检查 API 是否受到监控（挂钩？）

Question

我的应用程序使用一些 API，例如 GetProcAddress 和 CreateProcess，这些 API 有时会导致防病毒软件将其标记为恶意软件，尽管事实并非如此。

我想做的是检查特定的 API 是否正在被监视或挂钩，如果是，那么我不会调用该部分代码。

如何检查某个API是否被hook？

这是一个用 C 语言编写的 Windows 应用程序

。谢谢。

Answer 1

在 win32 上，没有官方方法来检测和/或放置挂钩（除了 SetWindowsHookEx() (http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990) 等al 函数仅涵盖一小部分功能）。

检测钩子取决于钩子的应用方式。

有两种流行的方法来放置挂钩：

1. 导入/导出表修补
2. 代码覆盖

有关放置挂钩的不同方法的详细信息（优点/缺点），请考虑阅读此处 http://help.madshi.net/ApiHookingMethods.htm。

每种挂钩方法都需要不同的方法来检测它。

有关检测如上所述放置的挂钩的方法，请在此处的“ApiHookCheck 算法”下查看 http:// www.security.org.sg/code/apihookcheck.html。此页面上有可用的示例源，但我没有对其进行测试。