利用IShellExecuteHook接口对程序监控

最新推荐文章于 2021-04-03 17:25:41 发布
最新推荐文章于 2021-04-03 17:25:41 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 进程

利用IShellExecuteHook接口对程序监控

 

作者:赖锋(忙碌命)

Blog: http://blog.csdn.net/laiboy

      http://laiboy.cublog.cn

 

Windows的应用程序的调用大部分是利用ShellExecute()ShellExecuteEx()这两个API调用,而这两个API最终调用的是CreateProcess()这个API,它们的作用是获取进程序足够的参数传给CreateProcess()。所以,只要监控这两个API的调用,就可以实现对程序启动的监视和控制。

Windows操作系统提供了IShellExecuteHook这个COM的接口,这是一个传统的Windows操作系统的HOOK模型中的一个接口。

注册IShellExecuteHook函数

IShellExecuteHook是一个COM服务器,这个COM所注册的地方位于注册表两个地方,分别为:

HEKY_CLASSES_ROOT

/CLSID

HKEY_LOCAL_MACHINE

/Software

/Microsoft

/Windows

/CurrentVersion

/Explorer

/ShellExecuteHooks

处理的IShellExecuteHookhandler(即Com server)必须要在这两个地方注册。

实现IShellExecuteHookExecute处理函数

以下为实现IShellExecuteHookExecute方法须要注意的问题,Execute方法带有一个LPSHELLEXECUTEINFO 的参数,该参数指向一个可执行程序的所有信息,执行动作(打开,显示,链接等)lpesi->lpVerb,被执行程序的完整路径名称,lpsei->lpFile,调用的目录,程序执行的参数等。

当返回值为 S_FALSE的时候,则是允许程序按正常方式打开,当返回为 S_OK的事候,则程序是被阻止执行。在实现程序黑名单的时候,当发现程序是包含在黑名单中的,则返回 S_OK,实现程序执行拦截。

实现IShellExecuteHook的源码

如图,实现一个IShellExecuteImple类,并实现IUnkownAddRelease等COM接口。

 

 

实现IShellExecuteHook接口的Execute方法:

 

以下为实现Execute的方法。

设计如下:

Ø 记录可执行程序的名称,启动时间,并记录到C://ShellHook.txt文件中

Ø 读取程序拦截黑名单(C://ShellHook.ini),根据黑名单拦截程序。

 

最后修改rgs文件,注册ShellHook.dll的时候会在指定键加入ShellHook.Dll

 

调试IShellExecuteHook的问题

每次编译新运行的时候需要缷载ShellHook.dll,并注销重新注册加载测试。

Execute执行失败时,会导致Windows Explorer无法执行,要在安全模式下重新运行regsvr32 /u ShellHook.dll才能让Windows Explorer正常运行。

 

运行IShellExecuteHook的结果

 

执行程序的时间

被拦截的程序

 

 

