首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]全局钩子怎么只在本程序和explorer.exe下被发现呢?
发表于: 2008-9-21 10:33 6585

[求助]全局钩子怎么只在本程序和explorer.exe下被发现呢?

HCracker 活跃值
2008-9-21 10:33
6585
罗书上的:但是若安装的是远程钩子,系统不能从其他进程的地址空间中调用钩子函数,因为两个进程的地址空间是隔离的,由于系统中只有DLL程序是可以插入到其他进程的地址空间中去的,所以远程钩子的钩子函数必须位于一个动态链接库中,而且必须是共享数据段的动态链接库.

    我运行了第11章的那个远程hook键盘的程序(Hookdll.exe).然后在QQ聊天框里敲字母,结果真能显示到哪个程序的编辑窗口上.

    但是,我用tasklist /m >F:\798.txt命令把进程调用的dll列出来看看,发现QQ.exe下根本就没Hookdll.dll这个钩子.只是在explorer.exe下和Hookdll.exe下找到了Hookdll.dll,这是怎么回事?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (7)
HCracker
雪    币: 201
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
不知道的也帮我顶顶啊!看雪没有将帖子提前的功能,一天就彻底沉了.
2008-9-24 08:48
0
wping
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
好像是枚举所有进程  分别注入每一个进程
2008-9-24 09:01
0
sding
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
枚举所有进程进行注入,有时会出现注入失败的
2008-9-24 14:30
0
网络游侠
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
5
需要debug 和 se_debug 权限

首先提权,否则注入winlogon.exe 失败!

参考windows nt 上的提权函数!
2008-9-24 22:27
0
HCracker
雪    币: 201
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
3-4楼的:枚举所有进程,肯定不需要这样的我用360拦截了其对QQ的注入的.但是仍然能记录QQ框敲的字母
5楼的:首先提权,在我自己机器上以administrators权限登陆的啊?
2008-9-25 15:01
0
warcraft
雪    币: 232
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
同问。。。希望能有个详细的解释
2008-9-25 23:59
0
panti
雪    币: 1602
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这个注入是消息注入的,取消息才能加载,如果某个进程钩子成功,那么DLL一定被加载,用冰刃可以看到,EXPLORER.EXE下有DLL就是证明。
2008-9-28 10:05
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//