防止消息钩子入侵

最新推荐文章于 2023-04-13 23:07:05 发布
最新推荐文章于 2023-04-13 23:07:05 发布
阅读量1.8k 收藏
点赞数
分类专栏: c++ 安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cackeme/article/details/8863846
版权
本文介绍了一种在用户层通过hook LoadLibraryExW函数来防止全局消息钩子入侵的方法。作者通过Detours库实现了对LoadLibraryExW的拦截,过滤掉特定的dll加载,例如"hook.dll",以此增强程序的安全性。然而,在MFC的release版本中,该方法可能由于编译器优化而失效,作者对此感到困惑并寻求解决方案。
摘要由CSDN通过智能技术生成

很久以前就知道可以使用LoadLibraryExW来防止全局钩子入侵,说实话一直很反感消息钩子。曾经想过在驱动层通过过hook NtUserSetWindowsHookEx来防止,但是我们并不是很好区分钩子不是不恶意的,而且windows系统本身也会使用,还有就是驱动层很多安全软件和rootkit都盯上了,稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibraryExW的,我也想尽可能的保护好自己的程序,经过我亲身测试发现在win32非mfc程序hook这个函数很有效,mfc程序的debug版本也是没有问题,但是在mfc的release版本却失效了,后来注意到了内联汇编,我想可能是被编译器优化了。曾向利用__declspec(naked)禁止对内联汇编的优化,但是使用了__declspec(naked)之后我们不能使用return。经过很多挫折还是没能最终解决,如果有高手知道的话,指点一下,谢谢。今天主要利用LoadLibraryExW过滤特定的dll,以下例子是"hook.dll"。

代码如下:

AntiHook.h:


#ifndef _H_ANTIHOOK_
#define _H_ANTIHOOK_

#include "detours.h"

#pragma comment(lib,"detours")

typedef HMODULE (WINAPI* LoadLibraryExW_t)(LPCWSTR,HANDLE,DWORD);
HMODULE WINAPI NewLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags);

