关于钩子设置

yjwfdc

原帖由 月光下的忍者 于 2009-9-19 10:40 发表
COMODO窗口消息钩子=EQ或MD的进程间消息操作

原来这样，我认为可以全允许了，这个危险性很低。

穿越星空

　　多谢帮忙搜索，不过这篇我已经看过了，正是因为没有找到窗口消息钩子所以才问的。

穿越星空

　　多谢版主指点，看来版主对各HIPS以及Windows机理很了解，那请问下，有些恶意软件关闭ARK是通过查找窗口标题之类的信息，如果匹配则发送关闭消息，例如曾有病毒这样对付过冰刃，那这个是不是和窗口消息钩子有关呢？
　　PS：去看看EQ的进程间消息操作。

穿越星空

原帖由 tawny2008 于 2009-9-19 10:25 发表
截屏，输入法，翻译软件，下载工具，都会安装钩子

　　可是连Word、Excel这样的办公软件也要全局钩子，它们是用来干嘛的？

dongsheng01

进来学习了

月光下的忍者

目前来讲，进程间消息操作的单一行为性样本只有消息洪水，可以导致关目标程序关闭。
但主流的HIPS都有被关闭后阻止所有未知行为的选项。

尤其是对COMODO来说，就算你人工关闭其cfp进程，依然不会对拦截未知有任何影响。

除非将D+或防火墙模块调为禁用，这是病毒所无法做到的。

更变态的是隔离区，即使你将D+设置为禁用后再关闭进程也不行，必须去里面移除相关路径。

tanlimo

不管你怎么设置注意一定要允许explorer.exe的窗口消息钩子否则电脑就没法用了。

acard001

study,

lfj162

学习一下

穿越星空

　　多谢再次指教，这么说来这一项允许是不太重要，我看连预置规则中的受限程序都是允许的。
　　那再请教下，依版主的意思，对于毛豆的D+，勾选“如果本程序关闭，阻止所有未经请求”更好些对吗？