List of User-Mode Hooksを (プログラムで) 検出する方法はありますか? 関連する記事をいくつか読んでみましたが、うまくいきませんでした。ポインタ、アイデア、またはサンプルは非常に役立ちます。私はまだコードを書き始めていないので、C または C++ のいずれかで私を助けてください。ティア。
編集::現在実行中のすべてのプロセスを列挙し、各プロセスが使用するすべてのモジュールを列挙するアプローチを試みています。私が実際に試したいのは (一部の専門家の説明によると)、現在メモリにロードされているすべてのモジュールの列挙されたリストと、各プロセスのディスク上のモジュールのリストを比較して、フックをチェックすることです。誰かがこれを明らかにしてくれませんか?私の質問が何であるかわかりませんが、私の混乱が何であるかがわかれば、ここで私を助けてください.
ユーザーモード フックを実装する方法はいくつかあります。例えば:
int 3など) をスローし、ベクトル化された例外ハンドラーを使用して実行をリダイレクトすることができます。検出方法は、検出するユーザーモード フックの方法によって異なります。例として、
JMP、関数を逆アセンブルし、最初の命令をチェックすることです。GetProcAddress、テーブルが期待どおりに見えるかどうかを確認します。考えられるすべてのフック (および検出) 方法を網羅的に列挙するつもりはありませんが、ユーザーモード フックのリストを生成するための一般的な方法は 1 つもないことを説明したいと思います。
最初に他のいくつかのものを探すことをお勧めします。
Process Address Spaceます。メモリ内の各関数をディスクと比較するような激しい操作ではありません。Function Addressには、ロードされたモジュールの範囲外でないかどうかを確認します。