Windows 反消息钩子(2)

最新推荐文章于 2023-08-11 09:00:00 发布
最新推荐文章于 2023-08-11 09:00:00 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: Windows OS 文章标签: windows hook dll api user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songjinshi/article/details/7808561
版权
本文主要讨论Windows全局钩子如何注入其他进程,以及针对不同类型的钩子(如IAT、jmp型)的反拦截策略。作者提到了通过API拦截来取消钩子拦截,但同时也指出API拦截可能被破解,意味着反拦截可能存在风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

     Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。  

一、全局钩子如何注入别的进程

      消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。  
    进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hoo
最低0.47元/天 解锁文章
一、C++作弊对抗实战 (基础篇 —— 4.利用消息钩子注入DLL)
Koma的主页
03-02 663
这里将主要用到Windows API函数SetWindowsHookEx,它是微软提供给程序开发人员进行消息拦截的一个API,不过它的功能不仅用作消息拦截,还可以进行DLL注入。
防范windows消息钩子的入侵
Execute的专栏
01-09 1220
(中国黑客数据库)Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为
消息钩子 拦截WINDOWS消息! 原代
11-15
Declare FUNCTION UnSetupHook Lib "这里填我的DLL在你机子上的全路径" ALIAS "UnSetupHook"(BYVAL hHook AS LONG)AS LONG Declare FUNCTION SetupHook Lib "这里填我的DLL在你机子上的全路径" ALIAS "SetupHook"(BYVAL desThreadID AS LONG ,BYVAL AccpectHwnd AS LONG)AS LONG
Windows 消息钩子(1)
宋金时的专栏
07-31 5826
消息钩子Windows编程中有着非常广泛的应用,它可以任意拦截Windows系统,这个以消息为驱动的系统中的绝大多数消息类型。一方面这给编程者带来了巨大的灵活性,另一方面也埋下了巨大隐患,大多数窃密软件都使用这种方法。此篇文章给您提供一种钩子拦截方法,希望对您有所帮助。文章中使用了API钩子,您之前必须对此技术有一定了解。             为求完整,文章分为两部分,第一部分为
windows消息钩子
weixin_34185560的博客
06-10 154
1、消息钩子的概念:       Windows应用程序是基于消息驱动的,不论什么线程仅仅要注冊窗体类都会有一个消息队列用于接收用户输入的消息和系统消息。为了拦截消息,Windows提出了钩子的概念。钩子Hook)是Windows消息处理机制中的一个监视点,钩子提供一个回调函数。当在某个程序中安装钩子后,它将监视改程序的消息,在指定消息没有到达该窗体之前钩子先捕获这个消息,这样...
消息钩子函数(入门篇)
camly的专栏
08-21 1791
消息钩子函数入门篇 Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截
键盘钩子-windows消息机制-抓取用户按下的每一个按键
03-16
本项目提供的代码已经封装好了键盘钩子的相关功能,但不包含钩子功能。 首先,我们要了解Windows消息机制。在Windows编程中,应用程序通过消息循环接收和处理用户输入、系统事件等。当用户按下键盘时,操作系统会...
ff.rar_钩子_钩子 消息
09-24
消息钩子Windows编程中有着非常广泛的应用,它可以任意拦截Windows系统,这个以消息为驱动的系统中的绝大多数消息类型。一方面这给编程者带来了巨大的灵活性,另一方面也埋下了巨大隐患,大多数窃密软件都使用这种...
易语言源码消息钩子模块源码.rar
07-13
Windows操作系统中,消息钩子(Message Hook)是系统提供的一种机制,允许程序在系统处理消息之前或之后捕获和处理这些消息。这在调试、监控、拦截系统级行为等方面非常有用。消息钩子可以全局挂载,即在整个系统...
HOOK消息钩子
weixin_41204880的博客
07-27 459
大致的过程是当系统I/O上发生一个事件时,系统捕获该事件,并向指定的应用程序的消息队列发送一个消息,应用程序从消息队列中顺次取出一个消息,交由系统调度相应的窗口回调程序进行消息处理。 这里可以看到,从OS捕捉到消息开始处理,到最后交还给OS调度回调函数,就像走了一个循环,我自己理解这也是为什么叫做“回调函数”的原因之一。接下来我们要进行的HOOK就是在上面的第二步和第三步之间进行的额外工作。 钩子机制允许应用程序截获(且或)处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把
浅谈hook攻防
hongduilanjun的博客
05-09 3271
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息
消息钩子使用总结
token2012的专栏
01-18 725
SetWindowsHookEx、CallNextHookEx、UnhookWindowsHookEx
消息队列控制灯代码_《逆向工程核心原理》-- Windows消息
weixin_39517241的博客
11-18 217
本文为看雪论坛优秀文章看雪论坛作者ID:有毒Windows消息取一、钩子消息钩子钩子,英文Hook,泛指偷看或截取信息时所用的手段或工具。Windows操作系统向用户提供GUI,它是以事件驱动(Event Driven)方式工作。事件发生后,OS将事先定义好的消息发送给相应的应用程序,应用程序分析收到的消息后执行相应动作。以敲击键盘为例,常规Windows消息流:发生键盘输入事件,WM_KEY...
消息钩子函数入门篇
raphyer的专栏
10-02 8223
Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,
自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教!
gold0523的专栏
08-14 1839
标 题: 【分享】【原创】自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教! 作 者: czcqq 时 间: 2011-08-09,01:49:10 链 接: http://bbs.pediy.com/showthread.php?t
DLL注入技术
最新发布
Karka_的博客
08-11 531
DLLwindows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
Windows消息机制学习笔记(四)—— 内核回调机制
lzyddf的博客
06-24 1327
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核调用 描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
Windows键盘钩子技术:监控按键输入实现
'无钩子功能'说明这个封装好的类仅能用于捕捉按键,而不能取消或阻止键盘消息的传递,这在某些应用中可能是出于安全和隐私的考虑。" 在详细说明中,我们可以进一步深入探讨以下几个知识点: 1. 键盘钩子的原理:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值