在用户态防止全局钩子注入

最新推荐文章于 2020-11-28 03:31:09 发布
最新推荐文章于 2020-11-28 03:31:09 发布
阅读量2.1k 收藏
点赞数
分类专栏: win32非界面开发 文章标签: dll user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyclowlevel/article/details/5929519
版权

项目需要,研究了一个礼拜,防止全局钩子注入的功能基本实现。今天偶然在网路上搜索相关主题,发现“看雪论坛”有前辈早就讨论过这个问题,且提出了解决方案,思路与在下不谋而合。不过据我的分析,该前辈的解决方案还有些缺陷。至少应该从以下角度改进:

1、当全局钩子的LoadLibraryExW调用是通过其他版本的LoadLibrary转发时,必须进行一层堆栈回溯,取得更外面一层的函数返回地址;

2、系统的“uxtheme.dll”和“msctf.dll”会设置全局钩子,因此在LoadLibraryExW中对这两个DLL要放行;

3、一些非全局钩子的DLL也会通过USER32调用LoadLibraryExW,因此必须通过判断第三个参数进行区分。如果第三个参数为8,代表这是钩子;否则不是。这是通过观察而来的,可能不够精确。

lyclowlevel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Detours对LoadLibraryExW进行HOOK屏蔽全局钩子
SR0ad的涅盘地
11-12 4809
全局钩子都是做为DLL挂接注入进程,假如应用程序A.exe安装了WH_GETMESSAGE的全局钩子钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程。
屏蔽全局鼠标钩子_任鸟飞谈逆向反检测技术之解除函数屏蔽
weixin_35282782的博客
01-28 1062
逆向开发者在开发过程中,可能有不少人遇到这样的一个问题:在不开游戏的情况下,某些函数可以正常调用和使用。但是在游戏运行后。该类函数直接失效。最典型的例子为FPS 和 DNF。绝大多数检测成熟的游戏,都会屏蔽键鼠类函数的执行,由安全系统所接管,最典型的函数为mouse_event() 函数声明如下那么有什么办法或者思路来解除这一函数屏蔽呢?答案是有的。分析: 首先,函数失...
一种绕过全局钩子安装拦截的思路
大爷饭
07-10 2338
by mj0011本文介绍了一种思路,利用安全软件驱动和WINDOWS本身处理全局钩子安装过程的不同,以绕过安全软件对全局钩子安装的拦截。这种方法并不保证能通用于任何安全软件。安全软件,例如HIPS,AV等,通常会安装 NtUserSetWindowsHookEx / NtUserSetWinEventHook的钩子拦截全局钩子注入防止键盘、消息拦截或者DLL注入。在这两个函数的
用VC编程阻止全局钩子加载
Chinawash 专栏
11-24 1673
先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程
使用调试钩子屏蔽全局钩子
huobengle
09-06 315
WH_DEBUG为调试钩子,用来给钩子函数除错。在系统调用系统中与其他Hook关联的Hook钩子例程之前,系统会调用WH_DEBUG Hook钩子例程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook钩子例程。WH_DEBUG调用DebugProc钩子例程。 DebugProc语法:LRESULT CALLBACK DebugProc( int nCode, ...
[转]防止全局钩子的侵入
Ywind
02-05 805
防止全局钩子的侵入Author: pjf(jfpan20000@sina.com)Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的:)。首先简单看看全局钩子如何注入别的进程。消息钩子是由Win32子系统提供,其核
使用全局和线程钩子注入DLL.rar
08-04
在“使用全局和线程钩子注入DLL”的主题中,你将学习如何结合这些技术来创建和管理钩子,以及如何将包含钩子函数的DLL注入到其他进程中。提供的PDF文档很可能会详细解释这些概念,并给出实际的代码示例,可能包括...
精选_全局钩子注入_源码打包
03-10
在Windows平台上,全局钩子主要通过SetWindowsHookEx函数实现,该函数属于用户模式钩子,允许开发者在不同的进程中注入代码。钩子类型有很多种,如WH_KEYBOARD_LL(低级键盘钩子)和WH_MOUSE_LL(低级鼠标钩子),...
阻止全局钩子注入源码
08-27
3. **防止钩子注入**:为了防止全局钩子注入,开发者需要了解注入的原理,然后编写代码来检测和阻止此类行为。这可能涉及到: - 进程保护:使用反注入技术,如DEP(数据执行保护)、ASLR(地址空间布局随机化)等,...
如何阻止全局钩子加载
04-13
然而,全局钩子可能会被恶意软件滥用,用于监视用户行为或窃取敏感信息。因此,了解如何阻止全局钩子加载是保护系统安全的重要技能。 首先,我们要理解全局钩子的工作原理。全局钩子是通过安装一个系统级的动...
全局钩子支持库
07-24
全局钩子支持库是一种在计算机编程中用于监控和拦截系统事件的技术,特别是在Windows操作系统中广泛使用。这个"全局钩子支持库"很可能是一个为开发者提供的工具集,它简化了设置和管理全局钩子的过程。全局钩子允许...
局部钩子能防全局钩子吗_Vue 中常用的全局配置
weixin_39844515的博客
11-28 132
Vue.js非常有用的Vue 全局配置Vue.config 是一个对象,包含 Vue 的全局配置。可以在启动应用之前修改下列属性:silent类型:boolean默认值:false用法:Vue.config.silent = true作用:取消 Vue 所有的日志与警告。optionMergeStrategies类型:{ [key: string]: Function }默认值:{}用法:Vue....
揭示win32 api拦截细节
02-11 1173
  原文出处:http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。   
防止全局钩子的侵入
雪松软件开发的专栏
07-14 1080
防止全局钩子的侵入     Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWin
阻止全局钩子加载
weixin_34290352的博客
07-05 1260
网上有一篇关于这个问题的文章,题目叫《防止全局钩子的侵入》,作者不祥。文中简单分析了一下钩子的原理,然后使用了微软的Detours库进行 API拦截。如果只是为了拦截一个函数,使用Detours好像有点儿浪费。本文不使用Detours库,直接对LoadLibraryExW函数进行拦截。 先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子钩子函...
利用debug钩子拦截全局钩子,经典反黑客技术
热门推荐
尹成的技术博客
04-14 1万+
// 键盘钩子消息处理过程LRESULT CALLBACK DebugProc ( int nCode, WPARAM wParam, LPARAM lParam ){ if ( nCode == HC_ACTION ) {  PDEBUGHOOKINFO pDebugHookInfo = (PDEBUGHOOKINFO)lParam ;  switch ( wParam )  {  case W
如何让你的程序避开全局键盘钩子的监视
01-10 1487
      一直以来有个疑问,就是如果别人在你的电脑上安装了键盘钩子来监视你的键盘按键动作,我的程序怎么才能避开这些全局键盘钩子(system-wide hook)的监视.正好最近一段时间因为工作关系在研究钩子,顺便研究了一下这个问题,今天算是找到了一个解决办法.解决办法:在我的程序中安装一个局部键盘钩子(thread-specified hook),键盘钩子函数中不调用CallNextHookE
不依赖于dll就能工作的全局钩子apihoo
最新发布
11-11
全局钩子是一种在操作系统级别捕获和处理特定事件的机制。APIHOOK是一种特殊的全局钩子,它可以截获其他进程的API调用并修改或替换其行为。一般全局钩子需要依赖于动链接库(dll)来实现,但是APIHOOK是一种特殊的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值