亚洲免费人人妻人人,cao78在线视频,福建一级毛片,91精品视频免费观看,高清另类图片操逼,日本特黄特色大片免费看,超碰欧美人人澡曰曰澡夜夜泛

怎樣防止全局鉤子入侵 -電腦資料

電腦資料 時(shí)間:2019-01-01 我要投稿
【www.msguai.com - 電腦資料】

  Windows消息鉤子一般都很熟悉了,

怎樣防止全局鉤子入侵

。它的用處很多,耳熟能詳?shù)木陀欣面I盤鉤子獲取目標(biāo)進(jìn)程的鍵盤輸入,從而獲得各類密碼以達(dá)到不可告人的目的。朋友想讓他的軟件不被別人的全局鉤子監(jiān)視,有沒有辦法實(shí)現(xiàn)呢?答案是肯定的,不過缺陷也是有的。

  首先簡(jiǎn)單看看全局鉤子如何注入別的進(jìn)程。

  消息鉤子是由Win32子系統(tǒng)提供,其核心部分通過NtUserSetWindowsHookEx為用戶提供了設(shè)置消息鉤子的系統(tǒng)服務(wù),用戶通過它注冊(cè)全局鉤子。當(dāng)系統(tǒng)獲取某些事件,比如用戶按鍵,鍵盤driver將掃描碼等傳入win32k的KeyEvent處理函數(shù),處理函數(shù)判斷有無(wú)相應(yīng)hook,有則callhook。此時(shí),系統(tǒng)取得Hook對(duì)象信息,若目標(biāo)進(jìn)程沒有裝載對(duì)應(yīng)的Dll,則裝載之(利用KeUserModeCallback調(diào)用用戶例程,它與Apc調(diào)用不同,它是仿制中斷返回環(huán)境,其調(diào)用是立即性質(zhì)的)。

  進(jìn)入用戶態(tài)的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根據(jù)傳遞的數(shù)據(jù)獲取所需調(diào)用的函數(shù)、參數(shù)等,隨后調(diào)用。針對(duì)上面的例子,為裝載hook dll,得到調(diào)用的是LoadLibraryExW,隨后進(jìn)入LdrLoadDll,裝載完畢后返回,后面的步驟就不敘述了。

  從上面的討論我們可以得出一個(gè)最簡(jiǎn)單的防侵入方案:在加載hook dll之前hook相應(yīng)api使得加載失敗,不過有一個(gè)缺陷:系統(tǒng)并不會(huì)因?yàn)橐淮蔚氖《艞墸看斡邢a(chǎn)生欲call hook時(shí)系統(tǒng)都會(huì)試圖在你的進(jìn)程加載dll,這對(duì)于性能有些微影響,不過應(yīng)該感覺不到。剩下一個(gè)問題就是:不是所有的LoadLibraryExW都應(yīng)攔截,這個(gè)容易解決,比如判斷返回地址。下面給出一個(gè)例子片斷,可以添加一些判斷使得某些允許加載的hook dll被加載。

  這里hook api使用了微軟的detours庫(kù),可自行修改。

  以下內(nèi)容為程序代碼:

  typedef HMODULE (__stdcall *LOADLIB)(

  LPCWSTR lpwLibFileName,

  HANDLE hFile,

  DWORD dwFlags);

  extern "C" {

  DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(

  LPCWSTR lpwLibFileName,

  HANDLE hFile,

  DWORD dwFlags),

  LoadLibraryExW);

  }

  ULONG user32 = 0;

  HMODULE __stdcall Mine_LoadLibraryExW(

  LPCWSTR lpwLibFileName,

  HANDLE hFile,

  DWORD dwFlags)

  {

  ULONG addr;

  _asm mov eax, [ebp+4]

  _asm mov addr, eax

  if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))

  {

  return 0;

  }

  HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (

  lpwLibFileName,

  hFile,

  dwFlags);

  return res;

  }

  BOOL ProcessAttach()

  {

  DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,

  (PBYTE)Mine_LoadLibraryExW);

  return TRUE;

  }

  BOOL ProcessDetach()

  {

  DetourRemove((PBYTE)Real_LoadLibraryExW,

  (PBYTE)Mine_LoadLibraryExW);

  return TRUE;

  }

  CAnti_HookApp::CAnti_HookApp() //在使用用戶界面服務(wù)前調(diào)用ProcessAttach

  {

  user32 = (ULONG)GetModuleHandle("User32.dll");

  ProcessAttach();

  }

最新文章