有没有什么办法可以确定挂钩到特定dll的进程?API挂钩检测
例如, 当恶意软件感染时,它执行api挂钩,如“Wininet.dll”中的“InternetConnect功能”。 那么,如何检测这些特定api的钩子程序?
有没有什么办法可以确定挂钩到特定dll的进程?API挂钩检测
例如, 当恶意软件感染时,它执行api挂钩,如“Wininet.dll”中的“InternetConnect功能”。 那么,如何检测这些特定api的钩子程序?
我想你可能会寻找答案是一个张贴在这里:https://security.stackexchange.com/questions/17904/what-are-the-methods-to-find-hooked-functions-and-apis
基本上,该短的版本是,如果你想检查用户级别的API挂钩的常用方法,你可以尝试:
This paper还建议作为一个很好的资源,这个问题
如果你想手动查找它,使用Dependency Walker查找可执行文件引用的静态链接(静态链接)或运行时,使用进程管理器(sysinternals)并检查内存中已加载的模块(dll)及其进程签名。
搜索谷歌的两种工具,你会发现它免费且易于使用。
如果您有兴趣附加到进程并查找进程的所有活动(如文件系统调用,注册表调用等),Process Monitor是其他sysinternals工具之一。