Fremdes programm hookt CreateWindowEx
 

Hallo

Ich habe eine Frage, ich habe den Verdacht das ein fremdes Programm die user32.dll/CreateWindowEx hookt

Denn wenn das programm gestartet ist, und ich mein Programm starte, dann habe ich extremste Verzögerungen drinnen (Und ich sehe das die Kernel Zeiten extrem hochgehen)

Habe das ganze nun auch bis aufs CreateWindowEx runtergebrochen, die braucht normalerweise nicht mal eine ms, aber wenn das fremde Programm gestartet ist, dann 55ms

Da es hauptsächlich in meinem Programm auffällt (ich brauche eine unmenge an CreateWindowEx) und andere Programme nicht so, möchte ich nun nachschauen wer/was das hookt und ob ich das umgehen kann ...

für alle infos mal
Besten dank

AW: Fremdes programm hookt CreateWindowEx
 

Kann nicht schaden das System mit GMER zu untersuchen...
http://www.gmer.net/

AW: Fremdes programm hookt CreateWindowEx
 

Danke werde ich gleich mal testen ...

Allerdings weiss ich das es sich bei dem Programm um kein Illegales, oder RootKit oder co handelt, das ist ein teures CAD Programm
eventuell das es sich dabei um irgendeinen Kopierschutz oder so handelt ... oder oder oder ...

AW: Fremdes programm hookt CreateWindowEx
 

nein, leider habe ich mit GMER nichts gefunden was auf irgendwas von diesem Programm hindeutet ...

Hat sonst noch wer eine Idee?

AW: Fremdes programm hookt CreateWindowEx
 

Und das ist nur bei deinem Programm so? Was macht dein Programm?

AW: Fremdes programm hookt CreateWindowEx
 

Nein auch bei anderen Programmen auch, aber bei meinem eben extrem (anscheinend verwendet mein Programm sehr sehr viele solche CreateWindowEx)
im Taskmanager sehe ich es dann ja bei den BENUTZER_OBJEKTEN
und alle Programme die da eine hohe zahl haben, bei denen dauerts dann länger
Aber leider wie gesagt bei meinem Programm am schlimmsten (statt 3 Sekunden 30 Sekunden)

AW: Fremdes programm hookt CreateWindowEx
 

Gehen wir mal davon aus, deine Vermutung wäre korrekt.
Brauchst du nur den Beweis um dem Kunden zu zeigen, dass er sich an den anderen Hersteller wenden soll?
Oder willst du wirklich die Funktionsfähigkeit des anderen Programms zu Gunsten deines Programmes verhindern ,
denn das ist so der typische Verschlimmbesserungsansatz.

AW: Fremdes programm hookt CreateWindowEx
 

Ja es wurde schon an das andere Programm weitergeleitet, nur das ist eben ein riesen großer Hersteller, wo ich vermute das es keine Lösung geben wird.

Daher habe ich auch noch im Hintergedanken, ob ich diesen Hook irgendwie dann auch aufheben kann, oder nur für mein Programm oder oder ...
man könnte dann ja schauen, ob es ein Problem für das andere Programm ist.

Den mein Programm ist dadurch eigentlich unbrauchbar ...

AW: Fremdes programm hookt CreateWindowEx
 

Es gibt ja verschiedene Arten unter Windows etwas zu hooken. Einmal der „saubere“ Weg über SetWindowsHookEx und einmal indem man die ersten paar Bytes der Routine patcht und auf eigenen Code umleitet. WinAPI-Funktionen haben dafür extra ein paar Dummy-Operationen am Anfang.

Erstmal müsstest du rausfinden, um welche Art von Hook es sich handelt. Mit SetWindowsHookEx lässt sich CreateWindowEx zwar nicht direkt hooken, aber es kann durchaus sein, dass CreateWindowEx noch irgendeine Message an das neuerstellte Fenster schickt, die gehookt sein könnte.

Ich würde als erstes mal mit dem Debugger zur Adresse von SetWindowsHookEx springen und dort gucken, ob direkt am Anfang vielleicht irgendein Sprung-Befehl steht, der auf Patching hindeutet. In dem Fall sollte es relativ einfach sein, den Hook zu umgehen, indem du einfach die Dummy-Operationen an die Stelle zurückkopierst.

Kann dir aber natürlich nicht garantieren, wie das externe Programm auf solche Modifikationen reagiert... falls es sich wirklich um einen Kopierschutz handelt, wer weiß, ob dieser so eine Aktion nicht als „Angriff“ wertet (auch wenn es unberechtigt ist).

AW: Fremdes programm hookt CreateWindowEx
 

ahso nein ich möchte nicht das andere Programm modifizieren

Ich dachte ob es eventuell gehen würde, das ich nachdem das andere Programm geladen ist, den Hook wieder lösche.
Oder sozusagen mein Programm vor diesen Hook "schütze"
sowas in der Art
eine Änderung oder Patch am fremden Programm will ich auf keinen Fall vornehmen