用VC编程阻止全局钩子的加载
2007-03-15 21:52:19 来源:WEB开发网核心提示:先说一下全局钩子是怎么进入到我们的程序里来的,假如有个程序A安装了WH_GETMESSAGE的全局钩子,用VC编程阻止全局钩子的加载,钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,然后再用一个jmp指令跳回(LoadLibraryExW+N)地址处继续执行,在这里,
先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子,钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程。这样,钩子dll就会在所有调用GetMessage的进程中加载。
我们要做的工作,就是在系统调用LoadLibrary的时候让它失败。这样做有两个问题:
HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
{
//获取函数的返回地址参考文章最后的注1
DWORD dwCaller;
__asm push dword ptr [ebp+4]
__asm pop dword ptr [dwCaller]
//判断是否是从User32.dll调用的
//m_dwUser32Low和m_dwUser32Hi保存user32.dll的加载地址的上下限
if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
{
//TRACE something hint infomation
return 0;
}
return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
}
赞助商链接