class CAntiHook
{
public:
 CAn

最低0.47元/天 解锁文章
pctack
关注
专栏目录
一、C++反作弊对抗实战 (基础篇 —— 4.利用消息钩子注入DLL)
Koma的主页
03-02 579
这里将主要用到Windows API函数SetWindowsHookEx,它是微软提供给程序开发人员进行消息拦截的一个API,不过它的功能不仅用作消息拦截,还可以进行DLL注入。
Windows 反消息钩子(1)
mmdev
07-31 218
消息钩子在Windows编程中有着非常广泛的应用,它可以任意拦截Windows系统,这个以消息为驱动的系统中的绝大多数消息类型。一方面这给编程者带来了巨大的灵活性,另一方面也埋下了巨大隐患,大多数窃密软件都使用这种方法。此篇文章给您提供一种钩子的反拦截方法,希望对您有所帮助。文章中使用了API钩子,您之前必须对此技术有一定了解。 为求完整,文章分为两部分,第一部分为消...
Anti 消息钩子注入
莫灰灰的专栏
05-29 3769
MSDN上对消息钩子的描述: The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. Th
防止全局钩子的侵入
雪松软件开发的专栏
07-14 1103
防止全局钩子的侵入     Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWin
阻止全局钩子的加载
weixin_34290352的博客
07-05 1320
网上有一篇关于这个问题的文章,题目叫《防止全局钩子的侵入》,作者不祥。文中简单分析了一下钩子的原理,然后使用了微软的Detours库进行 API拦截。如果只是为了拦截一个函数,使用Detours好像有点儿浪费。本文不使用Detours库,直接对LoadLibraryExW函数进行拦截。 先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子钩子函...
深入探究Windows平台客户端安全问题-进程地址空间入侵和白加黑高阶利用1
08-08
这些方法可以有效地防止进程地址空间入侵,但是需要更多的人去研究和完善。 五、结论 进程地址空间入侵是一种常见的安全问题,需要我们认真对待和防御。 Explorer Shell Extension 注入法是一种较为少见的进程地址...
Android——Hook(钩子函数)动态注入代码
热门推荐
chice的博客
11-10 1万+
背景介绍很多时候系统处于安全考虑,将很多东西对外隐藏,而有时我们偏偏又不得不去使用这些隐藏的东西。甚至,我们希望向系统中注入一些自己的代码,以提高程序的灵活性。刚好有这么一种特殊的回调模式,Hook模式可以实现上述愿景。Hook动态注入代码Hook机制是回调机制的一种,普通的回调是静态的,我们必须提前写好回调接口;而Hook机制在Java中则可以利用反射,针对切入点(通常是一个成员变量),采用替换的
程序监控 利用钩子技术
05-07
5. **安全性检测**:在安全领域,钩子技术常用于检测恶意软件的行为,比如监控系统调用,防止病毒、木马的入侵。 在C++编程中,实现钩子技术通常涉及到以下几个步骤: 1. **定义钩子回调函数**:这个函数会在特定...
防止文本框的星号内容被非法获取
03-26
7. **实时监控**:设置入侵检测系统(IDS)和入侵防御系统(IPS),对异常活动进行监控和响应。 综上所述,防止文本框的星号内容被非法获取需要多方面的防护措施,包括但不限于安全的编程实践、加密传输、使用安全...
浅谈hook攻防
hongduilanjun的博客
05-09 2988
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序消息
在用户态防止全局钩子注入
lyclowlevel的专栏
10-09 2191
项目需要,研究了一个礼拜,防止全局钩子注入的功能基本实现。今天偶然在网路上搜索相关主题,发现“看雪论坛”有前辈早就讨论过这个问题,且提出了解决方案,思路与在下不谋而合。不过据我的分析,该前辈的解决方案还有些缺陷。至少应该从以下角度改进: 1、当全局钩子的LoadLibraryE
消息钩子的反拦截
yaozhu88的专栏
11-14 5206
首先声明一下,标题所指的钩子消息钩子,而不是API钩子(一种对API地址的替换技术)。若标题使您误解,请不要继续阅读。             消息钩子在Windows编程中有着非常广泛的应用,它可以任意拦截Windows系统,这个以消息为驱动的系统中的绝大多数消息类型。一方面这给编程者带来了巨大的灵活性,另一方面也埋下了巨大隐患,大多数窃密软件都使用这种方法。此篇文章给您提供一种钩子的反拦截方
利用钩子注入DLL进而HOOK API的防范
NotLanguage的专栏
03-31 1214
1.让钩子失效,进而不让DLL注入.可能通过为要防范的进程安装局部钩子的方法,让相同的钩子得不到处理的机会.' 2.DLL注入后,HOOK API是通过修改进程模块的导入表实现的,如果我们对重要的函数调用采取如下的方式,而不用导入表,那么也可以让HOOK API失效   比如我们想防止MessageBox被HOOK,可以在程序里通过如下方式调用: typedef int (WINAPI* p
Android Hook技术防范漫谈
一个有情怀的程序猿博客
06-28 3492
背景 当下,数据就像水、电、空气一样无处不在,说它是“21世纪的生产资料”一点都不夸张,由此带来的是,各行业对于数据的争夺热火朝天。随着互联网和数据的思维深入人心,一些灰色产业悄然兴起,数据贩子、爬虫、外挂软件等等也接踵而来,互联网行业中各公司竞争对手之间不仅业务竞争十分激烈,黑科技的比拼也越发重要。随着移动互联网的兴起,爬虫和外挂也从单一的网页转向了App,其中利用Android平台下Dalvik模式中的Xposed Installer和Cydia Substrate框架对App的函数进行Hook这..
HOOK消息处理机制
weixin_34240520的博客
01-19 263
2019独角兽企业重金招聘Python工程师标准>>> ...
怎么处理才可以让程序消息不会被HOOK
01-10 1508
屏蔽钩子的方法之一是检查消息的来源,内部增加一个校验机制,如果消息来自本应用程序,则予以响应,否则丢弃。1、从CEdit继承一个子类CPasswordEdit,声明全局变量g_bAuthorIdentity表明消息发送者的身份。BOOL g_bAuthorIdentity;然后相应CPasswordEdit的虚拟函数DefWindowProc,在这个回调函数中进行身份验证:LRESULT CPas
使用Detours对LoadLibraryExW进行HOOK屏蔽全局钩子
SR0ad的涅盘地
11-12 4882
全局钩子都是做为DLL挂接注入进程,假如应用程序A.exe安装了WH_GETMESSAGE的全局钩子钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程。
4.13(LoadLibrary)
最新发布
m0_72827793的博客
04-13 838
本章准确来讲,自己的理解很少,需要多花时间好好理解
Windows消息钩子函数入门详解
"这篇文档是关于消息钩子函数的基础介绍,适合初级学习者。消息钩子是Windows系统中用于截获和处理其他应用程序消息的重要机制,可以用来实现一些特殊功能,如键盘鼠标输入监控、屏幕取词和日志监视等。文章提到了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值