1
有沒有什麼辦法可以確定掛鉤到特定dll的進程?API掛鉤檢測
例如, 當惡意軟件感染時,它執行api掛鉤,如「Wininet.dll」中的「InternetConnect功能」。 那麼,如何檢測這些特定api的鉤子程序?
Q
API掛鉤檢測
A
回答
0
我想你可能會尋找答案是一個張貼在這裏:https://security.stackexchange.com/questions/17904/what-are-the-methods-to-find-hooked-functions-and-apis
基本上,該短的版本是,如果你想檢查用戶級別的API掛鉤的常用方法,你可以嘗試:
- 二進制文件的代碼在內存中
- 比較IAT啓動快照當前IAT比較代碼。
- 比較碼指出是IAT的已知項的實際條目
This paper還建議作爲一個很好的資源,這個問題
0
如果你想手動查找它,使用Dependency Walker查找可執行文件引用的靜態鏈接(靜態鏈接)或運行時,使用進程管理器(sysinternals)並檢查內存中已加載的模塊(dll)及其進程簽名。
搜索谷歌的兩種工具,你會發現它免費且易於使用。
如果您有興趣附加到進程並查找進程的所有活動(如文件系統調用,註冊表調用等),Process Monitor是其他sysinternals工具之一。
相關問題
- 1. 如何檢測API掛鉤?
- 2. API無掛鉤掛鉤
- 3. 檢測鍵盤掛鉤
- 4. 檢查API是否受監視(掛鉤?)
- 5. API掛鉤差異
- 6. 掛鉤可可API?
- 7. 關於API掛鉤
- 8. API掛鉤幫助
- 9. 檢測「掛鉤」的DOM元素
- 10. 檢測用戶模式掛鉤
- 11. Git掛鉤檢測推 - 鏡像
- 12. 測試HTTP掛鉤
- 13. 監視器/掛鉤javascript API
- 14. 掛鉤API函數GetSystemMetrics
- 15. C#SetSystemTime(WIN API)掛鉤
- 16. 掛鉤LoadLibrary API調用
- 17. Winsock LSP vs API掛鉤
- 18. 掛鉤或不掛鉤 - git
- 19. CORS選項預檢掛鉤
- 20. 監視TFS服務掛鉤/ Web掛鉤
- 21. IAT掛鉤 - 無法掛鉤ExitProcess
- 22. SetParent掛鉤,你怎麼解除掛鉤?
- 23. 在掛鉤程序中訪問掛鉤
- 24. 創建一個Windows掛鉤來檢測菜單點擊
- 25. 檢測低級別鍵盤掛鉤中的特定鍵
- 26. YouTube Player IFrame API,currentTime的掛鉤事件
- 27. Delphi API掛鉤行爲奇怪
- 28. 什麼是子類化和API掛鉤?
- 29. C++ Windows API Syscall掛鉤示例
- 30. 如何在Windows Phone 7中掛鉤api?