Win7 以来,微软增加了安全性 ..... 此处省略一万字
同时增加了一个叫兼容层的东西 , 简单来说,就是由一些钩子处理程序,目的是为了兼容老程序在新系统上运行.
更简单的说法,WIN7 增加了些新东西,势必导致API的变化,有增加的,也有减少的,也有变化的,那么问题来了,对于API变化的,原来在XP上正常运行的程序,到WIN7上可能就用不了了,为了让操作系统有更好的兼容性,微软做了这个兼容层,改变了原来API的行为.
API兼容层主要由以下库组成
有兴趣的朋友可以看一下 大牛写的文章 http://bbs.pediy.com/showthread.php?t=175483 很详细,很直白,没有套路
接下来聊到的部分只涉及inline Hook API ,由于IAT Hook系统,太多的缺陷,很早之前就准备弃用,迫于仍有大量客户在使用,不得不继续维护,
先来问两个问题:
问题1:怎么知道软件会被加载兼容层
1) 用工具查呗,推荐PCHunter有免费的,查下进程的模块中,是否有以上DLL即可
2)用PCHunter查一下,应用层钩子中的进程钩子, 在这里可以发现,兼容层的钩子都是用的IAT钩子
问题2怎么让任意程序都可以加载兼容层
在程序上单击右键,属性,兼容性,先一个兼容模式就可以了
再来聊聊内联钩子的大致流程
1.先获取CreateFileW的地址 , 得用GetProcAddress来获取
2.弄个全局变量来记录一个地址,这个地址可以直接调用到真正的CreateFile函数中去 , CreateFile_API , 在我们自己的程序中调用CreateFile_API,即是调用系统API,调用MyCreateFileW即是跳板程序
3.做一个跳板函数 MyCreateFile
4.Hook API , 宿主程序,会先调用到MyCreateFile->CreateFile_API->KernelBase->Ntdll->ntoskrnl
其中有一个关键点,兼容层会使用IAT钩子Hook,GetProcAddress函数,导致,获取的CreateFileW函数被定位到AcGenral.dll中.同时GetProcAddress也会被定位到AcGenral.dll
这样就引发了一个问题
在存在兼容层的应用程序中,并非所有的API调用都会通过AcGenral.dll,同时也存在直接调用KernelBase::CreateFile的情况,这样必然导致部分调用无法被监控
解决办法:
1.自己写一个GetProcAddress , 这个很容易, 大神已经写好了 http://bbs.pediy.com/showthread.php?t=121226 实际上就是解析PE结构,不过64位需要修改少许代码,见下遍文章
疑问: 大神写的这个可靠吗? 如果只有个另API还好说,如果Hook的API数量非常多,会不会有问题,
如何降低风险
先验证一个问题! 如果我们能够获取到GetProcAddress的API,那么兼容层会不会在这里面做文章
实验结果: 直接通过GetProcAddress获取的GetProcAddress地址在AcGenral.dll中.
但是,通过自己写的GetProcAddress可以获取正确的Kernel32:GetProcAddress的地下.
即然,获取到了Kernel32:GetProcAddress函数的地址,那么再通过这个地址去获取其他API理论上应该没问题, 实际上也没问题
小结:这样做之后,只需要通过自己写的MyGetProcAddress获取到Kernel32:GetProcAddress的地址,然后再获取其他API的地址,均采用系统API的模式,这样,即降低了风险程序的稳定性也提高了,同时也好向领导交差了.
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
