0
我的应用程序使用一些API,如GetProcAddress和CreateProcess,它们有时会导致防病毒将其标记为恶意,即使它不是。检查API是否受监视(挂钩?)
我想要做的是检查一个特定的API是否被监控或挂钩,如果是,那么我不会调用该部分的代码。
如何检查某个API是否被挂钩?
这是用C编写的Windows应用程序。
谢谢。
A
回答
1
在win32上没有检测和/或放置钩子的正式方法(除了仅涵盖一小部分功能的SetWindowsHookEx()(http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990)等功能)。
检测挂钩取决于如何应用挂钩。
有两种常用的方法放置一个钩:
- 导入/导出表修补
- 代码覆盖
要详细了解不同的方法来将挂钩(优点/缺点)请考虑在这里阅读http://help.madshi.net/ApiHookingMethods.htm。
每种挂钩方法都需要一种不同的方法来检测它。
有关如上所述检测挂钩的方法,请在此处查看“ApiHookCheck算法”http://www.security.org.sg/code/apihookcheck.html。有这个网页上有样品来源,我做了而不是测试。
相关问题
- 1. 监视器/挂钩javascript API
- 2. 监视TFS服务挂钩/ Web挂钩
- 3. API挂钩检测
- 4. API无挂钩挂钩
- 5. 如何检测API挂钩?
- 6. 如何使用YouTube API检查视频是否受限制?
- 7. Youtube API 2.0检查视频是否受年龄限制
- 8. Git服务器挂钩,检查代码是否被格式化
- 9. API挂钩差异
- 10. 挂钩可可API?
- 11. 关于API挂钩
- 12. API挂钩帮助
- 13. 挂钩是否在git目录或挂钩目录中运行?
- 14. CPP检查SVN提前挂钩
- 15. 文件类型检查SVN挂钩
- 16. Git预接收挂钩检查配置
- 17. 什么是子类化和API挂钩?
- 18. 挂钩API函数GetSystemMetrics
- 19. C#SetSystemTime(WIN API)挂钩
- 20. 挂钩LoadLibrary API调用
- 21. Winsock LSP vs API挂钩
- 22. github是否允许预接收挂钩?
- 23. 挂钩或监控服务创建
- 24. 是否有一个后视图更改挂钩(很像didInsertElement)?
- 25. 挂钩或不挂钩 - git
- 26. C#检查是否有多个键被按下(全局键盘挂钩)
- 27. 如何检查它是否存在与jQuery挂钩的任何ajax?
- 28. 是否有一个钩子监视蓝牙串口
- 29. 检测键盘挂钩
- 30. CORS选项预检挂钩
你会如何检查你的API监视器检测器没有被挂钩? –
'GetProcAddress'和'CreateProcess'本身不应该引发任何AV标志。你使用'CreateRemoteThread'进行远程dll注入吗?如果是这种情况,您的功能的签名可能会匹配恶意软件。 – JosephH
没有dll注入,也没有创建远程线程。这两个API在执行不同事情的程序中处于不同的部分。你知道如何检查API钩子吗? –