如何卸掉Windows钩函数?

warrior 2000-07-17 10:37:00
安装完钩函数后已证实生效,可以过滤键盘按键。
编写了一个Test程序加载钩函数所在的DLL,当Test程序结束时卸载钩函数及DLL。在
Test程序是当前程序时试验一切正常。在其它程序在前台时试验钩函数也起了作用。并且
在关闭Test程序后钩函数及其DLL将被卸掉。
但一旦在Explorer是当前程序时按键通过了钩函数,则即使Test程序退出,钩函数所在的DLL会一直保持在内存中无法卸除,而且钩函数也始终起作用。
...全文
112 4 打赏 收藏 转发到动态 举报
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
haitian99 2000-07-18
  • 打赏
  • 举报
 回复
安装,卸载挂钩的函数都要放在DLL中,我的程序没有出现你的问题。
crystal_zsp 2000-07-18
  • 打赏
  • 举报
 回复
我的程序把开始SetWindowsHookEx()放在类的成员函数中,把UnhookWindowsHooEx()放在另一个成员函数中。
liang2001 2000-07-18
  • 打赏
  • 举报
 回复
如果卸载挂钩的函数放在DLL中,且该DLL是test调用的,则只要保证test彻底退出,钩子应该退出。如果只是Explorer特殊,可设法在DLL中判断主应用程序,若是Explorer则进行特殊处理。够累的。
crystal_zsp 2000-07-18
  • 打赏
  • 举报
 回复
在DLL中运用UnhookWindowsHookEx()函数卸载挂钩。
冰刃 IceSword
进程   欲察看当前进程,请点击“进程”按钮,在右部列出的进程中,隐藏的进程会以红色醒目地标记出,以方便查找隐藏自身的系统级后门。1.16中进程栏只纳入基本功能,欲使用一些扩展的隐藏进程功能,请使用系统检查。   右键菜单:   1、刷新列表:请再次点击“进程”按钮,或点击右键,选择“刷新列表”。   2、结束进程:点击左键选中一项,或按住Ctrl键选择多项,然后使用右键菜单的“结束进程”将它们结束掉。   3、线程信息:在右键菜单中选择“线程信息”。   注意其中的“强制终止”是危险的操作 ,对一个线程只应操作一次,否则系统可能崩溃。为了尽量通用,里面注释掉了大量代码,因而是不完全的。不过可以应付一些用户的要求了:终止系统线程与在核心态死循环的线程,虽然可能仍然能看到它们的存在,那只是一些残留。   4、模块信息:在右键菜单中选择“模块信息”。   “卸除”对于系统DLL是无效的,你可以使用“强制解除”,不过强制解除系统DLL必然会使进程挂掉。强制解除后在使用PEB来查询模块的工具中仍可看到被解除的DLL,而实际上DLL已经被卸掉了。这是因为我懒得做善后处理了——修改PEB的内容。   5、内存读写:在右键菜单中选择“内存读写”。   操作时首先填入读的起始地址和长度,点击“读内存”,如果该进程内的指定地址有效,则读取并显示,您可以在编辑框中修改后点击“写内存”写入选中的进程。注意此刻的提示框会建议您选“否”即不破除COW机制,在您不十分明白COW之前,请选择“否”,否则可能写入错误的地址给系统带来错误以至崩溃。   读出内容后,可以点击“反汇编”查看反汇编值,某些木马修改函数入口来hook函数,可由反汇编值分析判断。   端口   此栏的功能是进程端口关联。它的前四项与netstat -an类似,后两项是打开该端口的进程。   在“进程ID”一栏中,出现0值是指该端口已关闭,处于“TIME_WAIT”状态,由于2000上使用技术XP/2003有所不同,所以前者与后二者上的显示可能些微差别。IceSword破除系统级后门的端口隐藏,只要进程使用windows系统功能打开了端口,就逃不出查找。不过注意因为偷懒,未将隐藏的端口像进程那样红色显示,所以您需要自己对照。   内核模块:即当前系统加载的核心模块比如驱动程序。   启动组:是两个RUN子键的内容,懒得写操作了,请自行更改注册表。   