關於 partially limited 能否對付 logger類

显示全部楼层 · 发表于 2011-11-20 00:53:51

本帖最后由岁月遐想于 2011-11-20 00:55 编辑

a256886572008 发表于 2011-11-20 00:50
就是因為很多正常的程序，會被報 install global hooks，所以 comodo 的沙盤(只有 partially limited 和 ...

很多正常软件都需要安装全局钩子？不是吧，我一直觉得只有一些杀软等安全软件才会去安装，难道不是，那以后要什么判断，真是个问题了

显示全部楼层 · 发表于 2011-11-20 01:02:06

岁月遐想发表于 2011-11-20 00:53
很多正常软件都需要安装全局钩子？不是吧，我一直觉得只有一些杀软等安全软件才会去安装，难道不是，那 ...

信任的，就移動到安全文件。

剩下的問題，就是入沙進程，你不知道是否病毒，到底該不該允許呢？

我一般看到病毒加載鉤子，主要是鎖住滑鼠鍵盤。

你如果不怕被惡作劇的話，允許是沒關係，只不過要重啟而已。

再來就是盜號，一般看到注入的文件是dll，可以看作盜號行為，直接阻止。

显示全部楼层 · 发表于 2011-11-20 01:04:15

a256886572008 发表于 2011-11-20 00:50
就是因為很多正常的程序，會被報 install global hooks，所以 comodo 的沙盤(只有 partially limited 和 ...

我又上百度查了，应该还是杀毒软件等安全软件可能会去安装“全局钩子”，我一直都是一看到安装全局钩子就阻止，都没发现什么问题。普通钩子我也很敏感，最反感的就是安装钩子了

显示全部楼层 · 发表于 2011-11-20 01:14:43

a256886572008 发表于 2011-11-20 01:02
信任的，就移動到安全文件。

剩下的問題，就是入沙進程，你不知道是否病毒，到底該不該允許呢？

安装键盘鼠标钩子是钩什么文件，还有你说的注入应该不是指钩子吧，以前好像也有过提示注入什么文件，但好像并不是指安装钩子

显示全部楼层 · 发表于 2011-11-20 01:52:03

岁月遐想发表于 2011-11-20 01:14
安装键盘鼠标钩子是钩什么文件，还有你说的注入应该不是指钩子吧，以前好像也有过提示注入什么文件，但好 ...

常見鎖滑鼠鍵盤，安裝的鉤子，是 exe文件

注入系統程序，安裝的鉤子，則是 dll 文件

显示全部楼层 · 发表于 2011-11-20 10:15:23

岁月遐想发表于 2011-11-20 01:04
我又上百度查了，应该还是杀毒软件等安全软件可能会去安装“全局钩子”，我一直都是一看到安装全局钩子就 ...

别急着反感。程序员看到你这句话会哭的。

钩子，这里指消息和事件钩子，对于编程人员来说是必须学会的手段。

Windows系统是建立在事件驱动的机制上的，说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口，用它可以截获并处理送给其他应用程序的消息，来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的钩子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用钩子可以实现许多特殊而有用的功能。

按使用范围分类，主要有线程钩子和系统钩子：
（1）线程钩子监视指定线程的事件消息。
（2）系统钩子监视系统中的所有线程的事件消息。因为系统钩子会影响系统中所有的应用程序，所以钩子函数必须放在独立的动态链接库(DLL) 中。这是系统钩子和线程钩子很大的不同之处。

显示全部楼层 · 发表于 2011-11-20 10:19:08

a256886572008 发表于 2011-11-20 01:52
常見鎖滑鼠鍵盤，安裝的鉤子，是 exe文件

注入系統程序，安裝的鉤子，則是 dll 文件

标准方法安装钩子，用的是SetWindowsHookEx和SetWinEventHook。全局钩子一定是dll。即使毛豆提示的是安装xxx.exe，这个exe对于目标进程而言本质上也是个dll。
“注入”这个词其实不是很专业，一般注入一个dll就是把dll的可执行代码放入到目标进程的内存空间中，最普通的方法是先打开进程（OpenProcess）再创建远程线程（CreateRemoteThread）。
由于安装全局钩子要把一个dll放到所有GUI进程的内存空间中，所以也可以算作“注入”。

显示全部楼层 · 发表于 2011-11-20 11:21:05

本帖最后由岁月遐想于 2011-11-20 11:29 编辑

myzuzong 发表于 2011-11-20 10:19
标准方法安装钩子，用的是SetWindowsHookEx和SetWinEventHook。全局钩子一定是dll。即使毛豆提示的是安装 ...

你说的全局钩子一定是dll，那这个dll文件是指安装钩子的文件还是被安装钩子的文件，还有你说的“即使毛豆提示的是安装xxx.exe，这个exe对于目标进程而言本质上也是个dll。”，那那个exe文件又是指安装钩子的文件还是被安装的文件，最后你提到的那个本质又是什么说，安装钩子很多情况不都是exe的文件在安装钩子吗？那难道都算是dll了？

显示全部楼层 · 发表于 2011-11-20 11:27:47

myzuzong 发表于 2011-11-20 10:15
别急着反感。程序员看到你这句话会哭的。

钩子，这里指消息和事件钩子，对于编程人员来说是必须学会的 ...

钩子就是为了监视系统不是吗？那每个人应该都反感被监视吧，那需要全局监视的一般也只有杀毒安全软件了不是吗？

显示全部楼层 · 发表于 2011-11-20 11:38:08

岁月遐想发表于 2011-11-20 11:21
你说的全局钩子一定是dll，那这个dll文件是指安装钩子的文件还是被安装钩子的文件，还有你说的“即使毛 ...

这里有三个对象，一个是发起安装钩子行为的发起进程，一个是钩子本身，一个是被安装钩子的目标进程。钩子本身一定是被安装钩子的目标进程的dll（而不管它的扩展名到底是什么）。

[分享] 關於 partially limited 能否對付 logger類