防止全局钩子的侵入

原创 2004年12月29日 06:47:00
Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。

  首先简单看看全局钩子如何注入别的进程。

  消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。

  进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。

  从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。

  这里hook api使用了微软的detours库,可自行修改。

以下内容为程序代码:

typedef HMODULE (__stdcall *LOADLIB)(
  LPCWSTR lpwLibFileName,
  HANDLE hFile,
  DWORD dwFlags);

extern "C" {
    DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
                             LPCWSTR lpwLibFileName,
                             HANDLE hFile,
                             DWORD dwFlags),
                            LoadLibraryExW);
}

ULONG user32 = 0;

HMODULE __stdcall Mine_LoadLibraryExW(
             LPCWSTR lpwLibFileName,
             HANDLE hFile,
             DWORD dwFlags)
{
    ULONG addr;

    _asm mov eax, [ebp+4]
    _asm mov addr, eax

    if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
    {
        return 0;
    }

    HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
                        lpwLibFileName,
                        hFile,
                        dwFlags);

    return res;
}

BOOL ProcessAttach()
{
    DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
                 (PBYTE)Mine_LoadLibraryExW);
    return TRUE;
}

BOOL ProcessDetach()
{
    DetourRemove((PBYTE)Real_LoadLibraryExW,
                 (PBYTE)Mine_LoadLibraryExW);
    return TRUE;
}

CAnti_HookApp::CAnti_HookApp() //在使用用户界面服务前调用ProcessAttach
{
    user32 = (ULONG)GetModuleHandle("User32.dll");
    ProcessAttach();
}

全局钩子详解

监控程序的实现       我们发现一些木马或其他病毒程序常常会将我们的键盘或鼠标的操作消息记录下来然后再将它发到他们指定的地方以实现监听.这种功能其他是利用了全局钩子将鼠标或键盘消息进行了截取,从...
  • ccfxue
  • ccfxue
  • 2016年05月03日 17:20
  • 2468

C#全局键盘钩子

using System; using System.Collections.Generic; using System.Diagnostics; using System.Runtime.Inter...
  • hoopmac
  • hoopmac
  • 2013年10月15日 18:18
  • 948

vc全局钩子实现程序监控

再来做一个全局钩子的程序。 程序大体功能: 1.可以监视在你的电脑运行的程序, 把在你的电脑运行过的程序的时间和名字记录下来; 2.可以挖出不是经过你自己允许而自动运行的程序,大部分木马都是自己...
  • bberdong
  • bberdong
  • 2013年07月25日 09:13
  • 2394

安装全局消息钩子实现dll窗体程序注入

安装全局消息钩子实现dll窗体程序注入
  • u013761036
  • u013761036
  • 2016年10月26日 18:33
  • 1452

c#-全局键盘钩子

using System; using System.Collections.Generic; using System.Text; using System.Windows.Forms; using...
  • u013761036
  • u013761036
  • 2016年10月30日 15:46
  • 791

MFC动态链接库以及全局钩子函数操作

动态链接库有两种加载方式:隐式链接加载动态链接库和动态加载动态链接库。     1、隐式链接加载动态链接库     如果有XXX.h ,XXX.lib ,XXX.dll,这样就可以隐式链接加载了。  ...
  • liuyi1207164339
  • liuyi1207164339
  • 2015年07月06日 10:41
  • 1215

全局消息钩子代码

代码 #ifndef __UdiskHook_h__ #define __UdiskHook_h__ #include // http://blog.csdn.net/defaultbyzt...
  • x82488059
  • x82488059
  • 2013年09月25日 17:03
  • 2015

全局钩子函数之 SetWindowsHookEx

虚拟键码表:http://www.cnblogs.com/del/archive/2007/12/07/987364.html在windows操作系统中,如果我们想对键盘进行重定义,比如说按某键就可发...
  • cxq_1993
  • cxq_1993
  • 2015年08月13日 16:12
  • 3403

钩子编程(HOOK) 留后门与钩子卸载 (2)

[钩子编程(HOOK) 留后门与钩子卸载]根据前面几篇文章对进程内钩子有了个初步了解,本文继续谈及钩子卸载问题。一般编写钩子程序,我们希望程序一方面能屏蔽键盘鼠标消息,但又希望程序能留有一个“后门”,...
  • u012339743
  • u012339743
  • 2014年05月14日 23:45
  • 2571

鼠标全局钩子

转自:http://www.tuicool.com/articles/BfAZna 有问题:在dllmain.h文件中加上extern HINSTANCE glhInstance;不然它总是找不...
  • yuanboshuai
  • yuanboshuai
  • 2017年02月17日 17:21
  • 1325
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:防止全局钩子的侵入
举报原因:
原因补充:

(最多只允许输入30个字)