能力值:
( LV2,RANK:10 )
2 楼
没人研究 自己来
0x1248->0x248->584 NtUserValidateHandleSecure
0x11e3->0x1e3->483 NtUserQueryWindow
下面是usermode抓的service call 可能不完整
GetWindowTextA=>Call service 00001248 =>Call service 000011E3 =>End
GetWindowTextW=>Call service 00001248 =>Call service 000011E3 =>End
能力值:
( LV15,RANK:930 )
3 楼
创建自己的类窗口(主要针对系统的“优化”措施,比如 GetWindowText 跨进程调用,对于系统控件不会导致 WM_GETEXT 的消息的产生),然后在消息处理中,验证消息的发送者。
能力值:
( LV12,RANK:240 )
4 楼
啊 这个外包在好多地方看过 呵呵 比如下面
http://topic.csdn.net/u/20071030/12/6835ebe1-6ec9-4c4e-825f-f8c1d66ba952.html
能力值:
( LV2,RANK:10 )
5 楼
等着蓝屏吧。有几款杀毒也HOOK了这些函数
能力值:
( LV13,RANK:410 )
6 楼
打算做反WG吧
能力值:
( LV9,RANK:1210 )
7 楼
NtUserBuildHwndList
NtUserWindowFromPoint
NtUserGetForegroundWindow
不过spy++用GetWindow还能找到,再深挖一下
只要你能做到不让别的程序得到hwnd大概就差不多了
能力值:
( LV2,RANK:10 )
8 楼
kevinqing,softworm你们两想到好方法了吗?
NtUserBuildHwndList(只能防掉EnumWindow)
NtUserWindowFromPoint
NtUserGetForegroundWindow
softworm你hook后面两个函数是为了什么?
GetWindow和FindWindowEx都难防,不知道在ring0层是调用哪些函数。
能力值:
( LV9,RANK:1210 )
9 楼
好象还有个NtUserFindWindowEx
后2个防这个:
HWND WindowFromPoint(
POINT Point // structure with point
);
HWND GetForegroundWindow(VOID)'
DWORD GetWindowThreadProcessId(
HWND hWnd, // handle to window
LPDWORD lpdwProcessId // address of variable for process identifier
);
能力值:
( LV9,RANK:1210 )
10 楼
我的OD的确要和KAV打架,我也不清楚什么时候开始的,在办公室的机器上写的,没装AV,估计不是SSDT,Hook中断造成的可能性更大
能力值:
( LV2,RANK:10 )
11 楼
NtUserFindWindowEx我刚刚写发现了这个,都郁闷我半天 WindowFromPoint
GetForegroundWindow
GetWindowThreadProcessId
总感觉跟getwindow没什么关系,你是反调试出来的?
能力值:
( LV2,RANK:10 )
12 楼
装什么kav哦。NtUserFindWindowEx这个我也发现了。
WindowFromPoint
GetForegroundWindow
GetWindowThreadProcessId
这个三个函数跟getwindow好象都没瓜葛。。。3个函数都要跟?
能力值:
( LV2,RANK:10 )
13 楼
我先拦下来试试。
GetWindowThreadProcessId但这个shodaw下是哪个函数
能力值:
( LV2,RANK:10 )
14 楼
softworm,还是防不了getwindow,我跟踪下去也是跟楼主分析的一样getwindow调用了shadow里的NtUserValidateHandleSecure,但只不知道参数很难过滤。还有更奇怪的是我有一台电脑调用getwindow却不调用这个NtUserValidateHandleSecure函数。。头到了,睡觉
能力值:
( LV9,RANK:1210 )
15 楼
GetWindow我也不明白,你要是搞定了告诉我一下
能力值:
( LV12,RANK:760 )
16 楼
GetWindow
不走寻常路~
没有碰内核~~搞起来很麻烦~
能力值:
( LV2,RANK:10 )
17 楼
楼上的,GetWindow 没有碰内核?
能力值:
( LV2,RANK:10 )
18 楼
是有些函数都没掉内核- -
主要是A版的
直接遍历内存结构得到的
能力值:
( LV2,RANK:10 )
19 楼
我已经找到方法,先测试测试
能力值:
( LV9,RANK:970 )
20 楼
GetWindow -> InternalGetWindowText -> NtUserInternalGetWindowText -> _InternalGetWindowText
搞出来了代码分享下:)
能力值:
(RANK:570 )
21 楼
能力值:
( LV2,RANK:10 )
22 楼
貌似进错了 以为是讨论PG软件呢
能力值:
( LV2,RANK:10 )
23 楼
帮楼主顶一个 我也想知道如何hook NtUserBuildHwndList
能力值:
( LV2,RANK:10 )
24 楼
NtUserValidateHandleSecure 这个不错