できるような"安全"DLL注入

Question

はものすごく良い質問で、申し訳ありません.

しているプログラムを必要と警告されるファイルを開からexplorer（ShellExecute(A/W)のこと).

残念ながら、MicrosoftのCOMインタフェース(IShellExecuteHook)ることを可能にするフックがこれらのイベントVista上げで古いコードが原因でクラッシュにより変化します。があったのち再度は、この機能を有効化ですが、なくなります。

もちろん、一部の研究というのを追求ShellExecuteは再号線を呼び出shell32.dll.現在、私を見て注入する自分のDLLを探り、そのコピーに潜入ShellExecute一部のアドレス割り当て私のDLL、およびその変更の潜在連合テストのエントリShellExecuteポ私の機能は、通知のプログラムファイルを開きジャンプのShellExecute機能、アドレスを格納します。

私の最大の懸念はこちらantiviruses.でケアをしているところに注入explorer?でケアをしているところの変更の潜在連合テスト?

保護主義に対する警戒レベルであるかどうかも安全;ができる（というかく）explorerのセキュリティprivelegesないようにするには注入によCreateRemoteThread?その場合、はがないというこの注射

あると良いこと。

編集：人がこのexplorer.exe ない潜在連合テストのためのshell32.dll;このヘッダが、サンクはジャンク値を含んでいうといいですね)を取得するエントリの他輸入されます。
ようなコードのトンネリングをフックです。

Answer 1

ほとんどの良いアンチウイルスヒューリスティックは、トロイの木馬のために赤旗であるとして、パッチ適用、インポートテーブルの上に拾う必要があります。

madcodehookのオンラインドキュメントは、さまざまなコードインジェクション技術、その利点/欠点のいくつかの拡張を紹介していて、APIは「安全な」フックを指定するためのいくつかのオプションが用意されています。 http://www.madshi.net/madCodeHookDescription.htmする

Answer 2

迂回ライブラリます：

http://research.microsoft.com/en-us/projects/回り道/ の

マイクロソフトリサーチから機能を任意にフックすることができます。あなたがショットのことを与えるかもしれない。

Answer 3

APIフッキングのいくつかのより多くのリソース：

簡単にフック： http://www.codeplex.com/easyhookする

Deviare： http://www.nektra.com/products/ deviare-API-フックの窓/ の

興味深い記事： http://www.codeproject.com/KB/system /hooksys.aspxする

フックAPIをしているときにそれはあなたが実行する必要がある環境で、ロバに非常に重要です。 すべてのライブラリがサポートするわけではありませんのx86 / x64のたとえばます。

迂回だけのライセンス（払っ）バージョンでのx64をサポートしています。 簡単にフックをサポートx86およびx64ます。

Answer 4

Windows VistaおよびWindows 7で、WindowsエクスプローラでもShellExecuteAまたはShellExecuteWを呼び出すことはありません。

ノーポイントがわざわざ。笑： - ）

そして、iが追加することができる場合、私は、32ビットと64ビットのインラインフック両方に両方の機能をフックすることによって試験した。

申し訳ありません。笑： - ）