WEB开发网
开发学院软件开发VC 用VC编程阻止全局钩子的加载 阅读

用VC编程阻止全局钩子的加载

 2007-03-15 21:52:19 来源:WEB开发网   
核心提示:先说一下全局钩子是怎么进入到我们的程序里来的,假如有个程序A安装了WH_GETMESSAGE的全局钩子,用VC编程阻止全局钩子的加载,钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,然后再用一个jmp指令跳回(LoadLibraryExW+N)地址处继续执行,在这里,

先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子,钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程。这样,钩子dll就会在所有调用GetMessage的进程中加载。

我们要做的工作,就是在系统调用LoadLibrary的时候让它失败。这样做有两个问题:

  • LoadLibrary函数这一次失败了,下一次系统还是会去尝试加载它。看起来可能会影响效率,但是即使你不让它失败,每次有消息的时候,系统也是会去调用那个钩子过程的,哪种方法更影响效率呢?这就不知道了,呵呵;

  • 怎么知道什么时候让LoadLibrary失败呢?不能都让它失败吧,这样会死的很惨的:(.经过研究发现,正常的加载dll函数调用都是从kernel32.dll中来的,而只有加载钩子过程是在user32.dll中进行的(winxp系统下,以后的不知道是否也是这样)。我们可以判断一下LoadLibrary函数的返回地址,如果是在user32.dll的地址空间,就认为是钩子dll的加载,直接返回0就可以了。
  •   然后就来谈谈我们的API拦截。因为user32.dll中是用的LoadLibraryExW来加载钩子dll的,所以我们只需要拦截这么一个函数就可以了。分成三个步骤:

  • 提供一个替代LoadLibraryExW的函数,假设名字叫newLoadLibraryExW,注意,函数原型要和LoadLibraryExW一模一样,本进程内所有对LoadLibraryExW的调用都会转到这儿来;

    HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
    {
    //获取函数的返回地址参考文章最后的注1
    DWORD dwCaller;
    __asm push dword ptr [ebp+4]
    __asm pop dword ptr [dwCaller] 
     
    //判断是否是从User32.dll调用的
    //m_dwUser32Low和m_dwUser32Hi保存user32.dll的加载地址的上下限
    if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
    {
      //TRACE something hint infomation
      return 0;
    }
    return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
    } 

  • 提供一块空间,假设这块空间的起始地址是fakeLoadLibraryExW,把LoadLibraryExW函数前N个字节保存下来,然后再用一个jmp指令跳回(LoadLibraryExW+N)地址处继续执行,在这里,N取7,具体原因在下边讲;

    1 2  下一页
  • Tags:VC 编程 阻止

    编辑录入:爽爽 [复制链接] [打 印]
    赞助商链接