避免FindWindow/EnumWindows/EnumChildWindows的检测的试验手记

最新推荐文章于 2022-11-20 13:53:55 发布
最新推荐文章于 2022-11-20 13:53:55 发布
阅读量5.0k 收藏 1
点赞数
分类专栏: 逆向工程 文章标签: c api windows 工具 工作 xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lsaturn/article/details/857946
版权

    怎么感觉自己在做病毒呐?最近对于悄悄地干坏事比较感兴趣,那么我离病毒还差什么呐?自定位的代码有了,但是书写一个自定位代码无疑是个非常麻烦的事情,所以我想或许我还需要自己完成LoadLibrary做的工作,这样可以达到代码隐藏的目的,也不会破坏把软件工程奉为圭臬的我的审美观。然后是尽量隐藏自己,这个隐藏的手段太多了,慢慢来吧,加油~至于传播和破坏倒不是我特别关心的,希望不要抓我。

    这里我想做的是避免FindWindow/EnumWindows/EnumChildWindows的检测,ollydebug里面有个插件叫做hideod,它就可以完成这个操作,我当时想ollydebug是比较流行的工具,大概有源代码或者手段分析之类的,就在看雪上面疯狂的搜索,居然未果。不过也得到一些启示,就是不光可以单独伺候FindWindow/EnumWindows/EnumChildWindows这三个API,还可以服侍支持这三个兄弟的底层大爷,比如获取窗口句柄数组的函数----如果有的话。OK,决定了方向就这么做下去。看看是不是能够验证我的猜想。

    交待下我的系统是windows xp sp2,因为涉及到底层函数,而不是API本身,所以可能各个系统不一样,大家请注意。另外既然是笔记就会比较冗杂,大家包涵。

    go on......

    随便写了个调用EnumWindows的程序,然后用OllyDbg加载运行.

EnumWindows入口:

77D1CD97  >   8BFF            mov     edi, edi
77D1CD99     55                   push    ebp
77D1CD9A    8BEC            mov     ebp, esp
77D1CD9C    33C0            xor     eax, eax
77D1CD9E     50                   push    eax
77D1CD9F     50                   push    eax
77D1CDA0    FF75 0C       push    dword ptr [ebp + C]                ; lParam
77D1CDA3    FF75  08         push    dword ptr [ebp + 8 ]                ; EnumWindowsProc
77D1CDA6     50                   push    eax
77D1CDA7     50                   push    eax
77D1CDA8    E8 D0FEFFFF     call    77D1CC7D
77D1CDAD    5D                 pop     ebp
77D1CDAE    C2  0800        retn     8

 


    可以看到参数被转发到了77D1CC7D了,F7进去看看:

    可以看到77D184D0这个函数的调用得到窗口句柄列表(是一个数组),这里是可以动手脚的,如果FindWindow也用到这个函数的话,那么我们就可以!@#@$$%,那下面看看FindWindow是怎么实现的.

FindWindow

77D2E581  >   8BFF            mov     edi, edi
77D2E583     55               push    ebp
77D2E584    8BEC            mov     ebp, esp
77D2E586    33C0            xor     eax, eax
77D2E588     50               push    eax
77D2E589    FF75 0C         push    dword ptr [ebp + C]                ; 这里传进去的是要寻找窗口的标题
77D2E58C    FF75  08          push    dword ptr [ebp + 8 ]                ; 这里传进去的是要寻找窗口的类名
77D2E58F     50               push    eax
77D2E590     50               push    eax
77D2E591    E8 4CFFFFFF     call    77D2E4E2
77D2E596    5D              pop     ebp
77D2E597    C2  0800          retn     8

77D2E4E2函数里面主要是把窗口标题以及类名转换成Unicode编码,然后这里是关键
77D2E525    FF75  18          push    dword ptr [ebp + 18 ]
77D2E528    FF75 E8         push    dword ptr [ebp - 18 ]               ; 应该是窗口名unicode码。好像是个结构,开始是长度,然后是unicode指针
77D2E52B    FF75 F8         push    dword ptr [ebp - 8 ]                ; 应该是类名unicode码。好像是个结构,开始是长度,然后是unicode指针
77D2E52E    FF75 0C         push    dword ptr [ebp + C]
77D2E531    FF75  08          push    dword ptr [ebp + 8 ]
77D2E534    E8 4CF7FEFF     call    77D1DC85

77D1DC85 ==>
77D1DC85    B8 7A110000     mov     eax, 117A
77D1DC8A    BA 0003FE7F     mov     edx, 7FFE0300
77D1DC8F    FF12            call    [edx]                            ; ntdll.KiFastSystemCall,[edx]  ==  7C92EB8B
77D1DC91    C2  1400          retn     14

7C92EB8B ==>
7C92EB8B  >   8BD4            mov     edx, esp
7C92EB8D    0F34            sysenter

