1
有没有什么办法可以确定挂钩到特定dll的进程?API挂钩检测
例如, 当恶意软件感染时,它执行api挂钩,如“Wininet.dll”中的“InternetConnect功能”。 那么,如何检测这些特定api的钩子程序?
Q
API挂钩检测
A
回答
0
我想你可能会寻找答案是一个张贴在这里:https://security.stackexchange.com/questions/17904/what-are-the-methods-to-find-hooked-functions-and-apis
基本上,该短的版本是,如果你想检查用户级别的API挂钩的常用方法,你可以尝试:
- 二进制文件的代码在内存中
- 比较IAT启动快照当前IAT比较代码。
- 比较码指出是IAT的已知项的实际条目
This paper还建议作为一个很好的资源,这个问题
0
如果你想手动查找它,使用Dependency Walker查找可执行文件引用的静态链接(静态链接)或运行时,使用进程管理器(sysinternals)并检查内存中已加载的模块(dll)及其进程签名。
搜索谷歌的两种工具,你会发现它免费且易于使用。
如果您有兴趣附加到进程并查找进程的所有活动(如文件系统调用,注册表调用等),Process Monitor是其他sysinternals工具之一。
相关问题
- 1. 如何检测API挂钩?
- 2. API无挂钩挂钩
- 3. 检测键盘挂钩
- 4. 检查API是否受监视(挂钩?)
- 5. API挂钩差异
- 6. 挂钩可可API?
- 7. 关于API挂钩
- 8. API挂钩帮助
- 9. 检测“挂钩”的DOM元素
- 10. 检测用户模式挂钩
- 11. Git挂钩检测推 - 镜像
- 12. 测试HTTP挂钩
- 13. 监视器/挂钩javascript API
- 14. 挂钩API函数GetSystemMetrics
- 15. C#SetSystemTime(WIN API)挂钩
- 16. 挂钩LoadLibrary API调用
- 17. Winsock LSP vs API挂钩
- 18. 挂钩或不挂钩 - git
- 19. CORS选项预检挂钩
- 20. 监视TFS服务挂钩/ Web挂钩
- 21. IAT挂钩 - 无法挂钩ExitProcess
- 22. SetParent挂钩,你怎么解除挂钩?
- 23. 在挂钩程序中访问挂钩
- 24. 创建一个Windows挂钩来检测菜单点击
- 25. 检测低级别键盘挂钩中的特定键
- 26. YouTube Player IFrame API,currentTime的挂钩事件
- 27. Delphi API挂钩行为奇怪
- 28. 什么是子类化和API挂钩?
- 29. C++ Windows API Syscall挂钩示例
- 30. 如何在Windows Phone 7中挂钩api?