Anti 消息钩子注入

最新推荐文章于 2018-03-10 20:21:31 发布
原创 最新推荐文章于 2018-03-10 20:21:31 发布 · 3.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #system #events #thread #types #module

MSDN上对消息钩子的描述:

The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. These events are associated either with a specific thread or with all threads in the same desktop as the calling thread.

 ----------------------------------------------------------------------------------------------------------------------------


1.在内核中,NtUserSetWindowsHookEx函数会首先取得当前线程、当前进程、TEB等的一些信息。然后会调用IntAddHook函数。


2.IntAddHook函数会根据是全局HOOK,还是单进程的HOOK,把钩子插入不同的链表中




3.CallNextHookEx函数会根据不同的消息钩子类型调用不同的函数,如果是WH_CALLWNDPROC和WH_CALLWNDPROCRET类型的,就直接调用NtUserMessageCall函数。如果不是以上两者就会调用NtUserCallNextHookEx函数。

 

4.NtUserMessageCall又会根据传进来的typeid参数调用不同的函数。其中如果是上述的WH_CALLWNDPROC和WH_CALLWNDPROCRET类型的,则会调用co_IntCallHookProc函数。

 

5.co_IntCallHookProc函数经过一系列的参数赋值,初始化后,最后调用的是KeUserModeCallback返回Ring3去执行相应的回调函数。



6.当然上面的NtUserCallNextHookEx函数,经过稍微更加复杂的初始化后,最后调用的还是KeUserModeCallback函数去Ring3执行相应的回调函数。

NtUserCallNextHookEx->UserCallNextHookEx->co_HOOK_CallHookNext->co_IntCallHookProc->KeUserModeCallback

 

总结:

消息钩子的初始化和执行过程看起来思路都比较清晰。要Anti的话从SetWindowsHookEx开始,一路的调用都是可以做手脚的。

当然,还有比较猥琐的XX方法。

--------------------------------------------------------------------------------------------------------------------------

ps:

QQ管家的TCSafeBox.sys是采用的IAT HOOK KeUserModeCallback的方法来防止消息钩子注入的。不过其在判断注入的模块是否是系统常用模块时,采用了strstr函数。这样的话,我们可以随便构造一个目录就可以绕过了。



module_name_array 列表如下,是写死在代码里面的:



