为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

防止全局钩子的侵入

2007-4-12 15:21| 投稿: security

摘要: windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢...
windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。  首先简单看看全局钩子如何注入别的进程。  消息钩子是由win32子系统提供,其核心部分通过ntusersetwindowshookex为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的keyevent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得hook对象信息,若目标进程没有装载对应的dll,则装载之(利用keusermodecallback"调用"用户例程,它与apc调用不同,它是仿制中断返回环境,其调用是"立即"性质的)。  进入用户态的kiusercallbackdispatcher后,kiusercallbackdispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是loadlibraryexw,随后进入ldrloaddll,装载完毕后返回,后面的步骤就不叙述了。  从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的loadlibraryexw都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。  这里hook api使用了微软的detours库,可自行修改。 typedef hmodule (__stdcall *loadlib)(  lpcwstr lpwlibfilename,  handle hfile,  dword dwflags);extern "c" {    detour_trampoline(hmodule __stdcall real_loadlibraryexw(                                      lpcwstr lpwlibfilename,                                      handle hfile,                                      dword dwflags),                                    loadlibraryexw);}ulong user32 = 0;hmodule __stdcall mine_loadlibraryexw(                lpcwstr lpwlibfilename,                handle hfile,                dword dwflags){    ulong addr;    _asm mov eax, [ebp+4]    _asm mov addr, eax    if ((user32 & 0xffff0000) == (addr & 0xffff0000))    {          return 0;    }    hmodule res = (loadlib(real_loadlibraryexw)) (                                lpwlibfilename,                                hfile,                                dwflags);    return res;}bool processattach(){    detourfunctionwithtrampoline((pbyte)real_loadlibraryexw,                      (pbyte)mine_loadlibraryexw);    return true;}bool processdetach(){    detourremove((pbyte)real_loadlibraryexw,                      (pbyte)mine_loadlibraryexw);    return true;}canti_hookapp::canti_hookapp() //在使用用户界面服务前调用processattach{    user32 = (ulong)getmodulehandle("user32.dll");    processattach();}

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部