Windows下的钩子

最新推荐文章于 2022-09-27 11:56:07 发布
最新推荐文章于 2022-09-27 11:56:07 发布
阅读量2.3k 收藏 6
点赞数 2
分类专栏: 系统安全 文章标签: windows dll null winapi attributes descriptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shifters/article/details/6796695
版权
 

Windows下的钩子

2011-9-9

API钩子应用程序将kernel32.dll加载到自己的私有空间0x0001000~0x7FFE0000之间,所以本地进程只要能访问目标进程的地址空间,就可以直接重写kernel32.dll中或应用程序导入表中的任何函数。通过利用机器码重写DLL文件中特定的文件或重写目标应用程序中的导入表,使其指向自己想要的函数。利用这种方式,可以完成隐藏进程,隐藏网络端口,将文件操作重定向到其他文件、防止应用程序打开特定进程的句柄功能。下面简单介绍几种钩子:

 

导入地址表钩子(import Address table hooking)。

当应用程序使用另一个库中的函数时,必须导入该函数的地址。都是通过IAT来实现的。

应用程序文件系统映像的IMAGE_IMPORT_DESCRIPTOR结构,它包含导入函数的DLL名称,和两个IMAGE_IMPROT_BY_NAME数组指针,它包含了导入函数的名称。这种方式对于显示调用DLL无效。

 

内联函数钩子

内联函数钩子远比IAT钩子强大,在实现内联函数钩子时,实际上是重写目标函数的代码字节, 所以无论目标进程如何或何时解析函数地址,都能够勾住函数。

内联函数钩子要重写目标函数的多个起始字节。保存原始字节后,在目标函数前5个字节中放置一个立即跳转指令。内联函数补丁的里程碑论文

 Detours: Binary Interccption of  Win32 function, G. Hunt and D. Brubacker

使用注册表注入DLL

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Verion\Windows\AppInit_Dlls

将该键值设为修改了目标进程的IAT或直接修改了kernel32.Dll和ntdll.dll的DLL。

 

使用windows钩子注入DLL

定义了一个能够钩住另个进程中的窗口消息的函数,使用SetWindowsHookEx()。

 

鼠标hook的一个示例:

LRESULT WINAPI MouseProc(int nCode,WPARAM wparam,LPARAM lparam)

{

         LPMOUSEHOOKSTRUCT pMouseHook=(MOUSEHOOKSTRUCT FAR *)lparam;

         if (nCode>=0)

         {

                  

         /*============================================================================

         如下代码是得到父窗口标题文本的做法

         HWND glhTargetWnd=pMouseHook->hwnd;     //取目标窗口句柄

         HWND ParentWnd=glhTargetWnd;

         while (ParentWnd !=NULL)

         {

         glhTargetWnd=ParentWnd;

         ParentWnd=GetParent(glhTargetWnd);   //取应用程序主窗口句柄

         }

                   ===========================================================================*/

//                 HWND glhTargetWnd=XYZWindowFromPoint(NULL,pMouseHook->pt);    //用上面的一段注释掉的代码替换此行是得到父窗口标题文本的做法

//                 if(glhTargetWnd!=glhPrevTarWnd)

//                 {

                            //                          char szCaption[256];

                            //                          GetWindowText(glhTargetWnd,szCaption,100);

                            //取目标窗口标题

                            //                          if(IsWindow(glhDisplayWnd))

                            glhDisplayWnd=FindWindow(NULL,"DEMO");

                            SendMessage(glhDisplayWnd,WM_SETTEXT,0,0);

//                          glhPrevTarWnd=glhTargetWnd;

                            //保存目标窗口

//                 }

         }

         return CallNextHookEx(glhHook,nCode,wparam,lparam);

         //继续传递消息

}

1.       使用远程线程注入DLL

Remote thread

HANDLE WINAPI CreateRemoteThread(

  __in          HANDLE hProcess,

  __in          LPSECURITY_ATTRIBUTES lpThreadAttributes,

  __in          SIZE_T dwStackSize,

  __in          LPTHREAD_START_ROUTINE lpStartAddress,

  __in          LPVOID lpParameter,

  __in          DWORD dwCreationFlags,

  __out         LPDWORD lpThreadId

);

