时间 进程 2012-5-17 11:31:17 c:\windows\system32\svchost.exe
======================================================================
操作 目标 结果 向其他进程发送消息 (7) c:\program files\internet explorer\iexplore.exe 阻止
======================================================================
规则 [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe
======================================================================
数据 消息: WM_SYSCOMMAND
======================================================================
今天在书上看到一篇文章,叫做《如何成为一名黑客》,其中提到四种黑客需要的编程语言,我对黑客大底是不敢兴趣的,但编程却不是,所以想看看到底是哪四种,就到图书馆搜索下“如何成为一名黑客”关键字,结果网页自动关闭。
蒋老师说过,现在的内容过滤已经很常用了,想起很久以前在网吧,也有内容过滤的情况,那时还不知道为什么莫名其妙自己的网页就被关了。
今天在图书馆居然又出现这种情况,我就是想看看到底什么情况?
所以就用hips看了下,结果是进程间的通信问题,通过对另一个进程的检测和发送WM_SYSCOMMAND命令来对IE浏览器进行关闭。
其实只要电脑在自己手上,要获得权限始终要比远程容易得多,当初在网吧进行研究的时候发现,有很多权限都被限制了,结果我自己给自己种了个灰鸽子,这样权限就又回来了。
WM_SYSCOMMAND
当用户从窗口菜单选择一个命令或当用户选择最大化按钮,最小化按钮,复原按钮或关闭按钮时,一个窗口将会接收该消息
语法:
WPARAM wParam
LPARAM lParam;
参数------- wParam
指定系统命令的类型。该参数可以是下列值之一:
SC_CLOSE 关闭窗口
SC_CONTEXTHELP 将光标改为一个问题标识样式。如果用户之后点击了对话框中的一个控件,该控件会收到一个WM_HELP消息。
SC_DEFAULT 当用户双击窗口菜单时,选择默认的条目。
SC_HOTKEY 以应用程序指定的热键激活窗口。lParam参数标识了所要激活的窗口。
SC_HSCROLL 水平滚动。
SC_KEYMENU 键盘的敲击返回窗口菜单。
SC_MAXIMIZE
最大化窗口
SC_MINIMIZE
最小化窗口
SC_MONITORPOWER
设置显示状态。该命令支持具有节电特性的设备,如电池供电的个人电脑。
lParam参数可以具有下列值:
-1 - 显示设备打开
1 - 显示设备将要进入节电模式。
2 - 显示设备将要被关闭
SC_MOUSEMENU
鼠标单击返回窗口菜单。
SC_MOVE
移动窗口
SC_NEXTWINDOW
移到下一个窗口
SC_PREVWINDOW
移到前一个窗口
SC_RESTORE
将窗口复原到原始的位置和大小。
SC_SCREENSAVE
执行System.ini文件里[boot]部分指定的屏幕保护程序。
SC_SIZE
改变窗口大小。
SC_TASKLIST
激活【开始】菜单。
SC_VSCROLL
垂直滚动。
lParam
如果一个窗口命令被鼠标选中,低位字指定光标的水平位置。否则该参数不被使用。
如果一个窗口命令被鼠标选中,高位字指定光标的垂直位置。如果使用系统加速键选择的命令,则该参数为-1,如果使用助记符的话,则该参数为0.
返回值
如果成功处理该消息,则返回值为0.
备注
获得屏幕坐标系下的位置坐标,可以使用下面的代码:
xPos = GET_X_LPARAM(lParam); // horizontal position
yPos = GET_Y_LPARAM(lParam); // vertical position