3、源代码里将Unicode string转换为PCHAR的函数,是逆向所得,原来的qq管家回将拦截的信息传出来由用户判定,这里我直接拦截阻止,并且只是对explorer.exe进程(桌面进程)进行判定。需要详细了解可见源代码。下面我使用自己写的一个防止拷贝的程序,dll通过Setwindowhookex来挂钩全局钩子,通过挂钩入explorer.exe来防止拷贝,最后使用上面写好的取得进行拦截,编程调试环境: Wdk7600+WinXP 3p3,下面是效果示意图:  禁止拷贝ustopcpy32.dll注入explorer.exe  开启所写的“财产保护“阻止禁止拷贝dll注入explorer.exe 实验结果表明该dll已经无法注入explorer.exe,已经被自己写的驱动TsSafeBox. sys成功拦截阻止。 文章到这里就该结束了,但是有几点问题想要说明一下,其实你可以自己建立策略,也就是黒白名单,这只不过需要你建立链表而已;还有这只是QQ电脑管家的“财产保护 “的一部分,QQ电脑管家对网页、一些支付宝等安全插件进行过滤,这个我将继续的逆向分析qq电脑管家;还有就是本人比较懒,应用层与驱动层之间同步通信没写,有兴趣的读者可以继续完善。 |
