Anti 消息钩子注入

最新推荐文章于 2024-08-31 20:51:07 发布
最新推荐文章于 2024-08-31 20:51:07 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: Windows安全 文章标签: hook system events thread types module
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu3167343/article/details/7611712
版权

MSDN上对消息钩子的描述:

The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. These events are associated either with a specific thread or with all threads in the same desktop as the calling thread.

 ----------------------------------------------------------------------------------------------------------------------------


1.在内核中,NtUserSetWindowsHookEx函数会首先取得当前线程、当前进程、TEB等的一些信息。然后会调用IntAddHook函数。


2.IntAddHook函数会根据是全局HOOK,还是单进程的HOOK,把钩子插入不同的链表中




3.CallNextHookEx函数会根据不同的消息钩子类型调用不同的函数,如果是WH_CALLWNDPROC和WH_CALLWNDPROCRET类型的,就直接调用NtUserMessageCall函数。如果不是以上两者就会调用NtUserCallNextHookEx函数。

 

4.NtUserMessageCall又会根据传进来的typeid参数调用不同的函数。其中如果是上述的WH_CALLWNDPROC和WH_CALLWNDPROCRET类型的,则会调用co_IntCallHookProc函数。

 

5.co_IntCallHookProc函数经过一系列的参数赋值,初始化后,最后调用的是KeUserModeCallback返回Ring3去执行相应的回调函数。



6.当然上面的NtUserCallNextHookEx函数,经过稍微更加复杂的初始化后,最后调用的还是KeUserModeCallback函数去Ring3执行相应的回调函数。

NtUserCallNextHookEx->UserCallNextHookEx->co_HOOK_CallHookNext->co_IntCallHookProc->KeUserModeCallback

 

总结:

消息钩子的初始化和执行过程看起来思路都比较清晰。要Anti的话从SetWindowsHookEx开始,一路的调用都是可以做手脚的。

当然,还有比较猥琐的XX方法。

--------------------------------------------------------------------------------------------------------------------------

ps:

QQ管家的TCSafeBox.sys是采用的IAT HOOK KeUserModeCallback的方法来防止消息钩子注入的。不过其在判断注入的模块是否是系统常用模块时,采用了strstr函数。这样的话,我们可以随便构造一个目录就可以绕过了。



module_name_array 列表如下,是写死在代码里面的:



