浅析利用钩子注入DLL的原理与防范

最新推荐文章于 2021-11-19 08:01:54 发布
最新推荐文章于 2021-11-19 08:01:54 发布
阅读量2.3k 收藏 1
点赞数
文章标签: dll hook windows api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NotLanguage/article/details/6292493
版权

  windows的各个进程的地址空间是相互隔离的,所以一个进程代码是无法到另一个进程的地址空间去运行的.但是通过在进程中安装全局钩子的方法,钩子函数所在的DLL就有可能被操作系统加载到其它进程的地址空间中去,进而实现了DLL注入.实现了DLL注入之后,这个DLL的代码就可以在另一个进程的地址空间里做任何事.

 下面简单介绍一下利用钩子注入DLL的步骤

 1.调用SetWindowsHookEx安装系统范围内的钩子.

 2.将钩子函数的实现写在DLL里

 这样,其它接收与这个钩子相关消息的进程就会自动加载这个钩子函数所在的DLL,从而实现了DLL注入.

 

 防范的方法简单的有2:

1.不让钩子生效,那么DLL也就不会注入了.所以可以在程序里安装一个类型相同的局部钩子,由于局部钩子先执行,所以可以将消息不继续传递给下一个钩子.

2.通过HOOK API的方法禁止LoadLibrary的调用.(这个方法副作用太多,不太现实)

 

