WeeVee

可能阻止的是TW扩展，因为只有扩展是DLL。

hblf

还真没用过趋势，不过既然都已经告知用户发生注入了，为何又不提示清楚究竟是哪个注入到哪个呢，如果这个都不提示清楚的话，用户怎么判断究竟这个所谓的高危，对于客户的实际环境究竟是不是有危险呢，就比如ls提到的，扩展！
扯的有点远了，中心思想一句话：目前的信息无法得出究竟tw是不是有害。

vip888

也没什么的，加入它的信任名单就行了（不可能没这个功能吧）。
化外愚民 发表于 2009-5-9 11:21 http://bbs.ioage.com/cn/images/common/back.gif

正解……

AY

是勾子。

TW 自己用勾子并不出奇，但应该不用注入其他程序。

changzheng2

刚才在世界之窗论坛里看到了一个昨晚发的帖子
http://bbs.ioage.com/cn/thread-89776-1-2.html
《我的监控软件检测到theWorld有广告软件运行，这是怎么回事啊》
文中提到ThreatFire监控到键盘活动被Theworld记录
到现在那篇帖子还没有技术性回复

趋势科技日志显示theworld3的theworld.exe在09：48询问注入，然后在10：07这短短的一分钟内，趋势连续两次拒绝，theworld再询问，趋势再拒绝，theworld再询问，趋势再拒绝！

详细信息：
类型：API事件
检测到的资源或进程ID：NtUserSetWindowsHookEx
受感染文件：D:\Program Files\TheWorld3\TheWorld.exe
策略违例：动态链接库注入

以关键词NtUserSetWindowsHookEx API谷歌搜索，显示的结果很多都是关于键盘钩子（记录键盘活动)。消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。

虽然我对这些一窍不通，但是我怀疑Theworld是不是有键盘钩子？(-.-!)

JJYY

这个值得关注一下下，搞明白的好！

WeeVee

17# changzheng2
钩子tw1、2代都有，是防木马的吧。记得开发组有说过的

changzheng2

刚才又在世界之窗论坛里逛了逛，才知道世界之窗浏览器的安全浏览功能，在浏览器线程中开启了全局钩子管理，其目的是防止系统中的恶意程序通过钩子来嗅探用户的键盘输入。银行网站大多使用HTTPS协议SSL加密，这个协议中的传输是经过加密的，恶意程序无法在网络通信层截获用户的账户和密码信息，而如果是做恶意程序的话，就会通过挂接钩子，截获用户正在访问的网址和在网页中输入的用户名密码，以达到盗取银行账号的目的。这个钩子管理，就是屏蔽别的程序钩子用的。我是傲游浏览器的老用户了，对世界之窗浏览器不是很了解啊。这下我放心了。给各位添麻烦了，对不起！！！

小絮

嗯，楼上正解，tw是有钩子，用来防一些偷账号的木马。

xvlzw

发挥Trident内核的极致！其它内核这也看不了，那也听不了，光是速度快，有毛用！