『NtUserSetWindowsHookEx』って何!?
ウィルスバスター様が不正アクセスだとおっしゃっております…
と後ろの奴に言われた…。
不正アクセス?
何を持って不正アクセスとおっしゃるあなた!
と言う訳でログを確認。
『セキュリティーティレポート』ダイアログに
『不正変更の監視』とある…。
以下ログの内容…。
>種類:
>API Event
>検出ソース/プロセスID:
>NtUserSetWindowsHookEx
>ファイル名:
>C:\...
>該当ポリシー:
>DLL(プログラムライブラリ)インジェクション
>実行された処理:
>拒否
『NtUserSetWindowsHookEx』って…
何かどっかで見たような…?
なので、調べてみたら…
ああ、『SetWindowsHookEx』の事!?
…
多分、『NtUserSetWindowsHookEx』って
こんな意味ではないかと推測してみる…。
・『Nt』は、『Windows NT 系 OS』で
・『User』は、『User 権限』で
・『SetWindowsHookEx』を実行したよ…。
『SetWindowsHookEx』を大雑把に説明すると
ディスクトップに任意の処理を追加する奴。
多分、『ウイルスバスター』様は、こう言いたいのでは?
と推測してみる…。
>API(アプリケーションプログラムインターフェイス)が
>ユーザー権限で『SetWindowsHookEx』関数を使ったよ。
>でも、そんな事はウイルスバスターが許しません!
どのぐらい正しいか分からん…。
全くの間違いかも?(汗)
まあ、普通のアプリケーションでは
『SetWindowsHookEx』を使用しない。
特殊なAPIの内部で使用する場合がある。
それに引っかかったのかも…。
ちなみに『SetWindowsHookEx』を使うと何ができるかというと
『キーロガー』みたいな監視ソフトが作れたりします…。
は、置いといて…
実際に『不正アクセス』が起こるか試してみた…。
『Windows Vista Business + SP1』に
『ウイルスバスター2008(32bit版)』をインストールして
アプリケーションを実行!
…
『不正アクセス』は、起きなかったよ!
…
謎だ?
…
後ろの奴のPCに何か仕込まれていない?
問題のPCに何か仕込まれていない?
2009年5月6日追記------------------
不正アクセスが発生するのに特定のタイミングがあるそうだ。
それがムービーを再生する時なんだそうだ。
ムービーを再生する時にそのムービーフォーマットに
対応したデコーダーを読み込む。
自分のPCでは、MPEGムービーの再生時に
「clm4splt.ax」をロードしている。
バージョン情報に「CyberLink MPEG-4 Splitter」とある。
このデコーダーは、『プログラム』であるわけで…
ディスクトップに何かをするとなると…
画像を直接ディスクトップに表示する機能まで持っているのかも…?
もしくは、何らかの入力を直接得ようとしているのかも?
もちろんその部分もテストしたけど
不正アクセスを確認できなかった…。
勿論、問題PCでは、別なデコーダーが入っている可能性もある。
最終的には、問題が発生したPCをお借りして
デバッグするしかないです…。
なあ、借りられればの話ですけどね…。
2009年5月9日追記------------------
上記の追記を書いた後、そう言えば…
読み込んでいるDLLを確認する方法があった事を思い出した!
『Microsoft Visual Studio』などの統合開発環境上でEXEを実行すると
実行時に読み込んだDLLなどをリアルタイムに
表示してくれたっけ…。
試してみる…
おお、ガンガン表示されるぞよ!
もしかしたらこれで『不正アクセス』している奴を
見つけられるかもしれない…。
お困りの方は、試してみる価値があるかも!
…無いかも…。
| 固定リンク
コメント
>いや、私のPCで出た訳じゃないんです
>けどねー(苦笑)。
ちょっと修正しました!w
>ちょっと聞いてみますわ~。
よろしく~。
…
あれ?
くしにょさんのPCってビスタでウイルスバスターじゃなかったけ?
…
ド!ローカルな書き込みですな!w
投稿: kouyou | 2009年5月 6日 (水) 23時32分
いや、私のPCで出た訳じゃないんです
けどねー(苦笑)。
ちょっと聞いてみますわ~。
投稿: くしにょ | 2009年5月 6日 (水) 06時27分