chtcrack 发表于 2009-2-17 17:57:49

马大哈 发表于 2009-2-17 22:20:58

<div class="msgheader">QUOTE:</div><div class="msgborder"><b><font face="Verdana">
<p><font face="Verdana">'<br/></font></p>
<p>'WINXP+SP2下测试通过.</p>
<p><font face="Verdana">Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)<br/>&nbsp;&nbsp;&nbsp; If UnloadMode = vbAppWindows Then<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; If MsgBox("是否关机?", vbYesNo Or vbInformation) = vbNo Then<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Cancel = 1<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; End If<br/>&nbsp;&nbsp;&nbsp; End If<br/>End Sub</font></p></font></b></div>
<p></p>

chtcrack 发表于 2009-2-18 23:07:27

马大哈 发表于 2009-2-21 21:33:21

<p><font face="Verdana">没分析,但是估计它是进行了ExitWindows等相关API的全局HOOK.</font></p>
<p>&nbsp;</p>
<p>检测办法,可以看看它的进程是否存在,可以使用以下模块完成:</p>
<p>&nbsp;</p>
<p><font face="Verdana"><a href="http://www.m5home.com/bbs/viewthread.php?tid=745">http://www.m5home.com/bbs/viewthread.php?tid=745</a></font></p>
<p>&nbsp;</p>
<p>另外,这个软件貌似新建了个桌面.</p>

chtcrack 发表于 2009-2-24 10:35:41

马大哈 发表于 2009-2-24 15:00:54

<p>想关机的话,应该可以自己载入ExitWindowsEx再调用,即GetProAddress再加几句汇编来CALL一下.</p>
<p>&nbsp;</p>
<p>至于如何检测,即是判断ExitWindowsEx是否被HOOK了,这个估计比较麻烦,我也不会,要问一下搞底层的高手.....</p>
<p>&nbsp;</p>
<p>我会帮你跟进一下的.</p>
页: [1]
查看完整版本: 【求助】如何知道系統調用了關機命令?