cackeme的专栏

/* @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK没检测。 @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比，不同则恢复之 @param1[in]:dwProc:函数地址*/bool IsProcHooked(DWORD dwProc){

很久以前就知道可以使用LoadLibraryExW来防止全局钩子入侵，说实话一直很反感消息钩子。曾经想过在驱动层通过过hook NtUserSetWindowsHookEx来防止，但是我们并不是很好区分钩子不是不恶意的，而且windows系统本身也会使用，还有就是驱动层很多安全软件和rootkit都盯上了，稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibrar

现在HOOK越来越普遍，很多恶意程序通用hook用户进程的关机函数禁止关机，有些则是hook winlogon.exe的关机函数，因为进程的调用关机函数会最终给winlogon.exe发送关机消息。所以在用户层实现关机已经越来越不安全了。内核驱动禁止关机也不是很安全，通过windbg可以发现xuetr.exe禁止关机的原理是对NtShutdownSystem调用的SeSinglePrivilege

bool urlparse(const u_char* data,u_int len){ip_header *ih;udp_header *uh;tcp_header *th;u_short sport,dport;int ip_len = 0;ih = (ip_header *)(data+0xE);ip_len = (ih->ver_ihl &