能力值:
( LV6,RANK:80 )
|
-
-
2 楼
哎,你怎么知道这个钩子,是合法还是非法的呢? 不如降权
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
没有驱动防不了键盘监控
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
有驱动也防不了键盘监控,这些结构可以去参考WRK的代码
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
黑洛
哎,你怎么知道这个钩子,是合法还是非法的呢?
不如降权
合法非法这个还是不好说,但是出于自身的安全问题,把我自己的放在他的上面,这个应该没问题吧。。擦,怎么没发引用@黑洛
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
冰雄
没有驱动防不了键盘监控
我的想法是先检测了,在说防御的问题 请大佬指点
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
wx_寻找清鸟
有驱动也防不了键盘监控,这些结构可以去参考WRK的代码
暂时没考虑在驱动层搞哈,就现在上层把工作做好了
|
能力值:
( LV9,RANK:280 )
|
-
-
8 楼
你说的那些R3方法都是他们扯淡的 全局消息钩子仅在内核有私有结构,并且win10上面变动很大,如果你用TA(WIN64AST)的代码,那么win10上面你会死的很惨 win10怎么办?自己老老实实IDA去啊
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
qq当年的办法,不断给自己的窗体挂全局钩子,全局钩子后挂的先执行,你先执行的时候把消息retrun掉,然后反复的执行这个操作,r3基本这样就可以对付个看书偷代码的小屁孩了,驱动要想搞的话前提是,这个机器只能装你的驱动,假如人家也能加载驱动,不好意思,大家都是驱动谁怕谁啊,假如对方不能加载驱动的话,直接把上层的进程的输入直接交给驱动下发不走消息不就得了,直接驱动模拟键盘输入,你强任你强。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
hzqst
你说的那些R3方法都是他们扯淡的 全局消息钩子仅在内核有私有结构,并且win10上面变动很大,如果你用TA(WIN64AST)的代码,那么win10上面你会死的很惨
win10怎么办?自己老老实实I ...
是啊,很多方法,就算在WIN7上都未必行得通,还是老老实实IDA吧。按说前两年的方式,应该变化没这么大才对,但是我咋感觉我脱节了呢
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
crackJ
qq当年的办法,不断给自己的窗体挂全局钩子,全局钩子后挂的先执行,你先执行的时候把消息retrun掉,然后反复的执行这个操作,r3基本这样就可以对付个看书偷代码的小屁孩了,驱动要想搞的话前提是,这个机 ...
这个注意感觉还比较合适,整个定时器,我也不停的挂钩子,内核这一层倒是有些思路,几年不写,连配置驱动开发环境都觉得头大,真是醉了
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
已经找到在R3下卸载其他钩子的办法。思路是通过desktop workstation,找到当前桌面的线程,然后获取到gSharedInfo,TEB,Win32ClientInfo->pDeskInfo,之后,就可以进行遍历当前系统的钩子了。。
|
能力值:
( LV9,RANK:280 )
|
-
-
13 楼
kongfubull
已经找到在R3下卸载其他钩子的办法。思路是通过desktop workstation,找到当前桌面的线程,然后获取到gSharedInfo,TEB,Win32ClientInfo->pDeskI ...
gSharedInfo是只读的你R3怎么卸载
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
hzqst
gSharedInfo是只读的你R3怎么卸载
gSharedInfo只是内核的一个拷贝,导出了而已,虽说是在R3拿到的,但是仍然可以在R3用unhook进行卸载。我的理解是,钩子虽然是系统在维护,但是这种东西,既然在可以R3创建,那么也应该可以销毁。这个只是我的理解哈,我经过测试,确实很OK
|
能力值:
( LV1,RANK:0 )
|
-
-
15 楼
我就是来学习的~!
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
检测可以在R3搞,卸载必须R0
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
大家貌似都不信啊,放出github地址,原汁原味的,https://github.com/jay/gethooks,别说我藏私啊,注意分支
最后于 2019-3-26 11:59
被hixhi编辑
,原因:
|
能力值:
( LV5,RANK:60 )
|
-
-
18 楼
kongfubull
大家貌似都不信啊,放出github地址,原汁原味的,https://github.com/jay/gethooks,别说我藏私啊,注意分支
楼主,核心思路是不是系统会给每个进程映射钩子内核结构体信息到内存,地址等于内核地址减去ulClientDelta?
|
能力值:
( LV4,RANK:40 )
|
-
-
19 楼
头文件里找不到,就去WDK和NTDDK里找哦
|
|
|