他们是否可以查看应用程序是否被挂钩?我希望能够看到一个应用程序是否被挂钩,如果是这样,也许看看究竟是什么被挂钩?我不确定这是否可行,但我想知道。我只是在寻找一个现有的应用程序来执行此操作来监视某些进程。
答案 0 :(得分:1)
钩子函数有很多不同的方法。有些很容易被发现,有些则更难。
HookShark能够检测到相当多的常见挂钩方法。
它无法检测到的东西是通过对象实例中的vtable替换来挂钩。入侵者用一个指向他伪造的vtable的指针替换动态分配对象开头的vtable指针,其中要挂钩的函数被重定向。没有来自外部的程序可以检测到这一点,因为它无法知道哪些内存是vtable指针。