[原创]计算机病毒对消息钩子的利用与对抗-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]计算机病毒对消息钩子的利用与对抗

发表于: 2011-10-7 23:57 26734

[原创]计算机病毒对消息钩子的利用与对抗

dncwbc

2011-10-7 23:57

26734

设置钩子回调函数；（拦截到消息后所调用的函数）

安装钩子；（使用SetWindowsHookEx函数）

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・56

免费・7

支持

最新回复 (36) 1 2 ▶
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 2 楼 vista ，win7就杯具了。。。。 2011-10-8 08:41 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 3 楼学习了，挺不错的。 2011-10-8 10:43 0
猪猡公园雪币： 599 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 269 粉丝 0 关注私信	猪猡公园 4 楼标记一下，晚上回去看。 2011-10-8 20:04 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 5 楼 markkkkkkkkkkkkkkkkkkk 2011-10-8 20:26 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 6 楼收藏了不错谢谢楼主分享！ 2011-10-8 21:09 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 7 楼支持王兄弟!! 2011-10-8 22:36 0
CCDmichael 雪币： 40 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	CCDmichael 8 楼好像用NtQuerySystemInfomation就可以得到钩子句柄 2011-10-11 08:47 0
地精锁匠雪币： 166 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 115 粉丝 0 关注私信	地精锁匠 9 楼 Thank you for sharing! 2011-10-11 09:21 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 10 楼在2000/XP系统下有一个Windows用户界面相关的应用程序接口User32.dll。它用于包括Windows窗口处理，基本用户界面等特性，如创建窗口和发送消息。当它被加载到内存后，它保存了所有Windows窗口、消息相关的句柄，其中就包括消息钩子句柄。这些句柄被保存在一块共享内存段中，通常称为R3层的GUI TABLE。多session下，也如此？ win7下，也如此？ 2011-10-11 09:49 0
bklang 雪币： 27 活跃值： (816) 能力值： ( LV5，RANK：70 ) 在线值：发帖 17 回帖 108 粉丝 2 关注私信	bklang 1 11 楼记下，慢慢学习。 2011-10-11 11:00 0
tcxf 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	tcxf 12 楼看看啊学历拉 2011-10-11 11:41 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 13 楼 mark 学习一下 2011-10-11 11:43 0
robey 雪币： 149 活跃值： (151) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 162 粉丝 1 关注私信	robey 1 14 楼过来学习。。。。。 2011-10-11 13:22 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼顶一个，过来学习 2011-10-11 15:54 0
willapple 雪币： 7132 活跃值： (1140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	willapple 16 楼学习学习！谢谢分享！ 2011-10-11 18:39 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 17 楼这种文章看着过瘾！ 2011-10-12 18:39 0
hardcode 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hardcode 18 楼消息钩子分为局部钩子和全局钩子。局部钩子是指仅拦截指定一个进程的指定消息，全局钩子将拦截系统中所有进程的指定消息。是线程吧？ 2011-10-14 09:21 0
hardcode 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hardcode 19 楼全局键盘消息钩子，钩子回调函数位于病毒进程中？ 2011-10-14 09:28 0
hzHC 雪币： 76 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 69 粉丝 0 关注私信	hzHC 20 楼说点题外的，看了这篇帖子就不用买那本书了。 2011-10-14 10:52 0
poTank 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	poTank 21 楼学习了~ 标记下 2011-10-17 16:20 0
孤叶飘零雪币： 166 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	孤叶飘零 1 22 楼标记一下，一定会看的 2011-10-17 20:08 0
月月h 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	月月h 23 楼感谢楼主留个脚印，过会再看看 2011-10-18 08:37 0
sunlulu 雪币： 20 活跃值： (99) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 104 粉丝 0 关注私信	sunlulu 1 24 楼牛人啊～留着学习！ 2011-10-18 09:15 0
diggold 雪币： 186 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	diggold 25 楼测试了一下获取的模块名与xuetr显示的不同获取基址的代码老是返回0 2011-10-18 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dncwbc

发帖

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 2 楼 vista ，win7就杯具了。。。。 2011-10-8 08:41 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 3 楼学习了，挺不错的。 2011-10-8 10:43 0
猪猡公园雪币： 599 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 269 粉丝 0 关注私信	猪猡公园 4 楼标记一下，晚上回去看。 2011-10-8 20:04 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 5 楼 markkkkkkkkkkkkkkkkkkk 2011-10-8 20:26 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 6 楼收藏了不错谢谢楼主分享！ 2011-10-8 21:09 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 7 楼支持王兄弟!! 2011-10-8 22:36 0
CCDmichael 雪币： 40 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	CCDmichael 8 楼好像用NtQuerySystemInfomation就可以得到钩子句柄 2011-10-11 08:47 0
地精锁匠雪币： 166 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 115 粉丝 0 关注私信	地精锁匠 9 楼 Thank you for sharing! 2011-10-11 09:21 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 10 楼在2000/XP系统下有一个Windows用户界面相关的应用程序接口User32.dll。它用于包括Windows窗口处理，基本用户界面等特性，如创建窗口和发送消息。当它被加载到内存后，它保存了所有Windows窗口、消息相关的句柄，其中就包括消息钩子句柄。这些句柄被保存在一块共享内存段中，通常称为R3层的GUI TABLE。多session下，也如此？ win7下，也如此？ 2011-10-11 09:49 0
bklang 雪币： 27 活跃值： (816) 能力值： ( LV5，RANK：70 ) 在线值：发帖 17 回帖 108 粉丝 2 关注私信	bklang 1 11 楼记下，慢慢学习。 2011-10-11 11:00 0
tcxf 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	tcxf 12 楼看看啊学历拉 2011-10-11 11:41 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 13 楼 mark 学习一下 2011-10-11 11:43 0
robey 雪币： 149 活跃值： (151) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 162 粉丝 1 关注私信	robey 1 14 楼过来学习。。。。。 2011-10-11 13:22 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼顶一个，过来学习 2011-10-11 15:54 0
willapple 雪币： 7132 活跃值： (1140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	willapple 16 楼学习学习！谢谢分享！ 2011-10-11 18:39 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 17 楼这种文章看着过瘾！ 2011-10-12 18:39 0
hardcode 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hardcode 18 楼消息钩子分为局部钩子和全局钩子。局部钩子是指仅拦截指定一个进程的指定消息，全局钩子将拦截系统中所有进程的指定消息。是线程吧？ 2011-10-14 09:21 0
hardcode 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hardcode 19 楼全局键盘消息钩子，钩子回调函数位于病毒进程中？ 2011-10-14 09:28 0
hzHC 雪币： 76 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 69 粉丝 0 关注私信	hzHC 20 楼说点题外的，看了这篇帖子就不用买那本书了。 2011-10-14 10:52 0
poTank 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	poTank 21 楼学习了~ 标记下 2011-10-17 16:20 0
孤叶飘零雪币： 166 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	孤叶飘零 1 22 楼标记一下，一定会看的 2011-10-17 20:08 0
月月h 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	月月h 23 楼感谢楼主留个脚印，过会再看看 2011-10-18 08:37 0
sunlulu 雪币： 20 活跃值： (99) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 104 粉丝 0 关注私信	sunlulu 1 24 楼牛人啊～留着学习！ 2011-10-18 09:15 0
diggold 雪币： 186 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	diggold 25 楼测试了一下获取的模块名与xuetr显示的不同获取基址的代码老是返回0 2011-10-18 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复