此时堆栈如下
0012E844   77D1DC91  RETURN to USER32.77D1DC91
0012E848   77D2E539  RETURN to USER32.77D2E539 from USER32.77D1DC85
0012E84C    00000000
0012E850    00000000
0012E854   0012E87C 这里指向一个结构,似乎包括unicode长度和unicode字符指针,这里指向 " ToFindClass "
0012E858   0012E86C 这里指向一个结构,似乎包括unicode长度和unicode字符指针,这里指向 " ToFindTitle "
0012E85C    00000000
0012E860   0012ECBC
0012E864   0012E8B8
0012E868    00000000
0012E86C    00180016
0012E870    00182930   UNICODE  " ToFindTitle "
0012E874   0012E86C
0012E878    00000001
0012E87C    00180016
0012E880   0018EFD8  UNICODE  " ToFindClass "


    看来FindWindow最后是到了调用系统中断里面来,可以肯定是在这个系统中断里面完成FindWindow操作的,因为KiFastSystemCall出来以后就开始销毁之前产生的窗口标题和类名的unicode码分配的空间了.这和我以前假设的不一样,但是似乎可以根据ntdll.KiFastSystemCall的中断号来干些坏事,那么我们回头来看EnumWindows更里面是否最终调用了系统中断.

    回顾一下,EnumWindows里面最关键的函数是

77D1CC87     50               push    eax
77D1CC88    FF75  18            push    dword ptr [ebp + 18 ]
77D1CC8B    C745 FC  01000000   mov     dword ptr [ebp - 4 ],  1
77D1CC92    FF75 1C           push    dword ptr [ebp + 1C]
77D1CC95    FF75 0C           push    dword ptr [ebp + C]
77D1CC98    FF75  08            push    dword ptr [ebp + 8 ]
77D1CC9B    E8  65000000        call    77D1CD05                        ; 填充窗口句柄结构,最后一个参数会保存返回的句柄数组,返回值是句柄总数

77D1CD05 ==> 里面有这么一个函数调用
77D1CD31     50               push    eax
77D1CD32     57               push    edi
77D1CD33    FF75 FC         push    dword ptr [ebp - 4 ]
77D1CD36    FF75  14          push    dword ptr [ebp + 14 ]
77D1CD39    FF75  10          push    dword ptr [ebp + 10 ]
77D1CD3C    FF75 0C         push    dword ptr [ebp + C]
77D1CD3F    FF75  08          push    dword ptr [ebp + 8 ]
77D1CD42    E8 3C000000     call    77D1CD83                        ; 最后一个参数会保存返回的句柄数组

77D1CD83  ==>
77D1CD83    B8  38110000     mov     eax,  1138
77D1CD88    BA 0003FE7F    mov     edx, 7FFE0300
77D1CD8D    FF12           call    [edx]                            ; ntdll.KiFastSystemCall
77D1CD8F    C2 1C00        retn    1C


    OK,总算有点成绩了,可见使用的都是系统调用,然后我们看看EnumChildWindows.

     EnumChildWindows的调试结果也类似,最好转到sysenter里面去了.......

    难道最好的屏蔽办法是拦截中断,继续研究......

