注册机请求全局钩子，你们怎么看，求教

松松松

小白下载了一个注册机 会声会影的，然后小红伞扫描没有问题，打开也没有发现什么危险是，扔到虚拟机后，打开，comodo显示请求全局钩子，你们怎么看，会不会有病毒，求教

柯林

看下具体的内容，如果是安装system32下的dll钩子，一般是正常的，如果它安装自带的钩子文件，有点不寻常。看看它安装了钩子以后，具体做些什么：记录键盘，那就是盗秘的马儿；访问其它进程内存，看具体的，如果是访问你要破解的那个程序的内存，是正常的，访问其它进程的看具体，譬如访问explorer的姑且忍吧，如果出现大量的，比如从svchost.EXE到毛豆到IE什么的进程内存都被它访问个遍，那可真不简单，可以当作病毒看。如果还伴有物理内存访问、底层磁盘访问，病毒无疑。如果安装钩子后也没有什么出格的举动，可以看作正常。

ps：也可以反过来看，如果拦截钩子安装，也能破解成功，那就是拦了也没关系。如果拦截了就破解失败，那就只能放行。一般来说，装载钩子只是当时有效，即使它有不轨举动，你破解完把它删除了，不再运行它，也就没用了。这些东东，最好断网运行吧，就算它是个什么高明的马儿，发不出去信息，也没用啊，回头你不用了，它也就是进来瞎溜达了一圈罢了，没什么。灰色行为与病毒行为之间的界限有时候很模糊，同样是危险的动作，灰色程序没干坏事，病毒却干了坏事，虽然都踩了线，却不能仅凭踩线就加以定性。除了极少数可能有问题，一般的注册机还是安全的，如果有需要就放心用吧。

YSJ

楼上正解

z2009

柯林 发表于 2015-5-5 09:00
看下具体的内容，如果是安装system32下的dll钩子，一般是正常的，如果它安装自带的钩子文件，有点不寻常。 ...

这个分析，我保存了，以后弹框，我可以参考下，谢谢

我是一只小透明

3楼说的真好，mark一个o(*≧▽≦)ツ