其中hProcess为远程进程的句柄,lpThreadAttributes为线程安全描述,指向SECURITY_ATTRIBUTES结构指针。

dwStackSize 表示线程栈的大小,并以字节为单位

lpStartAddress 表示一个LPTHREAD_START_ROUTINE类型的指针,指向在远程进程中执行的函数地址。

lpParameter表示传入的参数。

DwCreationFlags 创建线程的标志

LpThreadID 输出线程的ID,

 

返回值为新线程的句柄,失败的话就返回NULL。

下面使用两种方式使用CreateRemoteThread。

首先创建一个函数FuncA,我们的目标是将它放入计算器中运行。

Static DWORD WINAPI FuncA(LPVOID pData)

{

//

Return *(DWORD*)pData;

}

这里定义了另外一个函数FuncB,用于确定我们代码的大小

 

下面来定位目标进程,这里是一个计算器

HWND hStart = ::FindWindow(TEXT(“Calculator”), NULL);

通过下面代码来得到线程的句柄

DWORD PID, TID;

TID = ::GetWindowThreadProcessID( hStart, &PID);

 

HANDLE hProcess;

hProcess = OpenProcess(PROCESS_ALL_ACCESSS, false, PID);

 

目标进程中的内存的属性一般只是只读的,所以通过修改目标进程的属性为PAGE_READWRITE才可以对目标进程进行写操作。

代码实现如下:

char szBuffer[10];

cbParamSize = 10;

*(DWORD*) szBuffer = 1000;

Void *pDataRemote = (char*) VirtualAllocEx ( hProcess, 0, sizeof(szBuffer), MEM_COMMIT, PAGE_READWRITE);

 

通过WriteProcessMemory把需要的内容分配到目标进程中分配的变量

::WriteProcessMemory ( hProcess, pDataRemote,   szBuffer, sizeof(szBuffer), NULL);

 

在目标进程中分配代码地址空间,

首先计算代码的大小,以字节为单位

DWORD cbCodeSize=((LPBYTE) FuncB – (LPBYTE)FuncA);

 

分配代码地址空间

PDWORD pCodeRemote = (PDWROD) VirtualAllocEx( hProcess, 0, cbCodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

 

写内容到目标进程中分配的代码地址空间

WriteProcessMemory(hProcess, pCodeRemote, &FuncA, cbCodeSize, NULL)

 

VirtualAllocEx() 是用来在进程的虚拟地址空间内分配内存用的,如果第二个参数如果设为0时,那么所分配内存的位置就由VirtualAllocEx()函数自己决定。

最后调用CreateRemoteThread()来在目标进程中执行代码

HANDLE hThread = CreateRemoteThread(hProcess,

NULL,

0,

(LPTHREAD_STRAT_ROUTINE)pCodeRemote,// 线程函数

pDataRemote,// 传递的参数

0,

NULL);

DWORD code;

If (hThread)

{

     ::WaitForSingleObject(hThread, INFINITE);

     ::GetExitCodeThread(hThread, &code);

     TRACE(“run and return %d\n”, code);

     ::CloseHandle(hThread);

}

这里需要注意:需要使用WaitForSingleObject等待线程结束;

可以使用GetExitCodeThread获得返回值

对于句柄,需要使用CloseHandle关闭。

最后需要对现场进行清理:

首先释放空间:

::VirtualFreeEx(hProcess,pCodeRemote,cbCodeSize,MEM_RELEASE);

::VirtualFreeEx(hProcess,pDataRemote,cbParamSize,MEM_RELEASE);

 

::CloseHandle ( hProcess);

 

下面我们来怎样将一个动态库植入到远程进程中,大致的步骤和以上相似,两个关键是需要将动态库的路径作为变量传入变量空间。另外一个是在使用函数CreateRemoteThread()时,需要将GetProcAddress作为目标执行函数。

 

第一参数是要注入线程的进程的句柄,可以通过进程标识符(PID),调用OpenProcess,

第4个参数为目标进程中的LoadLibrary()地址。可以使用目标进程中的LoadLibrary()函数。由于该地址必须存在于目标进程中,因此必须将Kernel32.dll加载到目标进程中,这种方法才有效,原因是LoadLibrary是由Kernel32.dll导出的,获得LoadLibrary的地址,可以使用