因此,我们只要构造一个类似“c:\\my\\Windows\\system32\\csrss.exe\\1.dll”这样的路径便可以实现注入QQ管家了。

防范windows消息钩子的入侵
Execute的专栏
01-09 1235
(中国黑客数据库)Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为
防止消息钩子入侵
cackeme的专栏
04-28 1940
很久以前就知道可以使用LoadLibraryExW来防止全局钩子入侵,说实话一直很反感消息钩子。曾经想过在驱动层通过过hook NtUserSetWindowsHookEx来防止,但是我们并不是很好区分钩子不是不恶意的,而且windows系统本身也会使用,还有就是驱动层很多安全软件和rootkit都盯上了,稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibrar
阻止全局钩子注入源码
08-27
这是一个阻止全局钩子注入的源码,已经实验成功了!!
防止全局钩子的侵入
雪松软件开发的专栏
07-14 1162
防止全局钩子的侵入     Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。    首先简单看看全局钩子如何注入别的进程。    消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWin
防止全局钩子的入侵(天极的文章)
my box
08-14 1065
首先看看全局钩子如何注入别的进程。  消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载
屏蔽键盘钩子屏蔽键盘钩子
04-22
在IT领域,"屏蔽键盘钩子"是一种技术手段,用于拦截和控制键盘输入。这个话题主要涉及Windows操作系统下的钩子机制,尤其是键盘钩子(Keyboard Hook)。以下将详细阐述相关知识点。 1. **钩子(Hook)机制**: ...
AntiDebug1_AntiDebug_windows_programming_
10-01
6. **API注入检测**:一些调试器会注入代码到目标进程中,程序可以监控API调用来检测这种行为。例如,检测`CreateRemoteThread()`或`VirtualAllocEx()`等与内存操作相关的API。 7. **硬件断点检测**:调试器经常...
anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug
09-14
10. **代码注入**:在其他进程中注入代码来检测调试器的存在。 总的来说,"StopIce.pas"这个文件很可能是实现上述一种或多种反调试技术的Delphi源码。理解和逆向这样的代码可以帮助开发者更好地了解如何保护自己的...
深入浅出叼毛鸽子的ANTI单元技术原理
- 系统钩子检测:检查是否安装了调试相关的系统钩子,如调试API钩子。 - 堆栈验证:通过分析堆栈信息来检测堆栈的完整性,不正常的堆栈可能意味着正在调试。 - 异常检测:程序会模拟异常条件并检查系统是否报告了...
DLL注入技术之消息钩子注入
03-22 835
DLL注入技术之消息钩子注入     消息钩子注入原理是利用Windows 系统中SetWindowsHookEx()这个API,他可以拦截目标进程的消息到指定的DLL中导出的函数,利用这个特性,我们可以将DLL注入到指定进程中。主要流程如下图所示: 1.准备阶段     需要编写一个DLL,并且显式导出MyMessageProc()函数,主要代码如下:
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
浅析利用钩子注入DLL的原理与防范
NotLanguage的专栏
03-31 2463
<br />  windows的各个进程的地址空间是相互隔离的,所以一个进程代码是无法到另一个进程的地址空间去运行的.但是通过在进程中安装全局钩子的方法,钩子函数所在的DLL就有可能被操作系统加载到其它进程的地址空间中去,进而实现了DLL注入.实现了DLL注入之后,这个DLL的代码就可以在另一个进程的地址空间里做任何事.<br /> 下面简单介绍一下利用钩子注入DLL的步骤<br /> 1.调用SetWindowsHookEx安装系统范围内的钩子.<br /> 2.将钩子函数的实现写在DLL里<br /> 
C#钩子内部消息拦截
jiangxinyu的专栏
02-01 2672
钩子其实就是调用一下API而已: 1、安装钩子:   SetWindowsHookEx    函数原形:HHOOK SetWindowsHookEx(                       int       idHook,    // 钩子类型,                        HOOKPROC  lpfn,      // 钩子函数地址 
Windows内核新手上路3——挂钩KeUserModeCallBack
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1017
Windows内核新手上路3——挂钩KeUserModeCallBack 1.     简介 在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下: nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDis
R3下的钩子线程注入
yiyefangzhou24的专栏
03-17 4821
R3下的钩子线程注入
[转]防止全局钩子的侵入
Ywind
02-05 861
防止全局钩子的侵入Author: pjf(jfpan20000@sina.com)Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的:)。首先简单看看全局钩子如何注入别的进程。消息钩子是由Win32子系统提供,其核
C#+低级Windows API钩子拦截键盘输入
weixin_34240657的博客
08-02 214
摘要 在家里,婴儿和其它动物可能会重击你的计算机键盘,致使出现各种无法预言的结果。本文中的这个C#示例应用程序将向你展示如何基于Windows钩子API来实现在击键造成任何危害之前捕获它们。   一. 简介   猫和婴儿有很多共同之处。他们都喜欢吃家中养植的植物,都非常讨厌关门。他们也都爱玩弄你的键盘,结果是,你正发送给你的老板的电子邮件可能是以半截句子发送出去的,你的Excel帐户也被加入了...
windows10 记事本进程 键盘消息钩子 dll注入
qq_39627797的博客
03-10 9090
看了很多文档,垮了很多坎,终于完成了这个demo; 有很多个人理解,可能不完全正确,见谅; 先上实现的图片: 如图,我通过SetWindowsHookEx()函数向记事本进程中当前窗口线程注入了自己写的dll,dll中设置的回调函数使,当键盘按了1,那么就会触发一个MessageBox。 工具:VS 2015, PCHunter(用于查看是否成功注入了dll,其实看能否实现功能就信...
利用钩子注入DLL进而HOOK API的防范
NotLanguage的专栏
03-31 1300
1.让钩子失效,进而不让DLL注入.可能通过为要防范的进程安装局部钩子的方法,让相同的钩子得不到处理的机会.' 2.DLL注入后,HOOK API是通过修改进程模块的导入表实现的,如果我们对重要的函数调用采取如下的方式,而不用导入表,那么也可以让HOOK API失效   比如我们想防止MessageBox被HOOK,可以在程序里通过如下方式调用: typedef int (WINAPI* p
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值