他们是一种查看应用程序是否被钩住的方法吗?我希望能够查看一个应用程序是否被钩住,如果是的话,也许看看到底是什么被钩住了?我不确定这是否可能,但我想知道。我只是在寻找一个预先存在的应用程序来监视某些进程。
问问题
1093 次
1 回答
1
有很多不同的方法来挂钩函数。有些很容易被发现,有些则更难。
HookShark能够检测到很多常见的挂钩方法。
它无法检测到的是通过对象实例中的 vtable 替换进行挂钩。入侵者将动态分配对象开头的 vtable 指针替换为指向他的伪造 vtable 的指针,其中要挂钩的函数被重定向。外部程序无法检测到这一点,因为它无法知道哪些内存块是 vtable 指针。
于 2013-09-15T00:59:47.750 回答