浅析利用钩子注入DLL的原理与防范

最新推荐文章于 2024-07-14 11:31:13 发布
原创 最新推荐文章于 2024-07-14 11:31:13 发布 · 2.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll #hook #windows #api

本文介绍了如何使用全局钩子技术实现DLL注入的过程,并提出了两种防止DLL注入的方法:一是阻止钩子生效;二是通过HOOKAPI禁止LoadLibrary调用。
部署运行你感兴趣的模型镜像

  windows的各个进程的地址空间是相互隔离的,所以一个进程代码是无法到另一个进程的地址空间去运行的.但是通过在进程中安装全局钩子的方法,钩子函数所在的DLL就有可能被操作系统加载到其它进程的地址空间中去,进而实现了DLL注入.实现了DLL注入之后,这个DLL的代码就可以在另一个进程的地址空间里做任何事.

 下面简单介绍一下利用钩子注入DLL的步骤

 1.调用SetWindowsHookEx安装系统范围内的钩子.

 2.将钩子函数的实现写在DLL里

 这样,其它接收与这个钩子相关消息的进程就会自动加载这个钩子函数所在的DLL,从而实现了DLL注入.

 

 防范的方法简单的有2:

1.不让钩子生效,那么DLL也就不会注入了.所以可以在程序里安装一个类型相同的局部钩子,由于局部钩子先执行,所以可以将消息不继续传递给下一个钩子.

2.通过HOOK API的方法禁止LoadLibrary的调用.(这个方法副作用太多,不太现实)

 

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

NotLanguage
关注
阻止EDR注入dll
记录学习,一起进步
04-04 1311
阻止EDR进行dll注入的探索
深析基于元素剥离的多种html注入实现Attack以及浅析防范措施
03-02
1、我这里说的HTML注入并不是什么伪静态注入,而是通过向浏览器插入额外的字段代码,混入其他的登陆表单中,从而让用户看起来额外的代码是合法的,一种说白了就是窃取一切用户信息的手段。类似行为的比如Zeus、...
dll注入原理分析
Maxmalloc的博客
10-21 676
获取目标进程的pid 获取目标进程的句柄 向目标进程写入注入dll的路径字符串 建立远程线程 // zhuru1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include "pch.h" #include <iostream> #include <stdio.h> #include <Windows.h> #incl...
阻止全局钩子注入源码
08-27
这是一个阻止全局钩子注入的源码,已经实验成功了!!
钩子注入原理0基础讲解
weixin_42703673的博客
11-19 3520
钩子注入原理零基础讲解
Windows编程DLL注入Hook(钩子)注入
qq_40012479的博客
11-06 3599
消息: 消息可以由系统和应用程序生成,系统会为每个输入事件产生相应的消息。例如点击鼠标,按下键盘按键等。消息又分为队列消息和非队列消息,对于非队列消息,windows会直接将其发送到窗口处理函数,而对于队列消息,windows会将其放入消息队列。 消息队列: windows维护了一个系统消息队列,并且为每一个GUI线程维护一个消息队列。且只有线程第一次调用GDI函数时,系统才会为该线程创建消息队列。windows会检查系统消息队列,确定消息的目标窗口,将其放入创建这个窗口的线程的消息队列里。 Hook: 钩
浅析SQL注入式攻击防范.pdf
09-19
网络攻击的形式多种多样,其中SQL注入式攻击是一种常见的攻击手段,它的原理防范方法是本文探讨的重点。 SQL注入式攻击是指攻击者利用一些Web应用程序中存在的安全漏洞,通过在网页输入框中输入特定构造的SQL语句...
浅析SQL注入式攻击防范
03-22
### 浅析SQL注入式攻击防范 #### 一、SQL注入式攻击概述 随着互联网技术的迅猛发展,网络安全问题日益凸显。其中,SQL注入式攻击作为一种常见的安全威胁,不仅频繁发生,而且对企业和个人造成了巨大的损失。SQL...
浅析计算机网络通信安全问题防范策略.docx
最新发布
07-01
浅析计算机网络通信安全问题防范策略.docx
浅析计算机网络安全的风险防范技术.doc
07-01
浅析计算机网络安全的风险防范技术.doc
如何防止第三方DLL注入自己的进程?
shada的专栏
07-14 1125
设置 (0x1) 以防止进程加载未由 Microsoft、Windows 应用商店和 Windows 硬件质量实验室 (WHQL) 签名的图像;测试结论是没有起到作用,这是因为SetProcessMitigationPolicy是在程序启动后调用的,调用前就已经被注入了。设置 (0x1) 以防止进程加载未由 Windows 应用商店签名的图像;设置 (0x1) 以防止进程加载未由 Microsoft 签名的图像;这个结构包含用于加载映像的进程缓解策略设置,具体取决于映像的签名。
利用钩子注入DLL进而HOOK API防范
NotLanguage的专栏
03-31 1324
1.让钩子失效,进而不让DLL注入.可能通过为要防范的进程安装局部钩子的方法,让相同的钩子得不到处理的机会.' 2.DLL注入后,HOOK API是通过修改进程模块的导入表实现的,如果我们对重要的函数调用采取如下的方式,而不用导入表,那么也可以让HOOK API失效   比如我们想防止MessageBox被HOOK,可以在程序里通过如下方式调用: typedef int (WINAPI* p
Anti 消息钩子注入
莫灰灰的专栏
05-29 3914
MSDN上对消息钩子的描述: The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. Th
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2780
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
dll远程注入
wwpp的博客
06-16 2042
防止远程dll注入
防止全局钩子的入侵(天极的文章)
my box
08-14 1073
首先看看全局钩子如何注入别的进程。  消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载
微软防止钩子注入的后门函数RegisterSystemThread
Inside Windows
10-19 3614
>>微软后门函数 RegisterSystemThread>>原形VOID STDCALL  RegisterSystemThread (DWORD flags, DWORD reserved) >>等值定义define RST_DONTJOURNALATTACH 0x00000002define RST_DONTATTACHQUEUE   0x00000001  >>推测 查不出定义来!;调用例
程序驱动防止消息钩子入侵
weixin_33672400的博客
04-28 353
PS:明天上午,非常郁闷,有很多简单基础的问题搞得我有些迷茫,哎,代码几天不写就忘。目前又不当COO,还是得用心记代码哦!     很久以前就道知可以应用LoadLibraryExW来避免全局钩子入侵,说实话直一很恶感消息钩子。经曾想过在驱动层通过过hook NtUserSetWindowsHookEx来避免,但是我们是不并很好分区钩子不是不意恶的,而且windows统系本身也会应用,还有就是驱...
c语言dll注入进程,DLL注入--设置消息钩子
weixin_35837047的博客
05-19 468
通过设置消息钩子,达到和dll注入相同的目的,但这个方法其他DLL注入方法又不一样,它不会把自己的DLL加载到目标进程,所以也就实现不来DLL的隐藏,这样很容易被杀软KILL掉,亲测360秒杀,但实现简单还有有相当的应用场景,下面是一个通用的消息勾取主函数,它将关键的消息勾取函数SetWindowsHookEx函数放到了DLL当中,通过DLL调用来实现消息勾取,因为此逻辑相对简单,此处就不详细介...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值