防止全局钩子的侵入

107 篇文章 0 订阅
107 篇文章 1 订阅
 Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。

    首先简单看看全局钩子如何注入别的进程。

    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。

    进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。

    从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。

    这里hook api使用了微软的detours库,可自行修改。

    以下内容为程序代码:

typedef HMODULE (__stdcall *LOADLIB)(
    LPCWSTR lpwLibFileName,
    HANDLE hFile,
    DWORD dwFlags);

extern "C" {
        DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
                                                         LPCWSTR lpwLibFileName,
                                                         HANDLE hFile,
                                                         DWORD dwFlags),
                                                        LoadLibraryExW);
}

ULONG user32 = 0;

HMODULE __stdcall Mine_LoadLibraryExW(
                          LPCWSTR lpwLibFileName,
                          HANDLE hFile,
                          DWORD dwFlags)
{
        ULONG addr;

        _asm mov eax, [ebp+4]
        _asm mov addr, eax

        if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
        {
                return 0;
        }

        HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
                                                lpwLibFileName,
                                                hFile,
                                                dwFlags);

        return res;
}

BOOL ProcessAttach()
{
        DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
                                 (PBYTE)Mine_LoadLibraryExW);
        return TRUE;
}

BOOL ProcessDetach()
{
        DetourRemove((PBYTE)Real_LoadLibraryExW,
                                  (PBYTE)Mine_LoadLibraryExW);
        return TRUE;
}

CAnti_HookApp::CAnti_HookApp()  //在使用用户界面服务前调用ProcessAttach
{
        user32 = (ULONG)GetModuleHandle("User32.dll");
        ProcessAttach();
}

(摘自 http://www.softhouse.com.cn/news/show/1391.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值