12
返回列表 发新帖
楼主: 穿越星空
收起左侧

[求助] 关于钩子设置

[复制链接]
yjwfdc
头像被屏蔽
发表于 2009-9-19 10:55:33 | 显示全部楼层
原帖由 月光下的忍者 于 2009-9-19 10:40 发表
COMODO窗口消息钩子=EQ或MD的进程间消息操作

原来这样,我认为可以全允许了,这个危险性很低。
穿越星空
 楼主| 发表于 2009-9-19 17:58:06 | 显示全部楼层

回复 7楼 yjwfdc 的帖子

  多谢帮忙搜索,不过这篇我已经看过了,正是因为没有找到窗口消息钩子所以才问的。
穿越星空
 楼主| 发表于 2009-9-19 18:00:58 | 显示全部楼层

回复 10楼 月光下的忍者 的帖子

  多谢版主指点,看来版主对各HIPS以及Windows机理很了解,那请问下,有些恶意软件关闭ARK是通过查找窗口标题之类的信息,如果匹配则发送关闭消息,例如曾有病毒这样对付过冰刃,那这个是不是和窗口消息钩子有关呢?
  PS:去看看EQ的进程间消息操作。
穿越星空
 楼主| 发表于 2009-9-19 18:18:18 | 显示全部楼层
原帖由 tawny2008 于 2009-9-19 10:25 发表
截屏,输入法,翻译软件,下载工具,都会安装钩子

  可是连Word、Excel这样的办公软件也要全局钩子,它们是用来干嘛的?
dongsheng01
发表于 2009-9-19 18:35:26 | 显示全部楼层
进来学习了
月光下的忍者
发表于 2009-9-19 19:28:50 | 显示全部楼层

回复 13楼 穿越星空 的帖子

目前来讲,进程间消息操作的单一行为性样本只有消息洪水,可以导致关目标程序关闭。
但主流的HIPS都有被关闭后阻止所有未知行为的选项。

尤其是对COMODO来说,就算你人工关闭其cfp进程,依然不会对拦截未知有任何影响。

除非将D+或防火墙模块调为禁用,这是病毒所无法做到的。

更变态的是隔离区,即使你将D+设置为禁用后再关闭进程也不行,必须去里面移除相关路径。
tanlimo
发表于 2009-9-19 20:36:53 | 显示全部楼层
不管你怎么设置注意一定要允许explorer.exe的窗口消息钩子否则电脑就没法用了。
acard001
发表于 2009-9-19 22:39:07 | 显示全部楼层
study,
lfj162
发表于 2009-9-19 23:43:33 | 显示全部楼层
学习一下
穿越星空
 楼主| 发表于 2009-9-20 09:41:12 | 显示全部楼层

回复 16楼 月光下的忍者 的帖子

  多谢再次指教,这么说来这一项允许是不太重要,我看连预置规则中的受限程序都是允许的。
  那再请教下,依版主的意思,对于毛豆的D+,勾选“如果本程序关闭,阻止所有未经请求”更好些对吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-30 02:56 , Processed in 0.101515 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表