防止全局钩子的侵入

最新推荐文章于 2023-04-04 17:25:16 发布
最新推荐文章于 2023-04-04 17:25:16 发布
阅读量1k 收藏
点赞数
分类专栏: VC++ C++ Windows编程 文章标签: hook dll user api windows 微软
VC++ 同时被 3 个专栏收录
112 篇文章 2 订阅
订阅专栏
C++
107 篇文章 0 订阅
订阅专栏
Windows编程
107 篇文章 1 订阅
订阅专栏
 Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。

    首先简单看看全局钩子如何注入别的进程。

    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。

    进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。

    从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。

    这里hook api使用了微软的detours库,可自行修改。

    以下内容为程序代码:

typedef HMODULE (__stdcall *LOADLIB)(
    LPCWSTR lpwLibFileName,
    HANDLE hFile,
    DWORD dwFlags);

extern "C" {
        DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
                                                         LPCWSTR lpwLibFileName,
                                                         HANDLE hFile,
                                                         DWORD dwFlags),
                                                        LoadLibraryExW);
}

ULONG user32 = 0;

HMODULE __stdcall Mine_LoadLibraryExW(
                          LPCWSTR lpwLibFileName,
                          HANDLE hFile,
                          DWORD dwFlags)
{
        ULONG addr;

        _asm mov eax, [ebp+4]
        _asm mov addr, eax

        if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
        {
                return 0;
        }

        HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
                                                lpwLibFileName,
                                                hFile,
                                                dwFlags);

        return res;
}

BOOL ProcessAttach()
{
        DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
                                 (PBYTE)Mine_LoadLibraryExW);
        return TRUE;
}

BOOL ProcessDetach()
{
        DetourRemove((PBYTE)Real_LoadLibraryExW,
                                  (PBYTE)Mine_LoadLibraryExW);
        return TRUE;
}

CAnti_HookApp::CAnti_HookApp()  //在使用用户界面服务前调用ProcessAttach
{
        user32 = (ULONG)GetModuleHandle("User32.dll");
        ProcessAttach();
}

(摘自 http://www.softhouse.com.cn/news/show/1391.html
dlyhlq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#环境下的钩子
onepeopleoneanimal的专栏
04-27 1748
本文将试图以下面的顺序讲解HOOK的大部分内容: 1、 WINDOWS的消息机制 2、 HOOK介绍 3、 HOOK链 4、 HOOK钩子的作用范围 5、 HOOK类型 6、 回调函数 7、 HOOK钩子的安装与卸载 8、 HOOK实例演示  +++++++++++++++++++ WINDOWS的消息机制 +++++++++++++++++++ Windows系统是以消息处理为其控制
阻止全局钩子的加载
sanshao27的专栏
10-09 706
阻止全局钩子的加载作者:耿海增下载源代码开发环境: VC6 Windows XP测试环境: WindowsXP  网上有一篇关于这个问题的文章,题目叫《防止全局钩子侵入》,作者不祥。文中简单分析了一下钩子的原理,然后使用了微软的Detours库进行API拦截。如果只是为了拦截一个函数,使用Detours好像有点儿浪费。本文不使用Detours库,直接对LoadLibraryExW函数进行拦截
局部钩子能防全局钩子吗_从运行开始阅读flask werkzeug源码——钩子函数
weixin_39704246的博客
11-30 75
之前两篇文章已经讲了正常情况下flask服务器从底层运行到接收请求的整个过程以及debug模式下的不同,今天来写一下flask中的钩子函数url_value_preprocessors在before_request_funcs之前被执行,用于对endpoint、以及url所带的参数进行一些预处理before_request_funcs顾名思义,在每个请求执行之前都会经过这些函数,在第一篇文章中我们...
防止黑客入侵:DLL后门完全清除方法(转)
cuankuangzhong6373的博客
04-06 556
前言   后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛...
防止全局hook入侵Delphi版,2000以上系统适用(part1)
tt.t的专栏
02-01 966
原理见http://202.38.73.222/~pjf/blog/archives/000040.html代码如下:============form1.dfm==============object Form1: TForm1 Left = 192 Top = 107 Width = 396 Height = 261 Caption = Form1
深入分析C#键盘勾子(Hook)拦截器,屏蔽键盘活动的详解
weixin_42099527的博客
04-04 2881
这个列表的指针指向指定的,应用程 序定义的,被Hook子程调用的回调函数,也就是该钩子的各个处理子程。最近安装的钩子放在链的开始, 而最早安装的钩子放在最后,也就是后加入的先获得控制权。也就是说每个进程所拥有的相同的DLL全局数据,它们的名称相同,但其值却并不一定是相同的,而且是互不干涉的。在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另外一个 SDK中的API函数CallNextHookEx来传递它,以执行钩子链表所指的下一个钩子子程。
在用户态防止全局钩子注入
lyclowlevel的专栏
10-09 2162
项目需要,研究了一个礼拜,防止全局钩子注入的功能基本实现。今天偶然在网路上搜索相关主题,发现“看雪论坛”有前辈早就讨论过这个问题,且提出了解决方案,思路与在下不谋而合。不过据我的分析,该前辈的解决方案还有些缺陷。至少应该从以下角度改进: 1、当全局钩子的LoadLibraryE
如果防止他人侵入我的电脑
12-17
防范黑客入侵电脑有的方法:1、一定要把Guest帐号禁用。2、停止共享。关闭不必要的服务
侵入式负载检测
03-28
侵入式负荷监测(NILM)是未来电力负荷监测的重要发展方向之一。不同类型电力负荷在投切过程中,通常会表现出独特的暂态特征。据此,NILM 能够克服利用负荷稳态特征信息进行负荷辨识的局限性,实现对整个...
基于云平台的非侵入式负荷监测与识别系统
10-15
为了实时远程地监测负荷运转状态和识别负荷种类,设计了一种非侵入式负荷监测系统,并研究基于PCA和kNN的负荷识别算法。在电力供给入口端,通过在负荷回路中串联康铜电阻采样工作电流,通过电阻分压网络采样工作电压...
基于模板滤波的非侵入负荷辨识系统
10-19
基于模板滤波的非侵入负荷辨识系统。这个文章介绍的很好,建议好好读读,有一定的帮助
浅谈webpack下的AOP式无侵入注入
08-28
下面小编就为大家带来一篇浅谈webpack下的AOP式无侵入注入。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
利用debug钩子拦截全局钩子,经典反黑客技术
热门推荐
尹成的技术博客
04-14 1万+
// 键盘钩子消息处理过程LRESULT CALLBACK DebugProc ( int nCode, WPARAM wParam, LPARAM lParam ){ if ( nCode == HC_ACTION ) {  PDEBUGHOOKINFO pDebugHookInfo = (PDEBUGHOOKINFO)lParam ;  switch ( wParam )  {  case W
使用Windows钩子HOOK拦截鼠标和键盘的操作,实现禁用键盘鼠标功能,监听键盘按键功能
CJ_WORLD的博客
10-18 3198
/*------------------------------以下为头文件声明-------------------------*/ #ifndef GLOBALHOOKMANAGER1_H #define GLOBALHOOKMANAGER1_H #include <windows.h> static HHOOK m_Mouse;//鼠标钩子句柄 static HHOOK m_K...
使用调试钩子屏蔽全局钩子
huobengle
09-06 308
WH_DEBUG为调试钩子,用来给钩子函数除错。在系统调用系统中与其他Hook关联的Hook钩子例程之前,系统会调用WH_DEBUG Hook钩子例程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook钩子例程。WH_DEBUG调用DebugProc钩子例程。 DebugProc语法:LRESULT CALLBACK DebugProc( int nCode, ...
Anti 消息钩子注入
莫灰灰的专栏
05-29 3719
MSDN上对消息钩子的描述: The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. Th
屏蔽全局鼠标钩子_任鸟飞谈逆向反检测技术之解除函数屏蔽
weixin_35282782的博客
01-28 1026
逆向开发者在开发过程中,可能有不少人遇到这样的一个问题:在不开游戏的情况下,某些函数可以正常调用和使用。但是在游戏运行后。该类函数直接失效。最典型的例子为FPS 和 DNF。绝大多数检测成熟的游戏,都会屏蔽键鼠类函数的执行,由安全系统所接管,最典型的函数为mouse_event() 函数声明如下那么有什么办法或者思路来解除这一函数屏蔽呢?答案是有的。分析: 首先,函数失...
侵入式框架istio
最新发布
07-28
Istio是一个非侵入式的服务网格框架,它提供了一种统一的方式来管理和连接微服务。它的设计目标是解决微服务架构中的一些常见问题,如服务发现、负载均衡、流量管理和安全性等。Istio的服务发现机制基于Kubernetes的域名访问机制构建而成,省去了再搭建一个注册中心的麻烦,并避免了在Kubernetes上运行时服务发现数据不一致的问题。\[2\] 此外,Istio还支持灰度发布技术,可以满足多个不同版本的服务同时在线,并能够灵活配置规则来分配流量。一种常见的灰度发布方式是基于负载均衡器的灰度发布,通过在入口的负载均衡器上配置流量策略来实现。然而,这种方式只能对入口的服务进行灰度发布,不支持对后端服务单独进行灰度发布。\[3\] 总之,Istio作为一个非侵入式的框架,提供了统一的服务治理能力,包括服务发现、负载均衡和灰度发布等功能,使得微服务架构更加灵活和可管理。 #### 引用[.reference_title] - *1* *2* [云原生Istio基本介绍](https://blog.csdn.net/ZGL_cyy/article/details/130467090)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Istio重要的流量治理的原理——非侵入的流量治理](https://blog.csdn.net/WuYuChen20/article/details/105932737)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值