钩子过程没有走多少路线, 也就是可以监控的地方就那么点儿,很是纳闷. 看了下几个其他的安全软件,同出一辙的方法. 暂时也想不出其他好方法了. 无非是NtUserSetWindowsHookEx 、zzzSetWindowsHookEx. 没意思啊. 哪位同学有更好的思路还请指点一二~





貌似都是看见敏感的全局钩子,就拦截之. 效果雷同:


说弱不弱,说强不强. 只是某些防御软件Inline hook后又加线程/ DPC守护之.
效果相对比较不错...

哎,再过20多天,就可以离校返乡了. 一年没回家了啊. 回去得把网络驱动恶补一下,太菜了~~~

【0 4 6 5 6 9】最近微点的规则变动怎么这么大

最近微点的规则变动怎么这么大 以前的已知行为规则不报警了

有些单一动作也开始报可疑了 比如旧版的微点

如果一个程序有如下动作
释放文件到敏感目录 写启动项 运行自身会报警可疑
现在不报警了 而随便一个钩子 比如
hook openprocess 会直接报警可疑程序



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn