[转]防止全局钩子的侵入

最新推荐文章于 2021-01-28 13:45:28 发布
最新推荐文章于 2021-01-28 13:45:28 发布
阅读量810 收藏
点赞数
分类专栏: 系统类 文章标签: hook dll user api windows 微软

防止全局钩子的侵入

Author: pjf(jfpan20000@sina.com)
Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的:)。
首先简单看看全局钩子如何注入别的进程。
消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。
进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。
从上面的讨论我们可以得出一个最简单的防侵入方案:hook api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。
这里hook api使用了微软的detours库,随需要修改。

typedef HMODULE (__stdcall *LOADLIB)(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags
);

extern "C" {
DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags),
LoadLibraryExW);
}

ULONG user32 = 0;

HMODULE __stdcall Mine_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags)
{
ULONG addr;

_asm mov eax, [ebp+4]
_asm mov addr, eax

if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
{
return 0;
}

HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
lpwLibFileName,
hFile,
dwFlags );

return res;
}

BOOL ProcessAttach()
{
DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}

BOOL ProcessDetach()
{
DetourRemove((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}

CAnti_HookApp::CAnti_HookApp() //在使用用户界面服务前调用ProcessAttach
{
user32 = (ULONG)GetModuleHandle("User32.dll");
ProcessAttach();
}

Posted by pjf at October 25, 2004 01:51 PM
ywind
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Detours对LoadLibraryExW进行HOOK屏蔽全局钩子
SR0ad的涅盘地
11-12 4841
全局钩子都是做为DLL挂接注入进程,假如应用程序A.exe安装了WH_GETMESSAGE的全局钩子钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程。
用VC编程阻止全局钩子的加载
Chinawash 专栏
11-24 1679
先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程
使用调试钩子屏蔽全局钩子
huobengle
09-06 319
WH_DEBUG为调试钩子,用来给钩子函数除错。在系统调用系统中与其他Hook关联的Hook钩子例程之前,系统会调用WH_DEBUG Hook钩子例程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook钩子例程。WH_DEBUG调用DebugProc钩子例程。 DebugProc语法:LRESULT CALLBACK DebugProc( int nCode, ...
在用户态防止全局钩子注入
lyclowlevel的专栏
10-09 2181
项目需要,研究了一个礼拜,防止全局钩子注入的功能基本实现。今天偶然在网路上搜索相关主题,发现“看雪论坛”有前辈早就讨论过这个问题,且提出了解决方案,思路与在下不谋而合。不过据我的分析,该前辈的解决方案还有些缺陷。至少应该从以下角度改进: 1、当全局钩子的LoadLibraryE
阻止全局钩子的加载
weixin_34290352的博客
07-05 1279
网上有一篇关于这个问题的文章,题目叫《防止全局钩子侵入》,作者不祥。文中简单分析了一下钩子的原理,然后使用了微软的Detours库进行 API拦截。如果只是为了拦截一个函数,使用Detours好像有点儿浪费。本文不使用Detours库,直接对LoadLibraryExW函数进行拦截。 先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子钩子函...
C#全局钩子软件(无源码)
05-13
【标签】:“全局钩子”强调了这个软件的核心技术是全局钩子的实现和应用,这是一种侵入性较强的技术,需要谨慎使用,以免侵犯他人的隐私。 尽管压缩包中包含的文件“RUU.dll”和“Setups.exe”没有提供源码,但...
如果防止他人侵入我的电脑
12-17
### 如何有效防止他人侵入我的电脑 在数字化时代,网络安全变得越来越重要。为了保护个人隐私及重要数据不受侵犯,我们需要采取一系列措施来加强电脑的安全防护。本文将根据标题“如何防止他人侵入我的电脑”及其...
vb 键盘钩子
06-13
- 钩子可能与某些安全软件冲突,因为它们被视为潜在的侵入性行为。 - 使用键盘钩子需谨慎,避免滥用,以免违用户隐私。 总之,VB键盘钩子是一个强大的工具,但需要正确和谨慎地使用。了解其原理和应用,可以极大...
侵入式负载检测
03-28
侵入式负荷监测(NILM)是未来电力负荷监测的重要发展方向之一。不同类型电力负荷在投切过程中,通常会表现出独特的暂态特征。据此,NILM 能够克服利用负荷稳态特征信息进行负荷辨识的局限性,实现对整个...
浅谈webpack下的AOP式无侵入注入
08-28
为了实现无侵入注入,我们可以使用 webpack 的 `resolve.alias` 属性,创建一个全局钩子模块。在 `vueHook.js` 文件中,我们导入 Vue 并应用性能统计插件,然后导出修改后的 Vue 构造函数。通过配置 webpack,将所有...
(开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
11-02
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动级dll注入源码 在xp系统可以注入dll到保护的进程
冰刃 IceSword 1.22
04-02
冰刃IceSword 1.22 简介 IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003/Vista操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。 在对软件做讲解之前,首先说明第一注意事项 :此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。 IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限。 如果您使用过老版本,请一定注意,使用新版本前要重新启动系统,不要交替使用二者。 IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。 如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。 如果最小化到托盘时托盘图标又消失了:此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标,将就用吧^_^。 您无须为此软件付费,但如果您使用时发现了什么Bug,请mail to me:jfpan20000@sina.com ,十分感谢。 更新说明: 1.20:(1)恢复了插件功能,并提供一个文件注册表的小插件,详见FileReg.chm;(2)对核心部分作了些许改动,界面部分仅文件菜单有一点变化。 1.20(SubVer 111E3):添加对32位版本Vista(NtBuildNumber:6000)的支持。 1.22:(1)增加普通文件、ADS、注册表、模块的搜索功能;(2)隐藏签名项;(3)添加模块的HOOK扫描;(4)核心功能的加强。
C++ > (开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
04-28
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover4
用C#开发的全局钩子GlobalHook
05-16
用C#开发的全局钩子GlobalHook 用C#开发的全局钩子GlobalHook 用C#开发的全局钩子GlobalHook
屏蔽全局鼠标钩子_任鸟飞谈逆向检测技术之解除函数屏蔽
weixin_35282782的博客
01-28 1083
逆向开发者在开发过程中,可能有不少人遇到这样的一个问题:在不开游戏的情况下,某些函数可以正常调用和使用。但是在游戏运行后。该类函数直接失效。最典型的例子为FPS 和 DNF。绝大多数检测成熟的游戏,都会屏蔽键鼠类函数的执行,由安全系统所接管,最典型的函数为mouse_event() 函数声明如下那么有什么办法或者思路来解除这一函数屏蔽呢?答案是有的。分析: 首先,函数失...
一种绕过全局钩子安装拦截的思路
大爷饭
07-10 2345
by mj0011本文介绍了一种思路,利用安全软件驱动和WINDOWS本身处理全局钩子安装过程的不同,以绕过安全软件对全局钩子安装的拦截。这种方法并不保证能通用于任何安全软件。安全软件,例如HIPS,AV等,通常会安装 NtUserSetWindowsHookEx / NtUserSetWinEventHook钩子拦截全局钩子注入,防止键盘、消息拦截或者DLL注入。在这两个函数的
局部钩子能防全局钩子吗_Vue 中常用的全局配置
weixin_39844515的博客
11-28 134
Vue.js非常有用的Vue 全局配置Vue.config 是一个对象,包含 Vue 的全局配置。可以在启动应用之前修改下列属性:silent类型:boolean默认值:false用法:Vue.config.silent = true作用:取消 Vue 所有的日志与警告。optionMergeStrategies类型:{ [key: string]: Function }默认值:{}用法:Vue....
揭示win32 api拦截细节
02-11 1184
  原文出处:http://www.codeproject.com/system/hooksys.asp    拦截win32 API 调用对于多数windows开发人员来说都一直是很有挑战性的课题,我承认,这也是我感兴趣的一个课题。钩子机制就是用一种底层技术控制特定代码段的执行,它同时提供了一种直观的方法,很容易就能改变操作系统的行为,而并不需要涉及到代码。这跟一些第三方产品类似。   
局部到全局换:重写规则的挑战与解决方案
具体来说,他们展示了如何利用抽象和可重用的算法及机制来处理复杂的侵入性组合,将局部到全局化为半自动的过程。这种方法有望降低换规则的实现复杂性,提高可维护性和可演化性。 此外,论文还讨论了如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值