防止全局钩子的入侵(天极的文章)
来源:互联网 发布:nginx lua 并发 编辑:程序博客网 时间:2024/05/16 15:48
消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。
进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。
从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。
这里hook api使用了微软的detours库,可自行修改。
以下内容为程序代码:
typedef HMODULE (__stdcall *LOADLIB)(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags);
extern "C" {
DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags),
LoadLibraryExW);
}
ULONG user32 = 0;
HMODULE __stdcall Mine_LoadLibraryExW(
LPCWSTR lpwLibFileName,
HANDLE hFile,
DWORD dwFlags)
{
ULONG addr;
_asm mov eax, [ebp+4]
_asm mov addr, eax
if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
{
return 0;
}
HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
lpwLibFileName,
hFile,
dwFlags);
return res;
}
BOOL ProcessAttach()
{
DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}
BOOL ProcessDetach()
{
DetourRemove((PBYTE)Real_LoadLibraryExW,
(PBYTE)Mine_LoadLibraryExW);
return TRUE;
}
CAnti_HookApp::CAnti_HookApp() //在使用用户界面服务前调用ProcessAttach
{
user32 = (ULONG)GetModuleHandle("User32.dll");
ProcessAttach();
}
nnd ,前几天wow帐号刚被盗
- 防止全局钩子的入侵(天极的文章)
- 防止全局钩子的侵入
- 防止全局钩子的侵入
- 防止全局钩子的侵入
- 防止全局钩子的侵入
- [转]防止全局钩子的侵入
- 轉載: 防止全局钩子的侵入
- 防止消息钩子入侵
- 我在天极网站写的文章
- .NET的全局键盘钩子
- 阻止全局钩子的加载
- 阻止全局钩子的加载
- 键盘"全局钩子"的使用 ..
- 防范windows消息钩子的入侵
- HOOK的初步学习(非全局钩子)!
- ipc$入侵非常好的文章
- 线程专用钩子和全局钩子的区别
- C#做的全局鼠标/键盘钩子
- Debug VS release
- ok,project moves smoothly forward.
- 我对SOA的理解
- 常见电子书类型及阅读器
- 用Rails将敏捷Web开发进行到底! (原文最终修订于2006-08-14,凌晨03:49:12)
- 防止全局钩子的入侵(天极的文章)
- 月亮网摘(2006.8.14)
- java jsp
- DB2基本命令
- 介绍一篇关于session的好文章,写的很详细(jsp-servlet 技术)
- 破解预备知识
- 安装程序制作(Install Shield)
- 关于C语言标输入流的一个有趣的小问题
- Kitty靓图