| | 网站首页 | 资料中心 | 安盟论坛 | | |
|
|
 |
您现在的位置: 安全联盟 >> 资料中心 >> 木马病毒 >> 文章正文 |  用户登录  新用户注册 |
|
|||||
| 防止全局钩子的侵入 | |||||
作者:admin 文章来源:本站原创 点击数: 更新时间:2007-6-10  |
|||||
|
首先简单看看全局钩子如何注入别的进程。 消息钩子是由win32子系统提供,其核心部分通过ntusersetwindowshookex为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的keyevent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得hook对象信息,若目标进程没有装载对应的dll,则装载之(利用keusermodecallback"调用"用户例程,它与apc调用不同,它是仿制中断返回环境,其调用是"立即"性质的)。 进入用户态的kiusercallbackdispatcher后,kiusercallbackdispatcher根据传递的数据获取所需调用的函数、参数等,随后调用。针对上面的例子,为装载hook dll,得到调用的是loadlibraryexw,随后进入ldrloaddll,装载完毕后返回,后面的步骤就不叙述了。 从上面的讨论我们可以得出一个最简单的防侵入方案:在加载hook dll之前hook相应api使得加载失败,不过有一个缺陷:系统并不会因为一次的失败而放弃,每次有消息产生欲call hook时系统都会试图在你的进程加载dll,这对于性能有些微影响,不过应该感觉不到。剩下一个问题就是不是所有的loadlibraryexw都应拦截,这个容易解决,比如判断返回地址。下面给出一个例子片断,可以添加一些判断使得某些允许加载的hook dll被加载。 这里hook api使用了微软的detours库,可自行修改。 typedef hmodule (__stdcall *loadlib)( lpcwstr lpwlibfilename, handle hfile, dword dwflags); extern "c" { detour_trampoline(hmodule __stdcall real_loadlibraryexw( lpcwstr lpwlibfilename, handle hfile, dword dwflags), loadlibraryexw); } ulong user32 = 0; hmodule __stdcall mine_loadlibraryexw( lpcwstr lpwlibfilename, handle hfile, dword dwflags) { ulong addr; _asm mov eax, [ebp+4] _asm mov addr, eax if ((user32 & 0xffff0000) == (addr & 0xffff0000)) { return 0; } hmodule res = (loadlib(real_loadlibraryexw)) ( lpwlibfilename, hfile, dwflags); return res; } bool processattach() { detourfunctionwithtrampoline((pbyte)real_loadlibraryexw, (pbyte)mine_loadlibraryexw); return true; } bool processdetach() { detourremove((pbyte)real_loadlibraryexw, (pbyte)mine_loadlibraryexw); return true; } canti_hookapp::canti_hookapp() //在使用用户界面服务前调用processattach { user32 = (ulong)getmodulehandle("user32.dll"); processattach(); } |
|||||
| 文章录入:admin 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 友情链接 | ||||||||||||||
|
||||||||||||||
| | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | | |
 |
Copyright © 2006-2007 安全联盟, All Rights Reserved 站长:天 |
