[原创]计算机病毒对消息钩子的利用与对抗-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (36) ◀ 1 2
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 2011-10-21 11:03 26 楼 0 Just U Know！！！
renminbi 雪币： 327 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2011-10-27 16:34 27 楼 0 测试了一下 xuetr显示的模块名是以消息钩子函数地址去查找的。没加基址，所以有的模块名不对。
dncwbc 雪币： 170 活跃值： (116) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 33 粉丝 3 关注私信	dncwbc 3 2011-10-29 07:39 28 楼 0 这种方法的确可以得到消息钩子回调函数所属的模块，这一点也正是xuetr所忽略的。但是该方法成功有个前提，就是安装钩子的进程必须也触发了该钩子。不过通常都会触发的，所以这个方法大多时候是可行的。
sundisler 雪币： 522 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sundisler 2011-10-29 11:32 29 楼 0 还不太懂，慢慢学
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 2011-11-1 22:07 30 楼 0 有隐秘的广告嫌疑，不过还是感谢分享。
nguyen 雪币： 365 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 20 粉丝 0 关注私信	nguyen 2011-11-2 15:16 31 楼 0 通过分析病毒样本我们通常可以得到病毒安装钩子就是为了令其他合法进程加载病毒DLL，所以它会将钩子回调函数写在该DLL中。远程和全局钩子都要将钩子函数在DLL中实现，这种判断不靠谱吧？！
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 2011-12-2 22:23 32 楼 0 我只比较关心, WIN7 / 8 下, 能够正确枚举到么?
才情岁月雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	才情岁月 2011-12-5 10:47 33 楼 0 谢谢楼主，学习了！
tyTYtyTYTY 雪币： 81 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 64 回帖 269 粉丝 0 关注私信	tyTYtyTYTY 2011-12-5 20:43 34 楼 0 学习了。。。。。。楼主幸苦了！
Caten 雪币： 23 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 45 粉丝 1 关注私信	Caten 1 2011-12-6 21:00 35 楼 0 对病毒处理有一定帮助！
caozhihua 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	caozhihua 2012-2-24 10:58 36 楼 0 http://blog.csdn.net/yincheng01/article/details/6899305
kingkongk 雪币： 60 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 160 粉丝 0 关注私信	kingkongk 2012-2-24 11:57 37 楼 0 明显是所谓的专家抄袭，你看日期不就知道了，支持看雪
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (36) ◀ 1 2
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 2011-10-21 11:03 26 楼 0 Just U Know！！！
renminbi 雪币： 327 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2011-10-27 16:34 27 楼 0 测试了一下 xuetr显示的模块名是以消息钩子函数地址去查找的。没加基址，所以有的模块名不对。
dncwbc 雪币： 170 活跃值： (116) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 33 粉丝 3 关注私信	dncwbc 3 2011-10-29 07:39 28 楼 0 这种方法的确可以得到消息钩子回调函数所属的模块，这一点也正是xuetr所忽略的。但是该方法成功有个前提，就是安装钩子的进程必须也触发了该钩子。不过通常都会触发的，所以这个方法大多时候是可行的。
sundisler 雪币： 522 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sundisler 2011-10-29 11:32 29 楼 0 还不太懂，慢慢学
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 2011-11-1 22:07 30 楼 0 有隐秘的广告嫌疑，不过还是感谢分享。
nguyen 雪币： 365 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 20 粉丝 0 关注私信	nguyen 2011-11-2 15:16 31 楼 0 通过分析病毒样本我们通常可以得到病毒安装钩子就是为了令其他合法进程加载病毒DLL，所以它会将钩子回调函数写在该DLL中。远程和全局钩子都要将钩子函数在DLL中实现，这种判断不靠谱吧？！
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 2011-12-2 22:23 32 楼 0 我只比较关心, WIN7 / 8 下, 能够正确枚举到么?
才情岁月雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	才情岁月 2011-12-5 10:47 33 楼 0 谢谢楼主，学习了！
tyTYtyTYTY 雪币： 81 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 64 回帖 269 粉丝 0 关注私信	tyTYtyTYTY 2011-12-5 20:43 34 楼 0 学习了。。。。。。楼主幸苦了！
Caten 雪币： 23 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 45 粉丝 1 关注私信	Caten 1 2011-12-6 21:00 35 楼 0 对病毒处理有一定帮助！
caozhihua 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	caozhihua 2012-2-24 10:58 36 楼 0 http://blog.csdn.net/yincheng01/article/details/6899305
kingkongk 雪币： 60 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 160 粉丝 0 关注私信	kingkongk 2012-2-24 11:57 37 楼 0 明显是所谓的专家抄袭，你看日期不就知道了，支持看雪
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复