NotLanguage
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Windows编程DLL注入Hook(钩子)注入
qq_40012479的博客
11-06 3244
消息: 消息可以由系统和应用程序生成,系统会为每个输入事件产生相应的消息。例如点击鼠标,按下键盘按键等。消息又分为队列消息和非队列消息,对于非队列消息,windows会直接将其发送到窗口处理函数,而对于队列消息,windows会将其放入消息队列。 消息队列: windows维护了一个系统消息队列,并且为每一个GUI线程维护一个消息队列。且只有线程第一次调用GDI函数时,系统才会为该线程创建消息队列。windows会检查系统消息队列,确定消息的目标窗口,将其放入创建这个窗口的线程的消息队列里。 Hook: 钩
阻止全局钩子注入源码
08-27
这是一个阻止全局钩子注入的源码,已经实验成功了!!
dll注入原理分析
Maxmalloc的博客
10-21 566
获取目标进程的pid 获取目标进程的句柄 向目标进程写入注入dll的路径字符串 建立远程线程 // zhuru1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include "pch.h" #include <iostream> #include <stdio.h> #include <Windows.h> #incl...
钩子注入原理0基础讲解
weixin_42703673的博客
11-19 3310
钩子注入原理零基础讲解
Anti 消息钩子注入
莫灰灰的专栏
05-29 3742
MSDN上对消息钩子的描述: The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. Th
activeMQ消息发送过程与原理浅析
02-24
activeMQ发送消息客户端发送消息分为同步发送与异步发送同步发送,发送者发送一条消息会阻塞直到broker反馈一个确认消息给发送者,表示消息已经被broker处理。这个机制提供了消息的安全性保障,由于是阻塞的操作,会...
IGBT浅析,IGBT的结构与工作原理
01-20
IGBT(Insulated Gate Bipolar Transistor),绝缘栅双极型晶体管,是由BJT(双极型三极管)和MOS(绝缘栅型场效应管)组成的复合全控型电压驱动式功率半导体器件, 兼有MOSFET的高输入阻抗和GTR的低导通压降两方面...
浅析电子商务安全威胁与防范技术最新文档.doc
最新发布
12-03
浅析电子商务安全威胁与防范技术最新文档.doc
浅析SQL注入式攻击与防范.pdf
09-19
浅析SQL注入式攻击与防范.pdf
戴尔笔记本电脑电源适配器电路原理浅析与维修
01-20
近日修了几台戴尔笔记本电脑PA-12系列HA65NS2-00型电源适配器,版本号REV A01....这里给出根据实物绘出的电路原理图(见图2),浅析其工作原理,给出两个维修实例。图2中:器件编号与实物一致,贴片电容未
防止全局钩子的入侵(天极的文章)
my box
08-14 1011
首先看看全局钩子如何注入别的进程。  消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载
微软防止钩子注入的后门函数RegisterSystemThread
Inside Windows
10-19 3539
>>微软后门函数 RegisterSystemThread>>原形VOID STDCALL  RegisterSystemThread (DWORD flags, DWORD reserved) >>等值定义define RST_DONTJOURNALATTACH 0x00000002define RST_DONTATTACHQUEUE   0x00000001  >>推测 查不出定义来!;调用例
程序驱动防止消息钩子入侵
weixin_33672400的博客
04-28 286
PS:明天上午,非常郁闷,有很多简单基础的问题搞得我有些迷茫,哎,代码几天不写就忘。目前又不当COO,还是得用心记代码哦!     很久以前就道知可以应用LoadLibraryExW来避免全局钩子入侵,说实话直一很恶感消息钩子。经曾想过在驱动层通过过hook NtUserSetWindowsHookEx来避免,但是我们是不并很好分区钩子不是不意恶的,而且windows统系本身也会应用,还有就是驱...
c语言dll注入进程,DLL注入--设置消息钩子
weixin_35837047的博客
05-19 363
通过设置消息钩子,达到和dll注入相同的目的,但这个方法与其他DLL注入方法又不一样,它不会把自己的DLL加载到目标进程,所以也就实现不来DLL的隐藏,这样很容易被杀软KILL掉,亲测360秒杀,但实现简单还有有相当的应用场景,下面是一个通用的消息勾取主函数,它将关键的消息勾取函数SetWindowsHookEx函数放到了DLL当中,通过DLL调用来实现消息勾取,因为此逻辑相对简单,此处就不详细介...
利用钩子注入DLL进而HOOK API防范
NotLanguage的专栏
03-31 1198
1.让钩子失效,进而不让DLL注入.可能通过为要防范的进程安装局部钩子的方法,让相同的钩子得不到处理的机会.' 2.DLL注入后,HOOK API是通过修改进程模块的导入表实现的,如果我们对重要的函数调用采取如下的方式,而不用导入表,那么也可以让HOOK API失效   比如我们想防止MessageBox被HOOK,可以在程序里通过如下方式调用: typedef int (WINAPI* p
一种注册表沙箱的思路、实现——Hook Nt函数
方亮的专栏
06-11 5574
        Nt函数是在Ring3层最底层的函数了,选择此类函数进行Hook,是为了提高绕过门槛。我的Hook方案使用的是微软的Detours。(转载请指明出处)        Detours的Hook和反Hook的写入如下:DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(lpOriF...
Win32全局钩子在Delphi下实现的关键技术
享_受_生_活
05-01 437
自15年前Windows 3.1推出以来,Win32全局钩子的实现始终是32位Windows程序设计中最富挑战性的课题之一。全局钩子可以捕获系统向应用程序发送的消息(比如 键盘和鼠标操作、系统设置改变等等),因而被广泛地应用在各种商用应用软件中,其中又以金山词霸的“屏幕取词”功能最为国人所熟知。另一方面,黑客们不断 地开发出更隐蔽、更强大的钩子程序来盗取他人的密码和隐私。在互联网上我们可以轻易找到成百上千写法各异的Delphi钩子程序,可到目前为止,它们中没有一个是可以同时正确运行于Windows9x/Me
DLL注入技术之消息钩子注入
125096
03-22 1511
消息钩子注入原理利用Windows 系统中SetWindowsHookEx()这个API,他可以拦截目标进程的消息到指定的DLL中导出的函数,利用这个特性,我们可以将DLL注入到指定进程中。主要流程如下图所示 1.准备阶段     需要编写一个DLL,并且显式导出MyMessageProc()函数,主要代码如下: LRESULT WINAPI MyMessageProc(int

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值