服务:用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示,注意在操作时可能有的服务耗时较长,请稍后手动刷新几次。   SPI、BHO:不多说了。   SSDT:即系统服务派发表,其中被修改项会红色显示。   消息子:枚举系统中所注册的消息子(通过SetWindowsHookEx等),若函数在exe模块中则是实际的地址,若在dll模块中则是相对于dll基址的偏移,具体请自行判断吧(一般地址值小于0x400000的就是全局子)。   监视进线程创建:顾名思义,进线程的创建纪录保存在以循环缓冲里,要IceSword运行期间才进行纪录,您可以用它发现木马后门创建了什么进程和线程,尤其是远线程。红色显示的即是进程创建(目标进程TID为0时为进程创建,紧接其后的红色项是它的主线程的创建)和远线程创建(应该注意),须注意的是,此栏只显示最新的1024项内容。   监视进程终止:一般只是监视一个进程结束另一个进程,进程结束自身一般不纪录。   系统检查:1.22中有更新   注册表
如何通过HOOK改变windows的API函数
我们知道,系统函数都是以DLL封装起来的,应用程序应用到系统函数时,应首先把该DLL加载到当前的进程空间中,调用的系统函数的入口地址,可以通过GetProcAddress函数进行获取。当系统函数进行调用的时候,首先把所必要的信息保存下来(包括参数和返回地址,等一些别的信息),然后就跳转到函数的入口地址,继续执行。其实函数地址,就是系统函数“可执行代码”的开始地址。那么怎么才能让函数首先执行我们的函
WINDOWS键盘事件上挂接监控函数
WINDOWS的消息处理机制为了能在应用程序中监控系统的各种事件消息,提供了挂接 各种反调函数(HOOK)的功能。这种挂函数(HOOK)类似扩充中断驱动程序,挂上 可以挂接多个反调函数构成一个挂接函数链。系统产生的各种消息首先被送到各种 挂接函数,挂接函数根据各自的功能对消息进行监视、修改和控制等,然后交还控 制权或将消息传递给下一个挂接函数以致最终达到窗口函数。WINDOW系统的这种反 调函
WINDOWS键盘事件的挂监控原理
WINDOWS的消息处理机制为了能在应用程序中监控系统的各种事件消息,提供了挂接 各种反调函数(HOOK)的功能。这种挂函数(HOOK)类似扩充中断驱动程序,挂上 可以挂接多个反调函数构成一个挂接函数链。系统产生的各种消息首先被送到各种 挂接函数,挂接函数根据各自的功能对消息进行监视、修改和控制等,然后交还控 制权或将消息传递给下一个挂接函数以致最终达到窗口函数。WINDOW系统的这种反 调函
WINDOWS键盘事件的挂监控原理及其应用技术
WINDOWS键盘事件的挂监控原理及其应用技术     WINDOW的消息处理机制为了能在应用程序中监控系统的各种事件消息,提供了挂接 各种反调函数(HOOK)的功能。这种挂函数(HOOK)类似扩充中断驱动程序,挂上 可以挂接多个反调函数构成一个挂接函数链。系统产生的各种消息首先被送到各种 挂接函数,挂接函数根据各自的功能对消息进行监视、修改和控制等,然后交还控 制权或将消息传
VC/MFC

16,471

社区成员

421,732

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC相关问题讨论
社区管理员
  • 基础类社区
  • Web++
  • encoderlee
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

        VC/MFC社区版块或许是CSDN最“古老”的版块了,记忆之中,与CSDN的年龄几乎差不多。随着时间的推移,MFC技术渐渐的偏离了开发主流,若干年之后的今天,当我们面对着微软的这个经典之笔,内心充满着敬意,那些曾经的记忆,可以说代表着二十年前曾经的辉煌……
        向经典致敬,或许是老一代程序员内心里面难以释怀的感受。互联网大行其道的今天,我们期待着MFC技术能够恢复其曾经的辉煌,或许这个期待会永远成为一种“梦想”,或许一切皆有可能……
        我们希望这个版块可以很好的适配Web时代,期待更好的互联网技术能够使得MFC技术框架得以重现活力,……

试试用AI创作助手写篇文章吧

+ 用AI写文章