GetProcAddress(GetModuleHandle(TEXT(“Kernel32”)), “LoadLibraryA”);

 

通过LoadLibrary得到目标进程要注入DLL的地址,是在Kernel32.dll位于目标进程中同一个基地址处。(这种情况是经常出现的,因为DLL加载到内存中时,重新确定DLL的基地址会很耗时,微软也希望避免避免由于重新确定DLL基址所浪费的时间。LoadLibrary的格式与返回类型与结构体THREAD_START_ROUTINE函数相同,可以用作第四个参数。

   第5个参数lpParameter是LoadLibrary函数参数的内存地址。本地进程不能只传递一个字符串,因为这只能指向本地进程的一个地址,与目标进程没有关系。通过VirtualAllocEx函数可以分配目标进程中的内存。然后调用WriteProcesMemory函数来把我们所需的dll的路径与名称传递到目标进程。

简单过程如下:

hThread = ::GreateRemoteThread(hProcess, NULL, 0,

           (LPTHREAD_START_ROUTINE) :: GetProcAddress(GetProcAddress(GetModuleHandle(TEXT(“Kernel32”)), “LoadLibraryA”);

, “LoadLibraryA”), pDataRemote, 0, NULL);

然后可以调用我们的函数进行一些操作

在执行之后需要释放掉这个动态库,类似的

hThread = ::GreateRemoteThread(hProcess, NULL, 0,

           (LPTHREAD_START_ROUTINE) :: GetProcAddress( hModule, “FreeLibrary”), 参数, 0, NULL);

 

