首页
社区
课程
招聘
[求助]请问怎么再R3下检测自己的程序被消息钩子了和清除消息钩子
发表于: 2019-1-12 06:27 4215

[求助]请问怎么再R3下检测自己的程序被消息钩子了和清除消息钩子

2019-1-12 06:27
4215
请问论坛上的各位大佬, 怎么才可以再R3层下检测自己的程序让消息钩子了,还就就是怎么来清除这些钩子,谢谢.....

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你说的消息钩子是指windows消息循环吗
2019-1-12 07:01
1
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
如果是WINDOWS消息循环之前在堆栈检测是否子类化就可以了 清除就在setwindowlong/setclasslong恢复一下就可以了
2019-1-12 07:07
1
雪    币: 282
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
就是被SetWindowsHookEx勾住了, 例如是用SetWindowsHookEx勾住了程序的键盘, 怎么能检测的到?
2019-1-12 10:00
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
别想了,钩子是由系统维护的,R3层无法访问
2019-1-12 15:34
0
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
smabl 就是被SetWindowsHookEx勾住了, 例如是用SetWindowsHookEx勾住了程序的键盘, 怎么能检测的到?
你回复的时候要点一下引用要不然别人不知道你对他回复了
setwindowhookex会注入DLL你可以检测DLL
也可以用我前面回复的方法来检测 因为他要修改键鼠函数 实际就是修改你的窗口回调函数 效果和子类化差不多 所以你也可以通过堆栈检测
清除你就UNHOOK就行了
2019-1-12 16:56
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
7
LOWLEVEL全局消息钩子R3无法检测
其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了
2019-1-12 18:35
0
雪    币: 282
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
PYGame 你回复的时候要点一下引用要不然别人不知道你对他回复了 setwindowhookex会注入DLL你可以检测DLL 也可以用我前面回复的方法来检测 因为他要修改键鼠函数 实际就是修改你的窗口回调函数 ...
谢谢
2019-1-12 19:11
0
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
hzqst LOWLEVEL全局消息钩子R3无法检测 其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了
我来科普下LOWLEVEL只是争对当前进程的 不存在全局一说 说白了就是劫持ACCELERATOR KEY
全局的必须得注入DLL 否则其他进程的回调代码放哪里?
2019-1-12 20:41
0
游客
登录 | 注册 方可回帖
返回
//