首页 关于我们 产品 业务 客户服务    
软件 域名注册 虚拟主机 企业邮局 网站推广 成功案例 软件销售 代理合作    
   
 
>> 关于我们
  网络特价产品
  网络方案架构
  产品驱动更新
  代理加盟
  流行先锋
  常用软件下载
 
   
   

 

 

 

 

 

 

 

  您所在的位置 >> 常用软件下载
 
 
防范Windows消息钩子的侵入
 
     

  Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。
  首先简单看看全局钩子如何注入别的进程。
  消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。
  进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。
  从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。
  这里hook api使用了微软的detours库,可自行修改。   
   以下内容为程序代码:   
  typedef HMODULE (__stdcall *LOADLIB)(
  LPCWSTR lpwLibFileName,
  HANDLE hFile,
  DWORD dwFlags);
  extern "C" {
  DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
  LPCWSTR lpwLibFileName,
  HANDLE hFile,
  DWORD dwFlags),
  LoadLibraryExW);
  }
  ULONG user32 = 0;
  HMODULE __stdcall Mine_LoadLibraryExW(
  LPCWSTR lpwLibFileName,
  HANDLE hFile,
  DWORD dwFlags)
  {
  ULONG addr;
  _asm mov eax, [ebp+4]
  _asm mov addr, eax
  if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
  {
  return 0;
  }
  HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
  lpwLibFileName,
  hFile,
  dwFlags);
  return res;
  }
  BOOL ProcessAttach()
  {
  DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
  (PBYTE)Mine_LoadLibraryExW);
  return TRUE;
  }
  BOOL ProcessDetach()
  {
  DetourRemove((PBYTE)Real_LoadLibraryExW,
  (PBYTE)Mine_LoadLibraryExW);
  return TRUE;
  }
  CAnti_HookApp::CAnti_HookApp() file://在使用用户界面服务前调用ProcessAttach
  {
  user32 = (ULONG)GetModuleHandle("User32.dll");
  ProcessAttach();
  }

 

 





打印 关闭

 

- [关于我们] - [联系方式] - [诚聘英才] - [友情链接] -  
  Copyright 2003-2004 http://www.wxdn.com.cn/ All Rights Reserved
 
  电话:0564-3325250 3324848 3332233 传真:0564-3322413 E-mail:info@wxdn.com.cn  
  地址:皖六安市解放中路明珠广场天景苑2单元26楼 邮编:237002  
  安徽省六安市皖西电脑有限公司 版权所有