它们是一种查看应用程序是否被钩住的方法吗?我想看看一个应用程序是否被钩住了,如果是的话,也许可以看看到底是什么被钩住了?我不确定这是否可能,但我想知道。我只是在寻找一个已经存在的应用程序来监控一些进程。

最佳答案

钩住函数有很多不同的方法。有些很容易察觉,有些则更难察觉。
HookShark能够检测很多常见的钩子方法。
它无法检测到的是通过对象实例中的vtable替换挂接。入侵者将动态分配对象开始处的vtable指针替换为指向其伪vtable的指针,其中要挂接的函数被重定向。没有外部程序可以检测到这一点,因为它不能知道内存块是VTABLE指针。

07-26 03:39