Windows 反消息钩子(2)
2012-07-31 13:32
357 查看
Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。
进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。
从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。
这里hook api使用了微软的detours库,可自行修改。
以下内容为程序代码:
WINDOWS核心编程里的用IAT的APIHOOK是不全面的。
APIHOOK最好的方法还是直接修改API入口点的代码。
同时HOOK GetProcAddress 不就行了,但是要是对方使用搜索PE函数导出表的话就没用
防止IAT型的钩子我要是对PE文件的IAT加密,调用时解密调用,就可以了吧(极其复杂)
防止jmp型的钩子我没想到好办法
防止调试我可以判断api入口处是否有int3中断代码就可以了吧(简单)
消息钩子的反拦截其实核心是利用API拦截,来取消钩子拦截.
如果API拦截被破解也就是说消息钩子反拦截没有成功.
一、全局钩子如何注入别的进程
消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。
从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。
这里hook api使用了微软的detours库,可自行修改。
以下内容为程序代码:
typedef HMODULE (__stdcall *LOADLIB)( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags); extern "C" { DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags), LoadLibraryExW); } ULONG user32 = 0; HMODULE __stdcall Mine_LoadLibraryExW( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags) { ULONG addr; _asm mov eax, [ebp+4] _asm mov addr, eax if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000)) { return 0; } HMODULE res = (LOADLIB(Real_LoadLibraryExW)) ( lpwLibFileName, hFile, dwFlags); return res; } BOOL ProcessAttach() { DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW, (PBYTE)Mine_LoadLibraryExW); return TRUE; } BOOL ProcessDetach() { DetourRemove((PBYTE)Real_LoadLibraryExW, (PBYTE)Mine_LoadLibraryExW); return TRUE; } CAnti_HookApp::CAnti_HookApp() //在使用用户界面服务前调用ProcessAttach { user32 = (ULONG)GetModuleHandle("User32.dll"); ProcessAttach(); }
WINDOWS核心编程里的用IAT的APIHOOK是不全面的。
::GetProcAddress(::GetModuleHandle("kernel32.dll"), "SetWindowsHookA");就可以绕过。
APIHOOK最好的方法还是直接修改API入口点的代码。
同时HOOK GetProcAddress 不就行了,但是要是对方使用搜索PE函数导出表的话就没用
防止IAT型的钩子我要是对PE文件的IAT加密,调用时解密调用,就可以了吧(极其复杂)
防止jmp型的钩子我没想到好办法
防止调试我可以判断api入口处是否有int3中断代码就可以了吧(简单)
消息钩子的反拦截其实核心是利用API拦截,来取消钩子拦截.
如果API拦截被破解也就是说消息钩子反拦截没有成功.
相关文章推荐
- windows全局消息钩子的一个BUG
- VB无所不能之三:VB截获Windows消息的钩子 推荐
- SetWinEventHook 事件钩子(有些windows事件并没有消息对应,譬如弹出菜单,切换窗口,获得焦点,滚动条滚动等)good
- 利用钩子机制取得Windows的消息监控权
- VB无所不能之三:VB截获Windows消息的钩子
- Windows 反消息钩子(1)
- 防范windows消息钩子的入侵
- 关于HOOK,如何通过钩子截获指定窗口的所有消息 SetWindowsHookEx demo
- Dll注入:Windows消息钩子注入
- VB截获Windows消息的钩子
- windows消息钩子
- VB截获Windows消息的钩子
- •利用钩子机制取得windows的消息监控权-(2013/09/18)
- 防范Windows消息钩子的侵入
- windows消息钩子研究资料整理
- 使用windows钩子捕获进程的启动和关闭消息
- windows消息钩子
- 设置windows消息钩子
- windows中使用钩子拦截消息
- windows消息钩子注册底层机制浅析