首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[讨论]有跟过ShellExecuteHooks加载过程的吗
2008-8-18 17:52 7662

[讨论]有跟过ShellExecuteHooks加载过程的吗

yigeren 活跃值
2008-8-18 17:52
7662
突然很好奇,就跟了一下,只知道是回来调用的user32.__ClientLoadLibrary,可是进程启动过程中根本没见读ShellExecuteHooks的注册表项呀,怎么回事。。。很郁闷,和Shadow SSDT有关吗?

[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (5)
xss
雪    币: 471
活跃值: (3202)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
xss 4 2008-8-18 20:20
2
0
Explorer会自动加载
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {2A321487-4977-D98A-C8D5-6488257545A2}
yigeren
雪    币: 191
活跃值: (85)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
yigeren 2008-8-19 12:49
3
0
谢谢楼上,但是我知道Explorer会自动加载,但是我找不到如何加载的代码
yigeren
雪    币: 191
活跃值: (85)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
yigeren 2008-8-21 17:09
4
0
果然是使用GDI函数后,在win32k里干的。。。
Adventure
雪    币: 4398
活跃值: (1246)
能力值: ( LV7,RANK:113 )
在线值:
发帖
回帖
粉丝
私信
Adventure 2019-9-29 18:34
5
0
yigeren 谢谢楼上,但是我知道Explorer会自动加载,但是我找不到如何加载的代码
刚好看到这块东西,在Shell32.dll!CSHellExecute::ExecuteNormal -> CShellExecute::_TryHooks->TryShellExecuteHooks里面读取的Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks
v0id_
雪    币: 8297
活跃值: (4831)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
v0id_ 2019-9-29 20:13
6
0
Adventure 刚好看到这块东西[em_13],在Shell32.dll!CSHellExecute::ExecuteNormal -> CShellExecute::_TryHooks->TryShel ...
十多年了啊
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回