一级毛片免费不卡在线视频,国产日批视频免费在线观看,菠萝菠萝蜜在线视频免费视频,欧美日韩亚洲无线码在线观看,久久精品这里精品,国产成人综合手机在线播放,色噜噜狠狠狠综合曰曰曰,琪琪视频

<dfn id="nb1r4"><dd id="nb1r4"></dd></dfn>

電腦資料

我要投稿投訴建議

怎樣防止全局鉤子入侵 -電腦資料

電腦資料時間：2019-01-01 我要投稿

【www.oriental01.com - 電腦資料】

　　Windows消息鉤子一般都很熟悉了，

怎樣防止全局鉤子入侵

。它的用處很多，耳熟能詳?shù)木陀欣面I盤鉤子獲取目標進程的鍵盤輸入，從而獲得各類密碼以達到不可告人的目的。朋友想讓他的軟件不被別人的全局鉤子監(jiān)視，有沒有辦法實現(xiàn)呢？答案是肯定的，不過缺陷也是有的。

　　首先簡單看看全局鉤子如何注入別的進程。

　　消息鉤子是由Win32子系統(tǒng)提供，其核心部分通過NtUserSetWindowsHookEx為用戶提供了設(shè)置消息鉤子的系統(tǒng)服務(wù)，用戶通過它注冊全局鉤子。當(dāng)系統(tǒng)獲取某些事件，比如用戶按鍵，鍵盤driver將掃描碼等傳入win32k的KeyEvent處理函數(shù)，處理函數(shù)判斷有無相應(yīng)hook，有則callhook。此時，系統(tǒng)取得Hook對象信息，若目標進程沒有裝載對應(yīng)的Dll，則裝載之（利用KeUserModeCallback調(diào)用用戶例程，它與Apc調(diào)用不同，它是仿制中斷返回環(huán)境，其調(diào)用是立即性質(zhì)的）。

　　進入用戶態(tài)的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根據(jù)傳遞的數(shù)據(jù)獲取所需調(diào)用的函數(shù)、參數(shù)等，隨后調(diào)用。針對上面的例子，為裝載hook dll，得到調(diào)用的是LoadLibraryExW，隨后進入LdrLoadDll，裝載完畢后返回，后面的步驟就不敘述了。

　　從上面的討論我們可以得出一個最簡單的防侵入方案：在加載hook dll之前hook相應(yīng)api使得加載失敗，不過有一個缺陷：系統(tǒng)并不會因為一次的失敗而放棄，每次有消息產(chǎn)生欲call hook時系統(tǒng)都會試圖在你的進程加載dll，這對于性能有些微影響，不過應(yīng)該感覺不到。剩下一個問題就是：不是所有的LoadLibraryExW都應(yīng)攔截，這個容易解決，比如判斷返回地址。下面給出一個例子片斷，可以添加一些判斷使得某些允許加載的hook dll被加載。

　　這里hook api使用了微軟的detours庫，可自行修改。

　　以下內(nèi)容為程序代碼:

　　typedef HMODULE (__stdcall *LOADLIB)(

　　LPCWSTR lpwLibFileName,

　　HANDLE hFile,

　　DWORD dwFlags);

　　extern "C" {

　　DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(

　　LPCWSTR lpwLibFileName,

　　HANDLE hFile,

　　DWORD dwFlags),

　　LoadLibraryExW);

　　}

　　ULONG user32 = 0;

　　HMODULE __stdcall Mine_LoadLibraryExW(

　　LPCWSTR lpwLibFileName,

　　HANDLE hFile,

　　DWORD dwFlags)

　　{

　　ULONG addr;

　　_asm mov eax, [ebp+4]

　　_asm mov addr, eax

　　if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))

　　{

　　return 0;

　　}

　　HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (

　　lpwLibFileName,

　　hFile,

　　dwFlags);

　　return res;

　　}

　　BOOL ProcessAttach()

　　{

　　DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,

　　(PBYTE)Mine_LoadLibraryExW);

　　return TRUE;

　　}

　　BOOL ProcessDetach()

　　{

　　DetourRemove((PBYTE)Real_LoadLibraryExW,

　　(PBYTE)Mine_LoadLibraryExW);

　　return TRUE;

　　}

　　CAnti_HookApp::CAnti_HookApp() //在使用用戶界面服務(wù)前調(diào)用ProcessAttach

　　{

　　user32 = (ULONG)GetModuleHandle("User32.dll"）;

　　ProcessAttach();

　　}

相關(guān)文章

最新文章

折半查找算法的實現(xiàn) -電腦資料
回調(diào)函數(shù)應(yīng)用（冒泡排序既排整
thinkphp 關(guān)于iis上面中文參數(shù)亂
自定義SectionAdapter顯示數(shù)據(jù) -
java克隆對象clone()的用法和作
static, enum, 內(nèi)部類與單例模式
Java多線程學(xué)習(xí)（吐血超詳細總結(jié)
Java中幾個容易混淆的相似概念和

推薦文章

<div id="ijr9b"></div>

<menuitem id="ijr9b"></menuitem>