头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[问题/讨论] 头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？

基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:	发表于： 2009-07-26 19:41 \| 只看楼主短消息资料字号：小中大 1楼头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？ API HOOK NtCreateFile (危险等级: 高, 被下面模块所HOOK: ) NtCreateKey (危险等级: 高, 被下面模块所HOOK: ) NtCreateProcess (危险等级: 一般, 被下面模块所HOOK: ) NtCreateProcessEx (危险等级: 一般, 被下面模块所HOOK: ) NtCreateThread (危险等级: 一般, 被下面模块所HOOK: ) NtDeleteFile (危险等级: 高, 被下面模块所HOOK: ) NtEnumerateKey (危险等级: 高, 被下面模块所HOOK: ) NtEnumerateValueKey (危险等级: 高, 被下面模块所HOOK: ) NtFsControlFile (危险等级: 高, 被下面模块所HOOK: ) NtLoadDriver (危险等级: 高, 被下面模块所HOOK: ) NtLoadKey2 (危险等级: 高, 被下面模块所HOOK: ) NtLoadKey (危险等级: 高, 被下面模块所HOOK: ) NtOpenKey (危险等级: 高, 被下面模块所HOOK: ) NtOpenProcess (危险等级: 高, 被下面模块所HOOK: ) NtOpenThread (危险等级: 高, 被下面模块所HOOK: ) NtQueryDirectoryFile (危险等级: 高, 被下面模块所HOOK: ) NtQueryDirectoryObject (危险等级: 高, 被下面模块所HOOK: ) NtQueryFullAttributesFile (危险等级: 高, 被下面模块所HOOK: ) NtQueryInformationFile (危险等级: 高, 被下面模块所HOOK: ) NtQueryInformationPort (危险等级: 高, 被下面模块所HOOK: ) NtQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: ) NtQueryInformationThread (危险等级: 高, 被下面模块所HOOK: ) NtQuerySystemInformation (危险等级: 高, 被下面模块所HOOK: ) NtReadFile (危险等级: 一般, 被下面模块所HOOK: ) NtRenameKey (危险等级: 一般, 被下面模块所HOOK: ) NtReplaceKey (危险等级: 高, 被下面模块所HOOK: ) NtRestoreKey (危险等级: 高, 被下面模块所HOOK: ) NtSaveKey (危险等级: 高, 被下面模块所HOOK: ) NtSaveKeyEx (危险等级: 高, 被下面模块所HOOK: ) NtSetInformationFile (危险等级: 高, 被下面模块所HOOK: ) NtSetInformationKey (危险等级: 高, 被下面模块所HOOK: ) NtSetInformationProcess (危险等级: 高, 被下面模块所HOOK: ) NtSetInformationThread (危险等级: 高, 被下面模块所HOOK: ) NtSetSystemInformation (危险等级: 高, 被下面模块所HOOK: ) NtSetValueKey (危险等级: 高, 被下面模块所HOOK: ) NtTerminateProcess (危险等级: 高, 被下面模块所HOOK: ) NtTerminateThread (危险等级: 高, 被下面模块所HOOK: ) NtWriteFile (危险等级: 一般, 被下面模块所HOOK: ) ZwCreateFile (危险等级: 高, 被下面模块所HOOK: ) ZwCreateKey (危险等级: 高, 被下面模块所HOOK: ) ZwCreatePort (危险等级: 一般, 被下面模块所HOOK: ) ZwCreateProcess (危险等级: 一般, 被下面模块所HOOK: ) ZwCreateProcessEx (危险等级: 一般, 被下面模块所HOOK: ) ZwCreateThread (危险等级: 一般, 被下面模块所HOOK: ) ZwDeleteFile (危险等级: 高, 被下面模块所HOOK: ) ZwDeleteKey (危险等级: 高, 被下面模块所HOOK: ) ZwEnumerateKey (危险等级: 高, 被下面模块所HOOK: ) ZwEnumerateValueKey (危险等级: 高, 被下面模块所HOOK: ) ZwFsControlFile (危险等级: 高, 被下面模块所HOOK: ) ZwOpenFile (危险等级: 一般, 被下面模块所HOOK: ) ZwOpenProcess (危险等级: 一般, 被下面模块所HOOK: ) ZwOpenThread (危险等级: 一般, 被下面模块所HOOK: ) ZwQueryDirectoryFile (危险等级: 高, 被下面模块所HOOK: ) ZwQueryInformationFile (危险等级: 高, 被下面模块所HOOK: ) ZwQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: ) ZwQueryInformationThread (危险等级: 高, 被下面模块所HOOK: ) ZwReadFile (危险等级: 一般, 被下面模块所HOOK: ) ZwRenameKey (危险等级: 一般, 被下面模块所HOOK: ) ZwReplaceKey (危险等级: 高, 被下面模块所HOOK: ) ZwRestoreKey (危险等级: 高, 被下面模块所HOOK: ) ZwSaveKey (危险等级: 高, 被下面模块所HOOK: ) ZwSaveKeyEx (危险等级: 高, 被下面模块所HOOK: ) ZwSetInformationFile (危险等级: 高, 被下面模块所HOOK: ) ZwSetInformationKey (危险等级: 高, 被下面模块所HOOK: ) ZwSetInformationProcess (危险等级: 高, 被下面模块所HOOK: ) ZwSetInformationThread (危险等级: 高, 被下面模块所HOOK: ) ZwSetSystemInformation (危险等级: 高, 被下面模块所HOOK: ) ZwSetValueKey (危险等级: 高, 被下面模块所HOOK: ) ZwSetVolumeInformationFile (危险等级: 高, 被下面模块所HOOK: ) ZwShutdownSystem (危险等级: 高, 被下面模块所HOOK: ) ZwTerminateProcess (危险等级: 高, 被下面模块所HOOK: ) ZwTerminateThread (危险等级: 高, 被下面模块所HOOK: ) ZwWriteFile (危险等级: 一般, 被下面模块所HOOK: ) GetVersion (危险等级: 一般, 被下面模块所HOOK: ) GetVersionExW (危险等级: 一般, 被下面模块所HOOK: ) DeleteFileW (危险等级: 高, 被下面模块所HOOK: ) FindFirstFileExW (危险等级: 高, 被下面模块所HOOK: ) TerminateThread (危险等级: 高, 被下面模块所HOOK: ) FindFirstChangeNotificationW (危险等级: 高, 被下面模块所HOOK: ) GetCurrentProcess (危险等级: 一般, 被下面模块所HOOK: ) GetCurrentProcessId (危险等级: 一般, 被下面模块所HOOK: ) GetCurrentThread (危险等级: 一般, 被下面模块所HOOK: ) GetCurrentThreadId (危险等级: 一般, 被下面模块所HOOK: ) GetFileSizeEx (危险等级: 一般, 被下面模块所HOOK: ) GetFileInformationByHandle (危险等级: 一般, 被下面模块所HOOK: ) GetFileAttributesW (危险等级: 一般, 被下面模块所HOOK: ) OpenProcess (危险等级: 高, 被下面模块所HOOK: ) OpenThread (危险等级: 高, 被下面模块所HOOK: ) 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; iCafeMedia; icafe8)
基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:	分享到：