shifters
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
windows钩子
01-30
有关windows钩子的工程文件,包括实现全局windows钩子dll工程和windows钩子的应用实例工程两部分,windows钩子工程同时实现了鼠标和键盘钩子,本工程可以作为windows钩子应用的框架,加以改造后就可以实现不同的功能。
Windows钩子机制详解
12-31
一、概述: 了解windows程序设计的人都知道,...二、Windows钩子程序的编制 编制Windows钩子程序,需要用到几个SDK中的API函数。下面列出这几个函数的原型及说明: HHOOK SetWindowsHookEx( int idHook, HOOK_
Windows 钩子
GAME-LAB(游戏开发,微信公众号:fury-programer)
02-28 983
 Windows钩子Windows应用程序的运行模式是基于消息驱动的,任何线程只要注册了窗口类就会有一个消息队列来接收用户的输入消息和系统消息。为了取得特定线程接收或发送的消息,就要 Windows提供的钩子。 钩子的概念 钩子(Hook)是Windows消息处理机制中的一个监视点,应用程序可以在这里安装一个子程序(钩子函数)以监视指定窗口某种类型的消息,所监视的窗口可以是
windows核心编程系列》十八谈谈windows钩子
系统运维
12-01 891
windows应用程序是基于消息驱动的。各种应用程序对各种消息作出响应从而实现各种功能。 windows钩子windows消息处理机制的一个监视点,通过安装钩子可以达到监视指定窗口某种类型的消息的功能。所谓的指定窗口并不局限于当前进程的窗口,也可以是其他进程的窗口。当监视的某一消息到达指定的窗口时,在指定的窗口处理消息之前,钩子函数将截获此消息,钩子函数既可以加工处理该消息,也可以不作任何...
Windows钩子
ypy_datou的专栏
02-15 525
一、钩子 为了监视或控制windows的系统事件,windows提供钩子技术。Windows应用可以安装一个子进程来监控windows中消息的往来,还能把消息到达目的窗口过程之前处理某种类型的消息。 Windows系统为每种类型钩子管理一个独立的钩子链。钩子链是Windows应用程序定义回调函数的指针列表。Windows会把该消息一个接着一个传给每一个钩子链的钩子过程(回调函数)。有些类型钩子过程只能监控消息。有些类型钩子过程能够禁止消息到达下一个钩子过程或目的窗口。 二、钩子过程 ...
Windows鼠标钩子及键盘钩子
04-12
早些年用VC++写的鼠标钩子及键盘钩子示例程序,非常详细。 支持的钩子类型如下: WH_KEYBOARD WH_KEYBOARD_LL WH_MOUSE WH_MOUSE_LL 附件包含VC++6.0和VC++ 2013工程
WPF 使用windows钩子监控键盘
11-27
Windows钩子是一种机制,允许应用程序在系统级安装一个函数,该函数会在特定事件发生时被调用,如键盘输入。在C#中,我们通常使用P/Invoke(Platform Invoke)技术来调用这些API函数。下面将详细解释如何在WPF应用中...
9.2 Windows钩子
最新发布
qq_36314864的博客
09-27 1239
9.2 Windows钩子
WINDOWS钩子函数(HOOK)
shailen126的专栏
07-24 915
   WINDOWS钩子函数的功能非常强大,      有了它您可以探测其它进程并且改变其它进程的行为。  理论:  WINDOWS钩子函数可以认为是WINDOWS的主要特性之一。利用它们,您可以捕捉您自己进程或其它进程发生的事件。 通过“挂钩”,您可以给WINDOWS一个处理或过滤事件的回调函数,该函数也叫做“钩子函数”,当每次发生您感兴趣的事件时,WINDOWS
Windows钩子教程
10-23
windows钩子入门教程,适合新手。 来源:一路采撷 Blog:http://blog.csdn.net/MaybeHelios/
钩子查看器
09-29
该工具可以查看系统的钩子,应用程序使用的内核接口等,非常实用
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
全局钩子(win+D DEMO)
04-15
封装了全局钩子,里面有全局钩子dell,外带win+d截获代码。
VC设计WINDOWS32全局钩子
10-26
用VC开发\设计WINDOWS32全局钩子,描述如何用VC制作WINDOWS32的钩子
windows hook(钩子)--进程钩子
qq_38409301的博客
11-28 3106
先了解windows消息机制原理: 地址: windows消息机制了解和代码实战_qq_1410888563的博客-CSDN博客 1.hook处理windows消息机制原理 2.钩子分为两种 1.进程内钩子:只对当前进程起作用 2.全局钩子:对系统中所有的进程起作用 1.进程钩子代码 #include <Windows.h> //回调函数 LRESULT CALLBACK WindowProc(HWND hWnd, UINT uMSg, WPARAM wParam, L.
Windows钩子的使用
热门推荐
其疾如风 其徐如林 侵略如火 不动如山
08-08 1万+
我们知道Windows中的窗口程序是基于消息,由事件驱动的,在某些情况下可能需要捕获或者修改消息,从而完成一些特殊的功能(MFC框架就利用Windows钩子对消息进行引导)。对于捕获消息而言,无法使用IAT或Inline Hook之类的方式去进行捕获,这就要用到接下来要介绍的Windows提供的专门用于处理消息的钩子函数。 1. 挂钩原理 Windows下的应用程序大部分都是基于消息机
windows钩子的使用
夜空的流星的专栏
12-18 2325
钩子使用指南 钩子的概念 钩子机制允许应用程序截获处理window消息或特定事件。与DOS中断截获处理机制有类似之处。钩子(Hook),是Windows消息处理机制的一个平台(point),应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。每一个hook都有一个与之相关联的指
Windows 钩子,基本的dll注入
ez scope
04-03 3752
Windows操作系统是基于钩子完成的消息传递与用户交互,它以事件驱动的方式运行。每一个窗口都拥有自己的消息队列,当外部设备触发消息时,消息被发送到系统消息队列,再有操作系统安排将消息发送到特定进程上,这即是消息链。 所谓消息钩子,即是在系统将消息发送到用户程序前,提前截获此消息,并进行处理,也可以把它直接发送给用户程序。如: 当键盘(外部设备)发生键盘输入时,WM_KEYBOARD消息被添加
Windows内核钩子技术详解
内核级钩子通常涉及在内核模式下设置钩子,这使得rootkit能够拦截内核API调用,甚至包括那些用户空间钩子无法触及的低级别操作。例如,内核级钩子可以用于拦截文件系统操作,网络通信,进程管理和硬件访问。 4.3 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值