当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 防止全局钩子的侵入

安全基础
因特网特殊的几个IP地址的用途
ADSL掉线的原因
分析系统中木马病毒的运行方式
系统和网络安全的七大误解
安全威胁术语简单介绍
光电鼠标几种故障和维修方法
移动硬盘加密软件TrueCrypt使用指南
屏蔽QQ广告和迷你首页广告的技巧
XXCOPY克隆硬盘 DOS命令恢复系统
利用Google免费接收天气预报手机短信
拒绝腾讯QQ弹出迷你首页广告
网页上隐藏Email地址的技巧
进程Explorer.exe和IExplore.exe认识
网卡MAC地址导致笔记本电脑不能上网
木马经常藏身的地方和清除方法
删除文件和粉碎文件两个功能的区别
用户不再关心Windows频繁弹出的对话框
ADSL设备出厂时默认初始IP用户名和密码
内部网络管理员降低风险的策略
频繁发生的无线互访故障现象以及应对办法

安全基础 中的 防止全局钩子的侵入


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 81 ::
收藏到网摘: n/a

Author: pjf([email protected])

  Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。

  首先简单看看全局钩子如何注入别的进程。

  消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。

  进入用户态的KiUserCallbackDispatcher后,KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是LoadLibraryExW,随后进入LdrLoadDll,装载完毕后返回,后面的步骤就不叙述了。

  从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。

  这里hook api使用了微软的detours库,可自行修改。

以下内容为程序代码:

typedef HMODULE (__stdcall *LOADLIB)(
  LPCWSTR lpwLibFileName,
  HANDLE hFile,
  DWORD dwFlags);

extern "C" {
    DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
                             LPCWSTR lpwLibFileName,
                             HANDLE hFile,
                             DWORD dwFlags),
                            LoadLibraryExW);
}

ULONG user32 = 0;

HMODULE __stdcall Mine_LoadLibraryExW(
             LPCWSTR lpwLibFileName,
             HANDLE hFile,
             DWORD dwFlags)
{
    ULONG addr;

    _asm mov eax, [ebp+4]
    _asm mov addr, eax

    if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
    {
        return 0;
    }

    HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
                        lpwLibFileName,
                        hFile,
                        dwFlags);

    return res;
}

BOOL ProcessAttach()
{
    DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
                 (PBYTE)Mine_LoadLib