瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 头一次看到如此泛滥的API HOOK 有问题不??????????
基牛 - 2009-7-26 19:41:00
API HOOK
NtCreateFile (危险等级: 高,  被下面模块所HOOK: )
NtCreateKey (危险等级: 高,  被下面模块所HOOK: )
NtCreateProcess (危险等级: 一般,  被下面模块所HOOK: )
NtCreateProcessEx (危险等级: 一般,  被下面模块所HOOK: )
NtCreateThread (危险等级: 一般,  被下面模块所HOOK: )
NtDeleteFile (危险等级: 高,  被下面模块所HOOK: )
NtEnumerateKey (危险等级: 高,  被下面模块所HOOK: )
NtEnumerateValueKey (危险等级: 高,  被下面模块所HOOK: )
NtFsControlFile (危险等级: 高,  被下面模块所HOOK: )
NtLoadDriver (危险等级: 高,  被下面模块所HOOK: )
NtLoadKey2 (危险等级: 高,  被下面模块所HOOK: )
NtLoadKey (危险等级: 高,  被下面模块所HOOK: )
NtOpenKey (危险等级: 高,  被下面模块所HOOK: )
NtOpenProcess (危险等级: 高,  被下面模块所HOOK: )
NtOpenThread (危险等级: 高,  被下面模块所HOOK: )
NtQueryDirectoryFile (危险等级: 高,  被下面模块所HOOK: )
NtQueryDirectoryObject (危险等级: 高,  被下面模块所HOOK: )
NtQueryFullAttributesFile (危险等级: 高,  被下面模块所HOOK: )
NtQueryInformationFile (危险等级: 高,  被下面模块所HOOK: )
NtQueryInformationPort (危险等级: 高,  被下面模块所HOOK: )
NtQueryInformationProcess (危险等级: 高,  被下面模块所HOOK: )
NtQueryInformationThread (危险等级: 高,  被下面模块所HOOK: )
NtQuerySystemInformation (危险等级: 高,  被下面模块所HOOK: )
NtReadFile (危险等级: 一般,  被下面模块所HOOK: )
NtRenameKey (危险等级: 一般,  被下面模块所HOOK: )
NtReplaceKey (危险等级: 高,  被下面模块所HOOK: )
NtRestoreKey (危险等级: 高,  被下面模块所HOOK: )
NtSaveKey (危险等级: 高,  被下面模块所HOOK: )
NtSaveKeyEx (危险等级: 高,  被下面模块所HOOK: )
NtSetInformationFile (危险等级: 高,  被下面模块所HOOK: )
NtSetInformationKey (危险等级: 高,  被下面模块所HOOK: )
NtSetInformationProcess (危险等级: 高,  被下面模块所HOOK: )
NtSetInformationThread (危险等级: 高,  被下面模块所HOOK: )
NtSetSystemInformation (危险等级: 高,  被下面模块所HOOK: )
NtSetValueKey (危险等级: 高,  被下面模块所HOOK: )
NtTerminateProcess (危险等级: 高,  被下面模块所HOOK: )
NtTerminateThread (危险等级: 高,  被下面模块所HOOK: )
NtWriteFile (危险等级: 一般,  被下面模块所HOOK: )
ZwCreateFile (危险等级: 高,  被下面模块所HOOK: )
ZwCreateKey (危险等级: 高,  被下面模块所HOOK: )
ZwCreatePort (危险等级: 一般,  被下面模块所HOOK: )
ZwCreateProcess (危险等级: 一般,  被下面模块所HOOK: )
ZwCreateProcessEx (危险等级: 一般,  被下面模块所HOOK: )
ZwCreateThread (危险等级: 一般,  被下面模块所HOOK: )
ZwDeleteFile (危险等级: 高,  被下面模块所HOOK: )
ZwDeleteKey (危险等级: 高,  被下面模块所HOOK: )
ZwEnumerateKey (危险等级: 高,  被下面模块所HOOK: )
ZwEnumerateValueKey (危险等级: 高,  被下面模块所HOOK: )
ZwFsControlFile (危险等级: 高,  被下面模块所HOOK: )
ZwOpenFile (危险等级: 一般,  被下面模块所HOOK: )
ZwOpenProcess (危险等级: 一般,  被下面模块所HOOK: )
ZwOpenThread (危险等级: 一般,  被下面模块所HOOK: )