dipahole 飘泊而立狮帖子:634 注册: 2009-06-05 来自:洛克公园	发表于： 2009-07-26 20:47 \| 短消息资料字号：小中大 2楼回复：头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？ HOOK多也得看谁改的HOOK 谁利用这些HOOK 利用这些做什么
dipahole 飘泊而立狮帖子:634 注册: 2009-06-05 来自:洛克公园

基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:	发表于： 2009-07-26 21:50 \| 只看楼主短消息资料字号：小中大 3楼回复：头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？别沉了
基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:

学飞的龙飘泊而立狮帖子:541 注册: 2009-06-25 来自:杭州	发表于： 2009-07-26 22:09 \| 短消息资料字号：小中大 4楼回复：头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？我见过这样的，你看后面HOOK后面都有路径，这个没有，那怎么判断啊 RVA 错误： LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) 没有生而知之，只有学而知之！
学飞的龙飘泊而立狮帖子:541 注册: 2009-06-25 来自:杭州

still刀刀自信弱冠狮帖子:478 注册: 2009-07-02 来自:一些狗一些事	发表于： 2009-07-26 23:45 \| 短消息资料字号：小中大 5楼回复：头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？例： API HOOK 入口点错误：OpenProcess (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dnsq.dll) 这个是可疑的我想是根据前面的判断吧。前面已经怀疑 C:\WINDOWS\system32\dnsq.dll可能是病毒这里被HOOK。显然是病毒为了隐藏自己而使用了该技术
still刀刀自信弱冠狮帖子:478 注册: 2009-07-02 来自:一些狗一些事

最硬的石头版主帖子:4140 注册: 2008-07-24 来自:	发表于： 2009-07-27 08:23 \| 短消息资料字号：小中大 6楼回复：头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？看后面的驱动啊，4楼的那个就是卡巴的hook 楼主估计也是什么安全软件的hook，这些函数都是比较熟悉的
最硬的石头版主帖子:4140 注册: 2008-07-24 来自:

基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:	发表于： 2009-07-27 10:15 \| 只看楼主短消息资料字号：小中大 7楼回复：头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？奇怪的地方就是。没有路径苦闷。。
基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2009-07-27 12:54 \| 短消息资料字号：小中大 8楼回复：头一次看到如此泛滥的API HOOK 有问题不？？？？？？？？？？ icesword本人貌似可查看
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT