Anti 消息钩子注入

最新推荐文章于 2023-04-04 17:25:16 发布
最新推荐文章于 2023-04-04 17:25:16 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: Windows安全 文章标签: hook system events thread types module
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu3167343/article/details/7611712
版权

MSDN上对消息钩子的描述:

The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. These events are associated either with a specific thread or with all threads in the same desktop as the calling thread.

 ----------------------------------------------------------------------------------------------------------------------------


1.在内核中,NtUserSetWindowsHookEx函数会首先取得当前线程、当前进程、TEB等的一些信息。然后会调用IntAddHook函数。


2.IntAddHook函数会根据是全局HOOK,还是单进程的HOOK,把钩子插入不同的链表中




3.CallNextHookEx函数会根据不同的消息钩子类型调用不同的函数,如果是WH_CALLWNDPROC和WH_CALLWNDPROCRET类型的,就直接调用NtUserMessageCall函数。如果不是以上两者就会调用NtUserCallNextHookEx函数。

 

4.NtUserMessageCall又会根据传进来的typeid参数调用不同的函数。其中如果是上述的WH_CALLWNDPROC和WH_CALLWNDPROCRET类型的,则会调用co_IntCallHookProc函数。

 

5.co_IntCallHookProc函数经过一系列的参数赋值,初始化后,最后调用的是KeUserModeCallback返回Ring3去执行相应的回调函数。



6.当然上面的NtUserCallNextHookEx函数,经过稍微更加复杂的初始化后,最后调用的还是KeUserModeCallback函数去Ring3执行相应的回调函数。

NtUserCallNextHookEx->UserCallNextHookEx->co_HOOK_CallHookNext->co_IntCallHookProc->KeUserModeCallback

 

总结:

消息钩子的初始化和执行过程看起来思路都比较清晰。要Anti的话从SetWindowsHookEx开始,一路的调用都是可以做手脚的。

当然,还有比较猥琐的XX方法。

--------------------------------------------------------------------------------------------------------------------------

ps:

QQ管家的TCSafeBox.sys是采用的IAT HOOK KeUserModeCallback的方法来防止消息钩子注入的。不过其在判断注入的模块是否是系统常用模块时,采用了strstr函数。这样的话,我们可以随便构造一个目录就可以绕过了。



module_name_array 列表如下,是写死在代码里面的:



因此,我们只要构造一个类似“c:\\my\\Windows\\system32\\csrss.exe\\1.dll”这样的路径便可以实现注入QQ管家了。

莫灰灰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
防范windows消息钩子的入侵
Execute的专栏
01-09 1100
(中国黑客数据库)Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为
屏蔽键盘钩子屏蔽键盘钩子
04-22
钩子 屏蔽键盘 Hook KeyboardHook
用Delphi编写禁止Ctrl+Alt+Delete热键钩子(线程注入) <img src="
02-23
使用远程线程注入技术,对SAS window 设置消息钩子,拦截并修改热键消息,来禁止系统热键,线程注入后,开启UDP服务端口,可以接收外部控制命令,以及退出命令(退出后自动释放代码区内存)全部用delphi编写,使用了少量的汇编代码,不需要DLL,不生成额外文件,演示如何编写,远程注入的线程代码Window2000 Pro 测试通过,其它平台未验证,Win98/Me及更低版本不支持此方法
C#+低级Windows API钩子拦截键盘输入
weixin_34240657的博客
08-02 153
摘要 在家里,婴儿和其它动物可能会重击你的计算机键盘,致使出现各种无法预言的结果。本文中的这个C#示例应用程序将向你展示如何基于Windows钩子API来实现在击键造成任何危害之前捕获它们。   一. 简介   猫和婴儿有很多共同之处。他们都喜欢吃家中养植的植物,都非常讨厌关门。他们也都爱玩弄你的键盘,结果是,你正发送给你的老板的电子邮件可能是以半截句子发送出去的,你的Excel帐户也被加入了...
深入分析C#键盘勾子(Hook)拦截器,屏蔽键盘活动的详解
weixin_42099527的博客
04-04 2943
这个列表的指针指向指定的,应用程 序定义的,被Hook子程调用的回调函数,也就是该钩子的各个处理子程。最近安装的钩子放在链的开始, 而最早安装的钩子放在最后,也就是后加入的先获得控制权。也就是说每个进程所拥有的相同的DLL的全局数据,它们的名称相同,但其值却并不一定是相同的,而且是互不干涉的。在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另外一个 SDK中的API函数CallNextHookEx来传递它,以执行钩子链表所指的下一个钩子子程。
C#钩子内部消息拦截
jiangxinyu的专栏
02-01 2576
钩子其实就是调用一下API而已: 1、安装钩子:   SetWindowsHookEx    函数原形:HHOOK SetWindowsHookEx(                       int       idHook,    // 钩子类型,                        HOOKPROC  lpfn,      // 钩子函数地址 
防止全局钩子的侵入
雪松软件开发的专栏
07-14 1080
防止全局钩子的侵入     Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWin
AntiDebug1_AntiDebug_windows_programming_
10-01
6. **API注入检测**:一些调试器会注入代码到目标进程中,程序可以监控API调用来检测这种行为。例如,检测`CreateRemoteThread()`或`VirtualAllocEx()`等与内存操作相关的API。 7. **硬件断点检测**:调试器经常...
anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug
09-14
10. **代码注入**:在其他进程中注入代码来检测调试器的存在。 总的来说,"StopIce.pas"这个文件很可能是实现上述一种或多种反调试技术的Delphi源码。理解和逆向这样的代码可以帮助开发者更好地了解如何保护自己的...
AntiDebug3_windows_programming_
10-03
- **空DLL注入**:创建无功能的DLL,当调试器试图解析导入时,会导致错误,从而使调试过程复杂化。"EmptyDlls"可能就是这样的一个示例。 - **假虚拟机(FakeVM)**:"FakeVM.sln"可能是一个解决方案文件,用于创建...
叼毛鸽子Anti单元(delphi)
11-23
3. **反动态跟踪**:比如检测钩子hook)的存在,阻止API钩子,或者使用异常处理来检测并规避调试器的断点。 4. **代码加密**:对关键代码进行加密,只有在运行时解密后才能执行,以防止代码被轻易读取。 5. **壳...
windows防键盘监控
wwpp的博客
06-16 723
windows下应用层键盘监控的几种方式,以及部分方式的防御
进程防终止--钩子
qq_41786318的博客
08-14 790
Windows进程注入之SetWindowsHookEx https://segmentfault.com/a/1190000016981381 常见注入手法第四讲,SetWindowsHookEx全局钩子注入 https://www.cnblogs.com/iBinary/p/9536214.html HOOK API (一)——HOOK基础+一个鼠标钩子实例 https:...
一个著名防外挂软件,下面转载一遍关于nProtect的破解
风信子的专栏
04-10 9452
新版本增加一个nProtect GameGuard著名防外挂软件,下面转载一遍关于nProtect的破解!nProtect GameGuard 是一款比较著名的防作弊软件,在玩家使用外挂(无论任何游戏的外挂,就算不是当前游戏的外挂也不可以)的时候会提示"检测到游戏被破解修改"并强行关闭游戏。什么是nProtect?nProtect是设计用于保护个人电脑终端不被病毒和黑客程序感染的新概念的基于网络的
Windows HOOK钩子技术
qq_43812868的博客
10-25 2475
Windows HooK钩子技术是指基于Windows中窗口的程序的消息处理里机制,对系统或者进程中的消息进行截获和处理,并将截获和处理的消息在重新处理和发送,使其可以实现不同的功能。 钩子技术分为系统钩子技术和线程钩子技术 系统钩子:是用于监视真个系统中的消息钩子技术,因为系统钩子会影响系统中所有的应用程序,所以钩子函数必须放在独立的动态链接库(DLL) 中。做好之后使用其他程序将钩子挂载到系统的进程中。 线程钩子:指的是对指定线程进行监视。 钩子原理 在使用钩子技术的时候,WINDOWS会先在内存中创
浅谈hook攻防
hongduilanjun的博客
05-09 2863
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息
利用钩子注入DLL进而HOOK API的防范
NotLanguage的专栏
03-31 1196
1.让钩子失效,进而不让DLL注入.可能通过为要防范的进程安装局部钩子的方法,让相同的钩子得不到处理的机会.' 2.DLL注入后,HOOK API是通过修改进程模块的导入表实现的,如果我们对重要的函数调用采取如下的方式,而不用导入表,那么也可以让HOOK API失效   比如我们想防止MessageBox被HOOK,可以在程序里通过如下方式调用: typedef int (WINAPI* p
防止消息钩子入侵
cackeme的专栏
04-28 1811
很久以前就知道可以使用LoadLibraryExW来防止全局钩子入侵,说实话一直很反感消息钩子。曾经想过在驱动层通过过hook NtUserSetWindowsHookEx来防止,但是我们并不是很好区分钩子不是不恶意的,而且windows系统本身也会使用,还有就是驱动层很多安全软件和rootkit都盯上了,稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibrar
altium anti pad
最新发布
07-14
Altium Anti-Pad是一种用于印刷电路板设计的功能,它可以提供电气隔离和防止钎焊接触地面或电源铜层的作用。 在印刷电路板设计中,电气隔离是非常重要的。在一些情况下,通过电气隔离可以避免不同电压之间的直接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值