IShellExecuteHook支持Windows 7 和 Vista

需要将以下开关打开,则IShellExecuteHook接口可以在Windows 和 Vista下运行。

HKEY_LOCAL_MACHINE

/Software

/Microsoft

/Windows

/CurrentVersion

/Policies

/Explorer

加入以下键值

EnableShellExecuteHooks

REG_DWORD

1

则可以让IShellExecuteHooksWindows 7 和 Vista 上运行。

swanabin
关注
专栏目录
Windows Shell 编程学习总结
bcbobo21cn的专栏
03-19 8799
Windows Shell 编程 http://blog.csdn.net/chchzh/article/details/2210729 序言:        看过一些对windows 外壳的扩展程序,在使用上一般都是直接利用windows的外壳API做一些工作 ,因为外壳操作需要一些比较专业的知识,因此,大部分编程人员特别是使用集成编程环境的程序人员 对wind
windows shell 编程(转载)
flyhigh_tbw的专栏
10-29 2346
  <INPUT id="__VIEWSTATE" type=hidden name=__VIEWSTATE> //<![CDATA[var theForm = document.forms[Form1];if (!theForm) { theForm = document.Form1;}function __doPostBack(eventTa
ShellExecuteHook
云里雾里的专栏
02-05 3065
 【转:laiwuyingas 木马技术发展趋势回顾】 经常关注安全的用户或许会见到过"ShellExecuteHook",如今许多木马和恶意程序都在用户层使用它作为启动方式了,但这是一种什么技术,大家可能又会迷惑不解了,究竟这个技术和木马有什么联系?其实这是一种正常的系统功能,名为"执行挂钩",操作系统厂商开发它的初衷十分简单:为程序提供一个额外的通知功能,以实现系统中任何程序启动时都提前让使用了"执行挂钩"的程序收到新程序的启动通知,简单的说,这是操作系统在出于某种程序交互需求的考虑
ShellExecuteHooks
07-03
利用Com技术实现的对ShellExecuteShellExecuteEx的Hook.
Delphi深度探索之外壳执行操作记录器
01-05
标题与描述均提到了“Delphi深度探索之外壳执行操作记录器”,这表明文章将深入探讨在Delphi环境中实现对外壳执行操作(如通过ShellExecuteShellExecuteEx函数调用外部程序)的记录机制。虽然标签为空,但根据标题...
用C#创建SHELL扩展
09-06
由于C#不像C++可以直接通过`#include "shlguid.h"`导入`IShellExecuteHook`接口,因此需要手动声明接口的信息: ```csharp [ComImport, InterfaceType(ComInterfaceType.InterfaceIsIUnknown), Guid("000214FB-0000-...
ShellExecuteHook 示例
05-16
利用 ShellExecuteHook 以无进程方式自动运行; 利用 ShellExecuteHook 以无进程方式自动运行
ShellExecuteEx执行新进程,无需管理员权限写入注册表
qq_41490873的博客
12-05 590
使用ShellExecuteEx函数执行一个新的进程,当然这个进程也可以是自己,无需单独的去获取管理员权限就可以写入注册表,看来这又是木马的一个执行方式。 // test.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> VOID ManagerRun(LPCWSTR exe, LPCWSTR param, INT nShow = SW_SHOW) { //注意:会跳出提示。 SHELLEXECUTEINFO
[Win32] ShellHook的实现
zuishikonghuan的博客
11-08 4134
启动Windows,加载Win32子系统,登录一个用户会话后,会启动Shell程序,默认是explorer.exe,就是我们看到的桌面和任务栏等,其实Shell是可以自定义的,我们完全可以自己编写一个Shell取代系统的Shell。下面我们来看看编写Windows Shell的核心技术之一——ShellHookShellHook是什么?当一个窗口创建、激活、关闭时,explorer总
Windows Hook经验总结之四:COM组件Hook原理及实践
ITer之家
11-17 5050
前面已经介绍过API的hook方法及具体实践,本文则讲述COM组件的Hook方式。COM组件可简单理解为一个二进制可执行程序或DLL,内部包含一系列的接口和函数。Hook COM本质上也是进行函数地址切换,让它跳到我们自定义的函数执行我们想要的功能。但这一切同样是发生在系统架构下,自定义函数的执行时机不由我们触发。
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2622
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入。 劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入的进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
外壳执行操作记录器
08-28 152
记录外壳的活动 记录外壳活动有很多好处,比如当需要监控用户的行为,回溯系统崩溃前的过程。实现这一功能的关键工具相当简单,它就是COM接口 IShellExecuteHook。编写一个实现了这一接口的COM对象后,再在系统中注册,就可以容易地控制并影响Windows外壳的运行。 Windows 98和Windows 2000都支持IShellExecut...
Shell - 通过hook文件后门实现应用的自动启停
热门推荐
小工匠
09-28 1万+
文章目录启动脚本daemon 启动脚本 #!/bin/bash set_network_param() { sysctl -w fs.file-max=999999 sysctl -w net.ipv4.tcp_tw_reuse=1 sysctl -w net.ipv4.tcp_fin_timeout=15 sysctl -w net.core.netdev_max_backlog=4096 sysctl -w net.core.somaxconn=40960 sysctl -w net.
各种钩子函数-详解
wangjieest的专栏
12-28 6909
WH_SHELL 函数原形: LRESULT CALLBACK ShellProc( int nCode, WPARAM wParam,LPARAM lParam );函数功能: 挂钩处理过程是应用程序或库中定义的回调函数,它与函数 SetWindowsHookEx搭配使用.此函数从系统接受外壳(shell)通知.类型HOOKPROC定义了指向此类回调函数的指针.ShellProc时应用程序
VB实现SHELL扩展之接口参数获取失败探析
叶帆工作室
08-23 7826
前几天有位网友问我用VB实现SHELL扩展的问题,这个问题比较有意思,虽然VB较少使用了,但是用VB开发COM组件还是比较方便的(前几天用EVC开发COM组件,相比起来,用VB还是比较幸福的),所以便进行了深入的研究。Shell扩展有多种,而我们目前所关注的就是实现“IShellExecuteHookW ”接口的扩展,这个接口功能很强劲,只要是window加载相应程序,必须要过这一关,这样你就
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值