[求助]请问怎么再R3下检测自己的程序被消息钩子了和清除消息钩子-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 2 楼你说的消息钩子是指ｗｉｎｄｏｗｓ消息循环吗 2019-1-12 07:01 1
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 3 楼如果是ＷＩＮＤＯＷＳ消息循环之前在堆栈检测是否子类化就可以了　清除就在ｓｅｔｗｉｎｄｏｗｌｏｎｇ／ｓｅｔｃｌａｓｓｌｏｎｇ恢复一下就可以了 2019-1-12 07:07 1
smabl 雪币： 282 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 53 粉丝 0 关注私信	smabl 4 楼就是被SetWindowsHookEx勾住了，例如是用SetWindowsHookEx勾住了程序的键盘，怎么能检测的到？ 2019-1-12 10:00 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 5 楼别想了，钩子是由系统维护的，R3层无法访问 2019-1-12 15:34 0
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 6 楼 smabl 就是被SetWindowsHookEx勾住了，例如是用SetWindowsHookEx勾住了程序的键盘，怎么能检测的到？你回复的时候要点一下引用要不然别人不知道你对他回复了ｓｅｔｗｉｎｄｏｗｈｏｏｋｅｘ会注入ＤＬＬ你可以检测ＤＬＬ也可以用我前面回复的方法来检测　因为他要修改键鼠函数　实际就是修改你的窗口回调函数　效果和子类化差不多　所以你也可以通过堆栈检测清除你就ＵＮＨＯＯＫ就行了 2019-1-12 16:56 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼 LOWLEVEL全局消息钩子R3无法检测其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了 2019-1-12 18:35 0
smabl 雪币： 282 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 53 粉丝 0 关注私信	smabl 8 楼 PYGame 你回复的时候要点一下引用要不然别人不知道你对他回复了ｓｅｔｗｉｎｄｏｗｈｏｏｋｅｘ会注入ＤＬＬ你可以检测ＤＬＬ也可以用我前面回复的方法来检测　因为他要修改键鼠函数　实际就是修改你的窗口回调函数 ... 谢谢 2019-1-12 19:11 0
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 9 楼 hzqst LOWLEVEL全局消息钩子R3无法检测其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了我来科普下ＬＯＷＬＥＶＥＬ只是争对当前进程的　不存在全局一说　说白了就是劫持ＡＣＣＥＬＥＲＡＴＯＲ　ＫＥＹ全局的必须得注入ＤＬＬ　否则其他进程的回调代码放哪里？ 2019-1-12 20:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 2 楼你说的消息钩子是指ｗｉｎｄｏｗｓ消息循环吗 2019-1-12 07:01 1
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 3 楼如果是ＷＩＮＤＯＷＳ消息循环之前在堆栈检测是否子类化就可以了　清除就在ｓｅｔｗｉｎｄｏｗｌｏｎｇ／ｓｅｔｃｌａｓｓｌｏｎｇ恢复一下就可以了 2019-1-12 07:07 1
smabl 雪币： 282 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 53 粉丝 0 关注私信	smabl 4 楼就是被SetWindowsHookEx勾住了，例如是用SetWindowsHookEx勾住了程序的键盘，怎么能检测的到？ 2019-1-12 10:00 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 5 楼别想了，钩子是由系统维护的，R3层无法访问 2019-1-12 15:34 0
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 6 楼 smabl 就是被SetWindowsHookEx勾住了，例如是用SetWindowsHookEx勾住了程序的键盘，怎么能检测的到？你回复的时候要点一下引用要不然别人不知道你对他回复了ｓｅｔｗｉｎｄｏｗｈｏｏｋｅｘ会注入ＤＬＬ你可以检测ＤＬＬ也可以用我前面回复的方法来检测　因为他要修改键鼠函数　实际就是修改你的窗口回调函数　效果和子类化差不多　所以你也可以通过堆栈检测清除你就ＵＮＨＯＯＫ就行了 2019-1-12 16:56 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼 LOWLEVEL全局消息钩子R3无法检测其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了 2019-1-12 18:35 0
smabl 雪币： 282 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 53 粉丝 0 关注私信	smabl 8 楼 PYGame 你回复的时候要点一下引用要不然别人不知道你对他回复了ｓｅｔｗｉｎｄｏｗｈｏｏｋｅｘ会注入ＤＬＬ你可以检测ＤＬＬ也可以用我前面回复的方法来检测　因为他要修改键鼠函数　实际就是修改你的窗口回调函数 ... 谢谢 2019-1-12 19:11 0
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 9 楼 hzqst LOWLEVEL全局消息钩子R3无法检测其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了我来科普下ＬＯＷＬＥＶＥＬ只是争对当前进程的　不存在全局一说　说白了就是劫持ＡＣＣＥＬＥＲＡＴＯＲ　ＫＥＹ全局的必须得注入ＤＬＬ　否则其他进程的回调代码放哪里？ 2019-1-12 20:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复