Hook Windows NT
11-22 2398
Hook API2013年11月16日功能追溯Windows编程的最简单的程序结构,只需要一个消息环。以下展示一个基本的Win32程序,它在开发执行时,会播放Windows 7启动时的使用的音响。#pragma 是VC平台的专用指令,使用它来替代手动设置工程属性,免去手动添加链接所需的LIB库。和普通控制台程序 #pragma comment(lib,"winmm.lib") #include #
FindWindowFindWindowEx、EnumWindowsEnumChildWindows使用详解
lzl_li的专栏
05-30 4324
FindWindow FindWindowEx EnumWindows EnumChildWindows
调用EnumChildWindows来枚举子窗口
milanleon的专栏
02-18 1万+
EnumChildWindows()函数的作用是向父窗口的所有子窗口按顺序的(枚举)调用回调函数。函数原型 BOOL WINAPI EnumChildWindows( HWND hWndParent, //父窗口句柄 WNDENUMPROC lpEnumFunc, //回调函数 LPARAM lParam
获取子窗口句柄EnumChildWindows的威力
qq492066487的专栏
05-11 3268
转自:http://www.ltesting.net/ceshi/ruanjianceshikaifajishu/rjcskfyy/dotnet/2007/0701/113175.html 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明 很早就写过类似spy++和查看密码窗口的东西,一直想给这个小东西再加点特别的。 前段时间对软件安装注
Windows API Hook
热门推荐
friendan的专栏
10-02 3万+
原文地址:http://blog.sina.com.cn/s/blog_628821950100xmuc.html 原文对我的帮助极大,正是因为看了原文,我才学会了HOOK,鉴于原文的排版不是很好, 又没有原工程例子源码下载,因此我决定对其重新整理,文章后面附有我测试时的工程源码下载地址。 注:我测试的环境为Win7+VS2008+MFC -------------------------
FindWindow,FindWindowEx,EnumWindows,EnumChildWindows的用法和区别
u013873761的博客
12-05 1299
FindWindow,FindWindowEx,EnumWindows,EnumChildWindows的用法和区别 FindWindow() HWND FindWindow(LPCSTR lpClassName, LPCSTR lpWindowName); 功能:查找与指定窗口类名和窗口名称相匹配的顶级窗口,这个函数不搜索子窗口。 参数:如果lpClassName为null,将会寻找任何与lpWindowName参数匹配的窗口,如果lpWindowName为NULL,则匹配所有窗口名。 返回值:成功返
FindWindow.rar
05-24
在IT行业中,C#是一种广泛使用的编程语言,尤其在Windows应用程序开发中占据着重要的地位。本主题主要聚焦于如何利用C#的FindWindow方法来实现对...但同时,开发者应当遵循合法、安全和用户体验优先的原则,避免滥用。
c_Programming_running_code_hide_taskbar.rar_Windows编程_C/C++_
08-12
Windows API中,我们可以调用`FindWindow`函数来获取任务栏窗口的句柄,然后使用`ShowWindow`函数来改变其可见性状态。下面是一段简单的示例代码,演示了如何隐藏任务栏: ```cpp #include int main() { // ...
使用FindWindowFindWindowEx函数找窗口和控件程序源代码2023-11-8完整版.zip
最新发布
11-08
Windows编程中,FindWindowFindWindowEx是两个非常重要的API函数,用于定位并操作窗口和窗口中的控件。这两个函数通常被用在自动化测试、系统监控或者自定义应用程序开发中,以实现对其他应用程序界面的控制。在...
FindWindow
09-22
寻找其他窗体控件,用于向本身程序以外的窗体执行操作
EnumHook - 枚举系统钩子
02-10
EnumHook - 枚举系统钩子 有研究或探讨或开源的请加群:37424970 或联系本人MSN或邮箱:zhuseahui@yahoo.com.cn
HOOK小工具(进程、窗口、全局)
12-14
HOOK小工具,可以用进程,窗口,全局注入,本人用进程方法注入了带NP的游戏
EnumWindows 使用以及出现的问题
djimon的专栏
04-11 2922
EnumWindows 用来列举屏幕上所有顶层窗口。MSDN原话:The EnumWindows function enumerates all top-level windows on the screen by passing the handle to each window。函数形式:BOOL EnumWindows( WNDENUMPROC lpEnumFunc, /
Windows HOOK学习(一):简单的IAT HOOK
weixin_42777366的博客
03-27 1154
(若文章有误的请放过,请在留言区告诉我修改一下) 1. 前言 由于毕设项目的需要,从一个毫无基础的小白(只会C语言基础,windows核心编程,汇编都一窍不通,学的很艰难啊),开始慢慢写Hook,记录一下学习过程和成果。 顺便梳理一下学到的知识。 2.准备工作 要学习Hook,当然首先要准备了解一下基础知识和准备编译器啦。 DLL:全名是Dynamic Link Library(动态链接库)。作用...
VB HOOK
林伟
02-21 2592
有关函数指针的知识使用例子可以很好地说明函数指针的用法。首先,看一看 Win32 API 中的 EnumWindows 函数:Declare Function EnumWindows lib "user32" _(ByVal lpEnumFunc as Long, _ByVal lParam as Long ) As LongEnumWindows 是一个枚举函数,它能够列出系统中每一个打开的窗口
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 760
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMes...
C++之枚举窗口进程
我不是萧海哇的博客
11-20 309
【代码】C++之枚举窗口进程。
windows程序窗口
feimashenhua的专栏
09-29 4426
<br />窗口Z次序:表明了重叠窗口堆中窗口的位置,这个窗口堆是按照一个假象的轴定位的,这个轴是从屏幕向外伸展的Z轴,上面的窗口覆盖下面的窗口。<br />Windows系统管理三个独立的Z次序----一个用于顶层窗口、一个用于兄弟窗口、还有一个用于最顶层窗口,最顶层窗口覆盖其他非最顶层窗口,而不管它是不是活动窗口或是前台窗口。应用程序通过设置WS_EX_TOPMOST风格创建最顶层窗口。<br />一般情况下,Windows系统把刚刚创建的窗口放在Z次序的顶部,用户可以通过另外一个窗口来改变Z次序;Wi
区别 FindWindow,FindWindowEx,EnumWindows,EnumChildWindows
jiangqin115的专栏
07-20 1万+
1. FindWindow() HWND FindWindow(LPCSTR lpClassName, LPCSTR lpWindowName); 功能:查找与指定窗口类名和窗口名称相匹配的顶级窗口,这个函数不搜索子窗口。 参数:如果lpClassName为null,将会寻找任何与lpWindowName参数匹配的窗口,如果lpWindowName为NULL,则匹配所有窗口名。 返回值:成
利用VC/MFC源代码获取其他窗口文本的方法
1. 使用Windows API函数FindWindow来获取目标窗口的句柄。 2. 使用GetWindowThreadProcessId获取目标窗口所属进程的ID。 3. 在应用程序中使用SetForegroundWindow函数将目标窗口设置为前台窗口。 4. 使用WM_GETTEXT...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值