以下是能够检测的钩子类型。系统服务表钩子(SSDT hooks)Windows内核使用SSDT来分发系统调用。安装SSDT钩子是一种被安全软件和底层软件常用到的技术,但是也常被恶意软件用来避免被发现和删除。Win32k服务表钩子(shadow SSDT hooks)Win32K服务表包含 GDI/USER 相关系统调用的地址。中断描述表钩子(IDT hooks)IDT用来处理中断调用。它是一个内核中的表,在不同版本的系统中有不同数目的入口。其中编号为0x2E的中断在Windows 2000中用于分发系统调用。SYSENTER处理例程钩子Windows XP或更高版本的系统中不再使用中断0x2E来分发系统调用,而是使用SYSENTER指令。内核对象钩子每个内核对象拥有一些相关的处理例程,恶意软件可能会设置钩子来隐藏自己。内核通知例程安装内核通知例程,可以在进程/线程被创建或删除时得到通知。内核模式代码钩子本类钩子包含内核模式的内嵌钩子、IAT钩子和EAT钩子。用户模式代码钩子本类钩子包含用户模式的内嵌钩子、IAT钩子和EAT钩子。全局消息钩子恶意软件有可能会安装全局消息钩子来记录按键,或者插入动态链接库到其他进程。附加设备列表
为了监视进程的创建,我们必须或者钩住NtCreateFile()和NtOpenFile(),或者钩住NtCreateSection()-不经调用这些API是绝对无法运行任何可执行文件的。NtCreateSection()用服务索引加载EAX,使EDX指向函数参数,并且把执行权传递到KiDispatchService()内核模式例程
|
