Windows 反消息钩子(2)

简介:      Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。
     Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。  

一、全局钩子如何注入别的进程

      消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。  
    进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook   dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。
 
    从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook   dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call   hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook   dll被加载。
 
    这里hook   api使用了微软的detours库,可自行修改。
 
   
     以下内容为程序代码
:  
  typedef   HMODULE   (__stdcall   *LOADLIB)(  
          LPCWSTR   lpwLibFileName,  
          HANDLE   hFile,  
          DWORD   dwFlags);  
   
  extern   "C"   {  
                  DETOUR_TRAMPOLINE(HMODULE   __stdcall   Real_LoadLibraryExW(  
                                                                                                                    LPCWSTR   lpwLibFileName,  
                                                                                                                    HANDLE   hFile,  
                                                                                                                    DWORD   dwFlags),  
                                                                                                                  LoadLibraryExW);  
  }  
   
  ULONG   user32   =   0;  
   
  HMODULE   __stdcall   Mine_LoadLibraryExW(  
                                                      LPCWSTR   lpwLibFileName,  
                                                      HANDLE   hFile,  
                                                      DWORD   dwFlags)  
  {  
                  ULONG   addr;  
   
                  _asm   mov   eax,   [ebp+4]  
                  _asm   mov   addr,   eax  
   
                  if   ((user32   &   0xFFFF0000)   ==   (addr   &   0xFFFF0000))  
                  {  
                                  return   0;  
                  }  
   
                  HMODULE   res   =   (LOADLIB(Real_LoadLibraryExW))   (  
                                                                                                  lpwLibFileName,  
                                                                                                  hFile,  
                                                                                                  dwFlags);  
   
                  return   res;  
  }  
   
  BOOL   ProcessAttach()  
  {  
                  DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,  
                                                                    (PBYTE)Mine_LoadLibraryExW);  
                  return   TRUE;  
  }  
   
  BOOL   ProcessDetach()  
  {  
                  DetourRemove((PBYTE)Real_LoadLibraryExW,  
                                                                      (PBYTE)Mine_LoadLibraryExW);  
                  return   TRUE;  
  }  
   
  CAnti_HookApp::CAnti_HookApp()     //在使用用户界面服务前调用ProcessAttach  
  {  
                  user32   =   (ULONG)GetModuleHandle("User32.dll");  
                  ProcessAttach();  
  }   

  WINDOWS核心编程里的用IAT的APIHOOK是不全面的。  

 ::GetProcAddress(::GetModuleHandle("kernel32.dll"),   "SetWindowsHookA");   
  就可以绕过。  
  APIHOOK最好的方法还是直接修改API入口点的代码。

  同时HOOK   GetProcAddress   不就行了,但是要是对方使用搜索PE函数导出表的话就没用

  防止IAT型的钩子我要是对PE文件的IAT加密,调用时解密调用,就可以了吧(极其复杂)  
  防止jmp型的钩子我没想到好办法
 
  防止调试我可以判断api入口处是否有int3中断代码就可以了吧(简单)

  消息钩子的反拦截其实核心是利用API拦截,来取消钩子拦截.  
  如果API拦截被破解也就是说消息钩子反拦截没有成功.



目录
相关文章
|
SQL 前端开发 Windows
SQL Sever2012安装错误——Windows Installer错误消息:打开安装日志文件的错误的原因及解决方案
由于要对着错误信息来解决,所以此处是用手机拍摄的,如果看不清楚可以看下面的文字版;此处的错误是在安装程序支持规则中爆出的
342 0
SQL Sever2012安装错误——Windows Installer错误消息:打开安装日志文件的错误的原因及解决方案
|
JSON JavaScript 安全
基于Windows微信实现实时收发微信消息App
基于Windows微信实现实时收发微信消息App
1081 0
基于Windows微信实现实时收发微信消息App
EMQ
|
缓存 数据可视化 物联网
在 Windows 上搭建 MQTT 消息服务器
本文将以NanoMQ为例,演示如何通过安装包和源代码编译两种安装方式,在Windows系统中快速搭建一个可以支持多协议连接的物联网MQTT消息服务器。
EMQ
378 0
|
存储 监控 算法
微信Windows端IM消息数据库的优化实践:查询慢、体积大、文件损坏等
本文分享的是,微信客户端团队基于对微信用户日常使用场景和数据分析,通过分离重要和非重要数据、采用可靠的分库策略等,对微信Windows端IM本地数据库的架构进行的优化和改造,并最终得到一个具备良好实践效果的技术改造方案。
268 0
微信Windows端IM消息数据库的优化实践:查询慢、体积大、文件损坏等
|
Windows
Windows程序设计——窗口键盘消息滚动事件
Windows程序设计——窗口键盘消息滚动事件
228 0
|
存储 Ubuntu Linux
windows 操作系统使用 pscp 拷贝文件到 Linux 系统遇到的错误消息
windows 操作系统使用 pscp 拷贝文件到 Linux 系统遇到的错误消息
186 0
windows 操作系统使用 pscp 拷贝文件到 Linux 系统遇到的错误消息
|
Python Windows
Windows下使用python库 curses遇到错误消息的解决方案
Windows下使用python库 curses遇到错误消息的解决方案
200 0
|
Windows
WINDOWS特有的消息常量标识符
  '========================================'WINDOWS特有的消息常量标识符'========================================Public Const WM_NULL = &H0&Public Const WM_C...
917 0

相关产品

  • 云迁移中心