我有兴趣挂钩返回 Windows 中目录内容的函数。我遇到了一个名为 EasyHook 的工具,但是我在他们的页面上看到了这个
与某些(商业)挂钩库通过广告来促进销售不同,用户模式挂钩永远不能成为以任何安全方式应用额外安全检查的选项。如果您只想“沙箱化”您熟悉的专用进程,而该进程实际上并不了解 EasyHook,那么这可能会成功!但是,永远不要尝试编写任何基于用户模式挂钩的安全软件。它不会起作用,我向你保证……这也是 EasyHook 不支持所谓的“系统范围”注入的原因,这实际上只是一种错觉,因为正如我所说,使用用户模式挂钩,这将永远是不可能的。
http://www.codeproject.com/Articles/27637/EasyHook-The-reinvention-of-Windows-API-hooking
我在那里的论坛上问过,但似乎没有人知道那里。为什么这种挂钩不适合安全分析?
基本上,我想更改函数的输出,以便它返回额外的不存在的文件,这样每个调用进程都会看到这种变化。(这样做是为了安全分析)。
谢谢,或者。