Hook?

 

最早是在操作系统中出现的HOOK概念。在Unix/Linux/Windows中都 有类似概念。当时提出的目的在于,允许用户在系统调用过程中,插入自己的代码处理特殊事情。典型的HOOK就是用自己的功能替换原有的函数点,在处理完成 之后,又恢复原有的函数点。(这里“点”就是表示一个可以使用HOOK勾住的位置)。
下面是《关于钩子》中,描述的Windows是中的钩子:

在Windows中,钩子(Hook),是Windows消息处理机制的 一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理 它。钩子机制允许应用程序截获处理window消息或特定事件。
钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。

其实从中可以看出,这些钩子应该和回调函数(CALLBACK FUNCTION)是一种技术。只不过,Windows专门将此类系统消息处理机制叫HOOK。
Falls先生曾经提醒我,在UNIX中的HOOK更纯粹。是的,UNIX中 LD_PRELOAD环境变量(Soloris系统为例)针对所有系统调用做了一个类似代理功能,如果你想改变某个系统调用,就可以在这个代理中注册,动 态调用的时候,会先从代理里寻找自定义代码,然后再找系统预定义代码。
我愿意使用图来表示这里面的差别。第一种Windows中的HOOK概念,其实是说系统已经在可以扩展的地方,预先放好了一些钩子在那里,你可以在需要的时候,挂上自己想要的东西。
windows的HOOK模型
相对于Windows来说,UNIX中,基本思想是一致的,细微的差距在于,扩展点的提供上。UNIX几乎提供了所有可能的扩展点。由于太多了,所以换句话说,也可以说成UNIX没有提供扩展点。这些扩展点,是用户在使用的过程中自己去发现,自己去勾住的。

UNIX的HOOK模式

这些就是其中的差距。而HOOK思想的发展也正是依照UNIX这类路线走下去的。在 Windows中,大家还在使用的HOOK,除了定义好消息钩子,最典型的就是dll的导出表钩子。可以改变系统dll的函数的导出函数的地址,来勾住某 些特定操作。必然监控文件创建等等操作,就可以勾住CreateFile这个API函数。
事实上,在初期,很多钩子都是发展用来修改别人的系统的行为的。后来钩子也用来修改本 系统的行为。这主要源于软件系统的长足发展及框架系统的复杂度不断提升。现在的软件系统对我们来说,已经不大可能了解所有的部分,而且基类框架的稳定性不 允许我们去修改它们。在这种情况下,HOOK思想带入到解题思路中。可以使用钩子来解决一些扩展或修复一些系统设计缺陷。AOP的思想和这类应用很相似。
整个HOOK的发展,从开始的回调函数模式,到扩展系统行为,再到扩展本系统行为。这 个过程,有一点大家认识越来越清晰。HOOK是在合适的位置插入自己的代码而扩展或改变原有系统的(外系统或本系统)的行为的。HOOK技术也越来越主动 的寻找扩展点,而不仅仅是使用原有系统提供的扩展点。甚至已经派生中一种系统开发方式AOSD。
HOOK的未来在哪里?随着.NET和JAVA对AOP的支持,HOOK技术越来越被框架直接支持。相信不远的未来,HOOK会直接作为一种解题思想而推广,并且框架会提供一系列HOOK模式来解决类似问题。
VT技术和EPT技术的结合使用在系统安全和监控领域提供了一种高级的Hook能力,尤其是在需要进行隐蔽监控或防护时。隐藏式Hook是指在不被目标操作系统和安全软件察觉的情况下,对系统行为进行干预的技术。 参考资源链接:[VT EPT钩子技术:实现隐藏式Hook](https://wenku.youkuaiyun.com/doc/60z4ein1me) 为了深入理解并实现隐藏式Hook,建议参考《VT EPT钩子技术:实现隐藏式Hook》这份资源。它详细介绍了如何通过硬件虚拟化技术,特别是VT和EPT,来实现系统钩子。这些技术允许开发者在硬件层面进行操作,绕过传统的操作系统监控。 具体的操作步骤如下: 1. 启用硬件辅助虚拟化:确保CPU支持VT技术,并在BIOS中启用该功能。 2. 配置虚拟机:在宿主机上配置虚拟机环境,并为EPT技术配置相应的扩展页表。 3. 编写Hook代码:根据目标操作系统的内存结构和行为,编写相应的Hook代码。这通常涉及到对内存页的读写操作和权限设置。 4. 隐藏Hook实现:为了隐藏Hook,需要对Hook实现进行加密或者使用其他隐蔽手段,确保安全软件无法检测到Hook的存在。 5. 实现监控或修改:完成上述步骤后,你的Hook可以监控或修改指定的系统行为,而不会引起目标操作系统的警觉。 示例代码略,因为它涉及到复杂的内存操作和安全性考量。 通过上述步骤,你可以实现一个基于VT和EPT技术的隐藏式系统Hook。完成这一过程后,系统将能够在不被发现的情况下进行监控和控制。 如果你希望进一步探索这一技术的更多细节和深入学习,建议查看相关的高级教程或文档。除了《VT EPT钩子技术:实现隐藏式Hook》外,还可以参考其他详细的技术手册和社区讨论,以获得更全面的视角和深入的理解。 参考资源链接:[VT EPT钩子技术:实现隐藏式Hook](https://wenku.youkuaiyun.com/doc/60z4ein1me)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值