關於 partially limited 能否對付 logger類

a256886572008

岁月遐想 发表于 2011-11-20 12:06
那图中换圈的是什么，也是钩子本身？

还有

interprocess memory access，targer所顯示的，當然是指 被注入的進程。

install hooks，targer所顯示的，則是指 "鉤子文件"

myzuzong

岁月遐想 发表于 2011-11-20 12:06
那图中换圈的是什么，也是钩子本身？

还有

进程AKLT.exe（exe）试图安装全局钩子AKLT.exe（dll），在毛豆日志里，来源是AKLT.exe（exe），目标是AKLT.exe（dll），而这个钩子AKLT.exe（dll）会进入到所有进程（exe）的内存空间里，作为所有进程的dll。

允许的钩子是针对钩子（dll）而言。

岁月遐想

myzuzong 发表于 2011-11-20 12:10
进程AKLT.exe（exe）试图安装全局钩子AKLT.exe（dll），在毛豆日志里，来源是AKLT.exe（exe），目标是AKL ...

那日志里的那个目标就是指钩子本身了?如果不是安装全局钩子时，日志里的目标也是钩子本身的话，那不是无法找到目标进程了！
    还有照你这么说，钩子本身如果是dll就一定是全局钩子，那如果exe也相当于都dll的话，那不是无法分辨出那些是全局钩子？

myzuzong

岁月遐想 发表于 2011-11-20 12:40
那日志里的那个目标就是指钩子本身了?如果不是安装全局钩子时，日志里的目标也是钩子本身的话，那不是无法 ...

局部钩子可以是程序本身的回调函数，也可以是dll。全局钩子是注入到所有进程内存空间里的dll。

是否全局钩子，comodo会给出明确提示的：xxx.exe is tring to install global hooks xxx.exe(dll)

局部钩子由于是程序自身的回调函数，或者是dll通过LoadLibrary加载的，comodo是不会拦截的。

solstice1988

a256886572008 发表于 2011-11-19 10:20
你用 AKLT 測試，就知道我在說什麼了。

目前這種設計是，任何 logger類病毒，在側錄之前，都會先加載 ...

AKLT的screen shot1没通过，spyshelter的WEBCAM测试没过