首页
论坛
课程
招聘
雪    币: 281
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝

[商业保护] [求助]请问怎么再R3下检测自己的程序被消息钩子了和清除消息钩子

2019-1-12 06:27 1686

[商业保护] [求助]请问怎么再R3下检测自己的程序被消息钩子了和清除消息钩子

2019-1-12 06:27
1686
请问论坛上的各位大佬, 怎么才可以再R3层下检测自己的程序让消息钩子了,还就就是怎么来清除这些钩子,谢谢.....

HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

最新回复 (8)
雪    币: 2473
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYGame 活跃值 2019-1-12 07:01
2
1
你说的消息钩子是指windows消息循环吗
雪    币: 2473
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYGame 活跃值 2019-1-12 07:07
3
1
如果是WINDOWS消息循环之前在堆栈检测是否子类化就可以了 清除就在setwindowlong/setclasslong恢复一下就可以了
雪    币: 281
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
smabl 活跃值 2019-1-12 10:00
4
0
就是被SetWindowsHookEx勾住了, 例如是用SetWindowsHookEx勾住了程序的键盘, 怎么能检测的到?
雪    币: 285
活跃值: 活跃值 (86)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2019-1-12 15:34
5
0
别想了,钩子是由系统维护的,R3层无法访问
雪    币: 2473
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYGame 活跃值 2019-1-12 16:56
6
0
smabl 就是被SetWindowsHookEx勾住了, 例如是用SetWindowsHookEx勾住了程序的键盘, 怎么能检测的到?
你回复的时候要点一下引用要不然别人不知道你对他回复了
setwindowhookex会注入DLL你可以检测DLL
也可以用我前面回复的方法来检测 因为他要修改键鼠函数 实际就是修改你的窗口回调函数 效果和子类化差不多 所以你也可以通过堆栈检测
清除你就UNHOOK就行了
雪    币: 8799
活跃值: 活跃值 (790)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2019-1-12 18:35
7
0
LOWLEVEL全局消息钩子R3无法检测
其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了
雪    币: 281
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
smabl 活跃值 2019-1-12 19:11
8
0
PYGame 你回复的时候要点一下引用要不然别人不知道你对他回复了 setwindowhookex会注入DLL你可以检测DLL 也可以用我前面回复的方法来检测 因为他要修改键鼠函数 实际就是修改你的窗口回调函数 ...
谢谢
雪    币: 2473
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYGame 活跃值 2019-1-12 20:41
9
0
hzqst LOWLEVEL全局消息钩子R3无法检测 其他普通的消息钩子会注入dll所以把重心放到user32加载dll上就行了
我来科普下LOWLEVEL只是争对当前进程的 不存在全局一说 说白了就是劫持ACCELERATOR KEY
全局的必须得注入DLL 否则其他进程的回调代码放哪里?
游客
登录 | 注册 方可回帖
返回