欢迎光临 Enjoy IT (ITECN.NET) 登录 | 注册 | 帮助

使用标签浏览

所有标签 » API HOOK   (RSS)
2008年6月16日 2:25

AppInit_Dlls,一个特殊的注册表键值

Smallfrogs http://www.KZTechs.com 如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。 AppInit_Dlls键值位于注册表 HKLM \Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用
发表于 作者 smallfrogs | 4 评论
2007年4月19日 0:27

System Repair Engineer (SREng) 和 Win32 API HOOK(3)

我们继续。 在本系列文章 第一部分 里面,我简单的介绍了一下SREng的发展历程以及加入Win32 API HOOK检测机制的一个大概原因。 在本系列文章 第二部分 里面,我讲述了Win32 API函数的基本定义、Win32 API的用处以及Win32 API HOOK的基本原理以及Win32 API HOOK的用处。 在今天的第三部分里面,我会讨论Win32 API HOOK作用域的问题以及SREng对于Win32 API HOOK检测域。 API HOOK根据实现不同以及需求不同,会要求设定不同的作用域。使得HOOK对象只在程序开发者要求的作用域内完成。一般来说,HOOK的作用域可以分为两类:全局的或者是线程相关的。
发表于 作者 smallfrogs | 0 评论
2007年4月17日 21:19

System Repair Engineer (SREng) 和 Win32 API HOOK(2)

我们继续昨天的话题:System Repair Engineer(SREng) 和 Win32 API HOOK。 昨天 说到Win32 API HOOK作为一种技术,被正常软件和病毒都使用到了。 要理解Win32 API HOOK,就需要从操作系统谈起了。 操作系统:为了实现扩展性,大多会提供各种接口用于应用程序开发使用(现在很多软件也提供了开发接口,SREng也有哦~)。作为Windows操作系统也不例外。Windows操作系统大致上可以划分为用户模式和核心模式两类。用户模式又可以划分为几个子系统:Win32子系统,POSIX、OS/2子系统等。
发表于 作者 smallfrogs | 7 评论
2007年4月17日 3:21

System Repair Engineer (SREng) 和 Win32 API HOOK(1)

System Repair Engineer (SREng) 介绍: “System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的,能够运行在所有主流的 Windows 操作系统上。” 上面这段话是System Repair Engineer (SREng) 的正式介绍,比较书面化,既然是BLOG,我认为可以这样解释System
发表于 作者 smallfrogs | 4 评论