inlinehook请教高手怎么删除Ask Toolbar这个垃圾东西啊，杀毒软件也删不掉，简直像条蛆啊？哎...郁闷死了

Inline Hook 怎么防止，或者怎么恢复

关键点吗…… 1、恢复现场，要存多少字节根据你填入的jmp占用多少字节而定，jmp rel32是5个字节。

2、od找0那一段，程序操作的话你可以用malloc申请的内存来，而不一定是exe里的0 3、VirtualProtect调用可以使代码段可写（否则修改的时候会出现写...

请问木马盗号通过什么方式？

1、键盘记录：很多盗号木马病毒实质上是利用键盘“钩子”程序监听和记录用户的击键动作，然后通过盗号软件的邮件发送模块把记录下的密码发送到盗号木马的指定邮箱。

2、屏幕快照：软键盘输入使得使用击键记录技术的盗号木马失去了作用，但是新的木马病毒会通过屏幕快照将用户的登录界面连续保存为多张图片，然后通过自带的发信模块发向指定的邮件接受者，盗号木马通过对照图片中鼠标的点击位置，就很有可能破译出用户的登录账号和密码，从而突破软键盘密码保护技术。

3、内存扫描拦截：盗号木马病毒运行后，它通过Hook技术对系统中所有程序的进程检测,对相关API的调用进行了监控，盗号木马盗号软件通过查找特定句柄、窗口或关键字，可以拦截对Windows中的键盘、鼠标、复制、粘贴等事件，或者直接读取进程未加密的帐号密码，或者对其他API函数的调用事件拦截。

4、钓鱼：网络钓鱼攻击，恶意网站伪装成知名公司主页，利用域名相似性和IE浏览器的地址欺骗漏洞，诱骗网民输入账号和密码，并且通过恶意脚本程序种植盗号木马病毒，诱使更多用户访问该网站造成感染，网络骗子利用这些假网站，盗取登录者账号、密码.。

“冰刃”是什么东西啊？

手工杀毒辅助工具冰刃IceSword 这是一免费的斩断黑手的利刃，它适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大，用于查探系统中的幕后黑手木马后门，并作出处理。

可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。

IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲。

使用前请详细阅读说明。

第一次使用请保存好数据，需要您自己承担可能的风险，特别是多处理器机器的朋友。

XueTr是类似于冰刃的系统内核检测修复工具，功能简单实用。

XueTr功能： 1.进程、线程、进程模块、进程窗口信息查看，杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看，支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、IDT信息查看，并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除 5.端口信息查看，目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patchs检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patchs检测和恢复 11.文件系统查看，支持基本的文件操作 12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持 13.ObjectType Hook检测和恢复

请教高手怎么删除Ask Toolbar这个垃圾东西啊，杀毒软件也删不掉，简直像条蛆啊？哎...郁闷死了

用冰刃试试看 这是一斩断黑手的利刃，它适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。

可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。

IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲。

使用前请详细阅读说明 添加的小功能有： 1、进程栏里的模块搜索(Find Modules) 2、注册表栏里的搜索功能(Find、Find Next) 3、文件栏里的搜索功能，分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files) 上面是要求最多的，确实对查找恶意软件有帮助 4、BHO栏的删除、SSDT栏的恢复(Restore) 这项本来是“鸡肋”项，可加可不加。

比如BHO删除用户可以手工作。

SSDT 恢复就更没用了：几年前最先发布的版本就给出了SSDT项当前值与原始值，所谓恢复就是用原始值的4字节写回去，当时未提供是考虑一方面SSDT hook这种早已“滥用”的表层技术对IS的操作没有影响，另一方面使用它的却往往是正常的杀毒软件而非恶意软件（恶意软件早没这么菜了，太容易被发 现），所以觉得提供给普通用户只会让他们破坏自己的杀软。

不过有朋友老提，就加几句代码吧。

5、Advanced Scan：第三步的Scan Module提供给一些高级用户使用，一般用户不要随便restore，特别不要restore第一项显示为"----"的条目，因为它们不是操作系统 自己修改的就是IceSword工作需要的，restore后会使系统崩溃或是IceSword不能正常工作。

其实最早的IceSword也会自 行restore一些内核执行体、文件系统的恶意inline hook，不过并未提示用户，现在觉得像SVV那样让高级用户自行分析可能会有帮助。

另外里面的一些项会有重复（IAT hook与Inline modified hook），偷懒不检查了，重复restore并没有太大关系。

还有扫描时不要做其它事，耐心等待。

如果你安装了卡巴之类的杀软，可能结果察看就比较麻烦：修改太多了... 6、 隐藏签名项(View->Hide Signed Items)。

在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。

要注意选中后刷新那四栏会很慢，要耐心等。

运行过程中系统相关函数会主动连接外界 以获取一些信息（比如去获取证书吊销列表），一般来说，可以用防火墙禁之，所以选中后发现IS有连接也不必奇怪，M$ 搞的，呵呵。

7、其他就是内部核心功能的加强了，零零碎碎有挺多，就不细说了。

使用时请观察下View->Init State，有不是“OK”的说明初始化未完成，请report一下。

下载地址是 /soft/7602.html