windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。 首先简单看看全局钩子如何注入别的进程。 消息钩子是由win32子系统提供,其核心部分通过ntusersetwindowshookex为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的keyevent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得hook对象信息,若目标进程没有装载对应的dll,则装载之(利用keusermodecallback"调用"用户例程,它与apc调用不同,它是仿制中断返回环境,其调用是"立即"性质的)。 进入用户态的kiusercallbackdispatcher后,kiusercallbackdispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是loadlibraryexw,随后进入ldrloaddll,装载完毕后返回,后面的步骤就不叙述了。 从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的loadlibraryexw都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。 这里hook api使用了微软的detours库,可自行修改。 typedef hmodule (__stdcall *loadlib)( lpcwstr lpwlibfilename, handle hfile, dword dwflags);extern "c" { detour_trampoline(hmodule __stdcall real_loadlibraryexw( lpcwstr lpwlibfilename, handle hfile, dword dwflags), loadlibraryexw);}ulong user32 = 0;hmodule __stdcall mine_loadlibraryexw( lpcwstr lpwlibfilename, handle hfile, dword dwflags){ ulong addr; _a *** mov eax, [ebp+4] _a *** mov addr, eax if ((user32 & 0xffff0000) == (addr & 0xffff0000)) { return 0; } hmodule res = (loadlib(real_loadlibraryexw)) ( lpwlibfilename, hfile, dwflags); return res;}bool processattach(){ detourfunctionwithtrampoline((pbyte)real_loadlibraryexw, (pbyte)mine_loadlibraryexw); return true;}bool processdetach(){ detourremove((pbyte)real_loadlibraryexw, (pbyte)mine_loadlibraryexw); return true;}canti_hookapp::canti_hookapp() //在使用用户界面服务前调用processattach{ user32 = (ulong)getmodulehandle("user32.dll"); processattach();}
本文导读目录: 1、黑客们,送我一个80--110级的问道号!! 2、黑客送我个问道号 3、黑客送我问道号(紫塞明珠) 4、黑客免费送问道号华山的? 5、黑客免费赠送问道号 6、黑...
王者荣耀专区功能曝光以后,玩家们最关心的就是安卓账号可不可以转苹果,那么王者荣耀苹果账号怎么转安卓?下面小编就为大家带来王者荣耀安卓账号转移苹果方法介绍,跟小编去看看吧。 王者荣耀安卓转苹果方法介绍...
这三个标志出现在手机上。黑客可能会追捕你。网友:我们该怎么办?众所周知,在互联网时代,人们确实需要更加重视网络安全。如果个人信息和隐私泄露会导致财产安全问题,那么后果不堪设想。黑客教你查询某人的信息(...
相信不少SEO有这么一个体会: 网站该优化和该注意的细节点都设置完了,不论是title还是descrition的撰写,还把关键词密度控制在别人建议的范围,甚至有些严格按照Yoast插件把网站各个因素...
「qq空间密码破解_找黑客黑电脑-快手被盗找黑客」$contents = fread($handle, filesize ($filename));所以database/comersus.mdb安满是...
《安家》这一部电视连续剧是依据实际中一位真正角色历经的事儿改写的。上海市应国际公馆这座工程建筑的精致让许多 观众们都赞叹不已。令人震撼人心。这一产权年限纠纷案件也是较为不便的。上海市应国际公馆如今归属...