ZwQueryDirectoryFile (危险等级: 高,  被下面模块所HOOK: )
ZwQueryInformationFile (危险等级: 高,  被下面模块所HOOK: )
ZwQueryInformationProcess (危险等级: 高,  被下面模块所HOOK: )
ZwQueryInformationThread (危险等级: 高,  被下面模块所HOOK: )
ZwReadFile (危险等级: 一般,  被下面模块所HOOK: )
ZwRenameKey (危险等级: 一般,  被下面模块所HOOK: )
ZwReplaceKey (危险等级: 高,  被下面模块所HOOK: )
ZwRestoreKey (危险等级: 高,  被下面模块所HOOK: )
ZwSaveKey (危险等级: 高,  被下面模块所HOOK: )
ZwSaveKeyEx (危险等级: 高,  被下面模块所HOOK: )
ZwSetInformationFile (危险等级: 高,  被下面模块所HOOK: )
ZwSetInformationKey (危险等级: 高,  被下面模块所HOOK: )
ZwSetInformationProcess (危险等级: 高,  被下面模块所HOOK: )
ZwSetInformationThread (危险等级: 高,  被下面模块所HOOK: )
ZwSetSystemInformation (危险等级: 高,  被下面模块所HOOK: )
ZwSetValueKey (危险等级: 高,  被下面模块所HOOK: )
ZwSetVolumeInformationFile (危险等级: 高,  被下面模块所HOOK: )
ZwShutdownSystem (危险等级: 高,  被下面模块所HOOK: )
ZwTerminateProcess (危险等级: 高,  被下面模块所HOOK: )
ZwTerminateThread (危险等级: 高,  被下面模块所HOOK: )
ZwWriteFile (危险等级: 一般,  被下面模块所HOOK: )
GetVersion (危险等级: 一般,  被下面模块所HOOK: )
GetVersionExW (危险等级: 一般,  被下面模块所HOOK: )
DeleteFileW (危险等级: 高,  被下面模块所HOOK: )
FindFirstFileExW (危险等级: 高,  被下面模块所HOOK: )
TerminateThread (危险等级: 高,  被下面模块所HOOK: )
FindFirstChangeNotificationW (危险等级: 高,  被下面模块所HOOK: )
GetCurrentProcess (危险等级: 一般,  被下面模块所HOOK: )
GetCurrentProcessId (危险等级: 一般,  被下面模块所HOOK: )
GetCurrentThread (危险等级: 一般,  被下面模块所HOOK: )
GetCurrentThreadId (危险等级: 一般,  被下面模块所HOOK: )
GetFileSizeEx (危险等级: 一般,  被下面模块所HOOK: )
GetFileInformationByHandle (危险等级: 一般,  被下面模块所HOOK: )
GetFileAttributesW (危险等级: 一般,  被下面模块所HOOK: )
OpenProcess (危险等级: 高,  被下面模块所HOOK: )
OpenThread (危险等级: 高,  被下面模块所HOOK: )

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; iCafeMedia; icafe8)
dipahole - 2009-7-26 20:47:00
HOOK多也得看谁改的HOOK  谁利用这些HOOK  利用这些做什么
基牛 - 2009-7-26 21:50:00
别沉了:kaka9: :kaka9:
学飞的龙 - 2009-7-26 22:09:00
我见过这样的,你看后面HOOK后面都有路径,这个没有,那怎么判断啊
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
still刀刀 - 2009-7-26 23:45:00
例:
API HOOK
入口点错误:OpenProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dnsq.dll) 
这个是可疑的
我想是根据前面的判断吧。
前面已经怀疑 C:\WINDOWS\system32\dnsq.dll可能是病毒
这里被HOOK。显然是病毒为了隐藏自己而使用了该技术
最硬的石头 - 2009-7-27 8:23:00
:kaka6: 看后面的驱动啊,4楼的那个就是卡巴的hook

楼主估计也是什么安全软件的hook,这些函数都是比较熟悉的
基牛 - 2009-7-27 10:15:00
奇怪的地方就是。没有路径  苦闷。。
aaccbbdd - 2009-7-27 12:54:00
icesword本人貌似可查看
1
查看完整版本: 头一次看到如此泛滥的API HOOK 有问题不??????????
© 2000 - 2026 Rising Corp. Ltd.