因此,我们只要构造一个类似“c:\\my\\Windows\\system32\\csrss.exe\\1.dll”这样的路径便可以实现注入QQ管家了。

莫灰灰
关注
专栏目录
防范windows消息钩子的入侵
Execute的专栏
01-09 1163
(中国黑客数据库)Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为
防止消息钩子入侵
cackeme的专栏
04-28 1858
很久以前就知道可以使用LoadLibraryExW来防止全局钩子入侵,说实话一直很反感消息钩子。曾经想过在驱动层通过过hook NtUserSetWindowsHookEx来防止,但是我们并不是很好区分钩子不是不恶意的,而且windows系统本身也会使用,还有就是驱动层很多安全软件和rootkit都盯上了,稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibrar
Win32k(5) 相关逆向~参考文献~
Returns' Station
06-06 1715
这是很久前读ROS的一点笔记,最近没空搞这个,发上来备份~ 百度越来越渣了,总说我 “文章内容包含不合适内容” 不让贴!———— PDF版本 115提取码 dpfi6iya 第七部分 一些相关应用 一、枚举消息钩子 二、遍历gditable/usertable查询隐藏进程 三、窗口保护 四、Hook KeUsermodeCallback防止全局钩子注入
阻止全局钩子注入源码
08-27
这是一个阻止全局钩子注入的源码,已经实验成功了!!
揭秘gapfnScSendMessage数组大部分都是NtUserMessageCall
最新发布
linux-0.11调试教程
08-31 393
揭秘gapfnScSendMessage数组大部分都是NtUserMessageCall client/clmsg.c里面的 RealDefWindowProcWorker函数里面大量调用了CsSendMessage函数 第一部分B: client/usercli.h文件里有CsSendMessage函数的宏定义 #define CsSendMessage(hwnd, msg, wParam, lParam, xParam, pfn, bAnsi) \ (((msg) >= WM
防止全局钩子的侵入
雪松软件开发的专栏
07-14 1119
防止全局钩子的侵入     Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWin
防止全局钩子的入侵(天极的文章)
my box
08-14 1029
首先看看全局钩子如何注入别的进程。  消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载
屏蔽键盘钩子屏蔽键盘钩子
04-22
在IT领域,"屏蔽键盘钩子"是一种技术手段,用于拦截和控制键盘输入。这个话题主要涉及Windows操作系统下的钩子机制,尤其是键盘钩子(Keyboard Hook)。以下将详细阐述相关知识点。 1. **钩子Hook)机制**: ...
AntiDebug1_AntiDebug_windows_programming_
10-01
6. **API注入检测**:一些调试器会注入代码到目标进程中,程序可以监控API调用来检测这种行为。例如,检测`CreateRemoteThread()`或`VirtualAllocEx()`等与内存操作相关的API。 7. **硬件断点检测**:调试器经常...
anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug
09-14
10. **代码注入**:在其他进程中注入代码来检测调试器的存在。 总的来说,"StopIce.pas"这个文件很可能是实现上述一种或多种反调试技术的Delphi源码。理解和逆向这样的代码可以帮助开发者更好地了解如何保护自己的...
远程代码注入:Linux与Windows实战
这包括检查加载的库文件,以及检测是否有被修改或添加的函数钩子,以识别潜在的恶意行为。二是利用内存中的库(如内核模块)进行注入,同样需要监控内存中库的活动以确保安全。 Windows平台的远程代码注入则涉及到...
用Delphi编写禁止Ctrl+Alt+Delete热键钩子(线程注入) <img src="
02-23
使用远程线程注入技术,对SAS window 设置消息钩子,拦截并修改热键消息,来禁止系统热键,线程注入后,开启UDP服务端口,可以接收外部控制命令,以及退出命令(退出后自动释放代码区内存)全部用delphi编写,使用了少量的汇编代码,不需要DLL,不生成额外文件,演示如何编写,远程注入的线程代码Window2000 Pro 测试通过,其它平台未验证,Win98/Me及更低版本不支持此方法
叼毛鸽子Anti单元(delphi)
11-23
3. **反动态跟踪**:比如检测钩子hook)的存在,阻止API钩子,或者使用异常处理来检测并规避调试器的断点。 4. **代码加密**:对关键代码进行加密,只有在运行时解密后才能执行,以防止代码被轻易读取。 5. **壳...
DLL注入技术之消息钩子注入
03-22 800
DLL注入技术之消息钩子注入     消息钩子注入原理是利用Windows 系统中SetWindowsHookEx()这个API,他可以拦截目标进程的消息到指定的DLL中导出的函数,利用这个特性,我们可以将DLL注入到指定进程中。主要流程如下图所示: 1.准备阶段     需要编写一个DLL,并且显式导出MyMessageProc()函数,主要代码如下:
浅析利用钩子注入DLL的原理与防范
NotLanguage的专栏
03-31 2394
<br />  windows的各个进程的地址空间是相互隔离的,所以一个进程代码是无法到另一个进程的地址空间去运行的.但是通过在进程中安装全局钩子方法,钩子函数所在的DLL就有可能被操作系统加载到其它进程的地址空间中去,进而实现了DLL注入.实现了DLL注入之后,这个DLL的代码就可以在另一个进程的地址空间里做任何事.<br /> 下面简单介绍一下利用钩子注入DLL的步骤<br /> 1.调用SetWindowsHookEx安装系统范围内的钩子.<br /> 2.将钩子函数的实现写在DLL里<br /> 
C#钩子内部消息拦截
jiangxinyu的专栏
02-01 2613
钩子其实就是调用一下API而已: 1、安装钩子:   SetWindowsHookEx    函数原形:HHOOK SetWindowsHookEx(                       int       idHook,    // 钩子类型,                        HOOKPROC  lpfn,      // 钩子函数地址 
Windows内核新手上路3——挂钩KeUserModeCallBack
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 933
Windows内核新手上路3——挂钩KeUserModeCallBack 1.     简介 在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下: nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDis
R3下的钩子线程注入
yiyefangzhou24的专栏
03-17 4777
R3下的钩子线程注入
[转]防止全局钩子的侵入
Ywind
02-05 826
防止全局钩子的侵入Author: pjf(jfpan20000@sina.com)Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的:)。首先简单看看全局钩子如何注入别的进程。消息钩子是由Win32子系统提供,其核
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值