[主题讨论]如何判断一个全局钩子的调用者-编程技术-看雪-安全社区|安全招聘|kanxue.com

[主题讨论]如何判断一个全局钩子的调用者

发表于: 2005-6-10 10:26 11174

[主题讨论]如何判断一个全局钩子的调用者

monkeycz

2005-6-10 10:26

11174

win32版刚刚成立不久，帖子还不是很多。为了带动这个板块的人气，决定不定期的出一些和编程开发相关的题目供大家讨论

。
同时征订讨论题目，内容需和本版块主题相关，有意者请于RoBa或monkeycz联系。

今天先把第一道题目放上来，希望大家支持

判断一个全局钩子的调用者，如何编程实现？

欢迎大家回帖各抒己见

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

支持

最新回复 (22)
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 2 楼我想如果你找到那个dll这个不难。 2005-6-10 12:31 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 3 楼全局钩子用OD很难拦截，因为相当于起了另外一个线程。可以用SICE拦截到具体hook的函数，然后F12出来看一下是那个DLL干的。如果这个DLL跟系统关系不大，那就转移或者改名，运行一下软件或者重新启动系统，等着报错就知道什么东西调用了这个DLL。或者用SICE在出错提示的地方下断点，观察一下哪个进程调用了这个DLL。 2005-6-10 15:36 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 4 楼是我没有说明白补充一点，需要用编程来实现 2005-6-10 15:46 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 5 楼最初由 monkeycz 发布是我没有说明白补充一点，需要用编程来实现汗……我也以为是手工，手工都不会想揪出木马来是不是 2005-6-10 17:43 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 6 楼最初由 RoBa 发布汗……我也以为是手工，手工都不会想揪出木马来是不是手工很简单啦，IceSword通吃编程的话，我也很关注。 2005-6-10 22:03 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 7 楼编程大概又要跟防范全局钩子挂勾了期待中 2005-6-10 22:17 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼那问题是否应该转换成：如何做到API hook？ 2005-6-11 08:54 0
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 9 楼编程好像没那么简单。没搞清楚到底是要弄清楚钩子的底层机制还是仅仅找出谁调用带钩子函数的那个dll 2005-6-11 08:59 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 10 楼最初由 ForEver 发布编程好像没那么简单。没搞清楚到底是要弄清楚钩子的底层机制还是仅仅找出谁调用带钩子函数的那个dll 对钩子相关的都期待 2005-6-11 10:40 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼最初由 prince 发布那问题是否应该转换成：如何做到API hook？ en...用API hook hook上设置hook的API ? 绕口令真好玩 2005-6-11 11:32 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 12 楼最初由 RoBa 发布 en...用API hook hook上设置hook的API ? 绕口令真好玩应该这么说：用 API hook hook hook API 2005-6-11 11:42 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 13 楼最初由 RoBa 发布 en...用API hook hook上设置hook的API ? 绕口令真好玩 2005-6-11 14:12 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 14 楼 MS的Hook机制中有一个Debug类型的Hook，用这个可以得到和当前Hook相关的东西。然后好像要查询内核才能得到相关的Hook信息。 2005-6-11 20:33 0
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 15 楼从网络上搜来一篇。权当一个开始吧。静观中。防止全局钩子的侵入 Author: pjf(jfpan20000@sina.com) Windows消息钩子一般都很熟悉了。它的用处很多，耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入，从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视，有没有办法实现呢？答案是肯定的，不过缺陷也是有的。首先简单看看全局钩子如何注入别的进程。消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。进入用户态的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等，随后调用。针对上面的例子，为装载hook dll，得到调用的是LoadLibraryExW，随后进入LdrLoadDll，装载完毕后返回，后面的步骤就不叙述了。从上面的讨论我们可以得出一个最简单的防侵入方案：在加载hook dll之前hook相应api使得加载失败，不过有一个缺陷：系统并不会因为一次的失败而放弃，每次有消息产生欲call hook时系统都会试图在你的进程加载dll，这对于性能有些微影响，不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截，这个容易解决，比如判断返回地址。下面给出一个例子片断，可以添加一些判断使得某些允许加载的hook dll被加载。这里hook api使用了微软的detours库，可自行修改。以下内容为程序代码: typedef HMODULE (__stdcall *LOADLIB)( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags); extern "C" { DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags), LoadLibraryExW); } ULONG user32 = 0; HMODULE __stdcall Mine_LoadLibraryExW( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags) { ULONG addr; _asm mov eax, [ebp+4] _asm mov addr, eax if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000)) { return 0; } HMODULE res = (LOADLIB(Real_LoadLibraryExW)) ( lpwLibFileName, hFile, dwFlags); return res; } BOOL ProcessAttach() { DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW, (PBYTE)Mine_LoadLibraryExW); return TRUE; } BOOL ProcessDetach() { DetourRemove((PBYTE)Real_LoadLibraryExW, (PBYTE)Mine_LoadLibraryExW); return TRUE; } CAnti_HookApp::CAnti_HookApp() //在使用用户界面服务前调用ProcessAttach { user32 = (ULONG)GetModuleHandle("User32.dll"）; ProcessAttach(); } 2005-6-12 10:21 0
huoshan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 90 粉丝 0 关注私信	huoshan 16 楼 monkeycz版主应该是问判断一个全局钩子的安装者吧？我也随便问一下，如何安装一个钩子使其一直保持在钩子链的最底层或最顶层钩子链的详细资料哪些书上有详细讲解？ 2005-6-12 16:16 0
zmworm 雪币： 5340 活跃值： (598) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 308 粉丝 10 关注私信	zmworm 4 17 楼地址　0x80000000+　上面有个Hook　Chain　读这个东东就可以 2005-6-12 16:22 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 18 楼最初由 huoshan 发布 monkeycz版主应该是问判断一个全局钩子的安装者吧？我说的是调用者，也就是判断哪个模块调用了钩子。 2005-6-12 17:17 0
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 19 楼方法1:如果能枚举出钩子链，不过好像没有现成的api. 方法2:反汇编分析那个dll,改写那个dll，使用GetModuleFileName得到文件名。 2005-6-13 19:29 0
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 20 楼记得pjf老兄以前写过《防止全局钩子的侵入》一文，原文如下： ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 防止全局钩子的侵入 Author: pjf(jfpan20000@sina.com) Windows消息钩子一般都很熟悉了。它的用处很多，耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入，从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视，有没有办法实现呢？答案是肯定的，不过缺陷也是有的。首先简单看看全局钩子如何注入别的进程。消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。进入用户态的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等，随后调用。针对上面的例子，为装载hook dll，得到调用的是LoadLibraryExW，随后进入LdrLoadDll，装载完毕后返回，后面的步骤就不叙述了。从上面的讨论我们可以得出一个最简单的防侵入方案：在加载hook dll之前hook相应api使得加载失败，不过有一个缺陷：系统并不会因为一次的失败而放弃，每次有消息产生欲call hook时系统都会试图在你的进程加载dll，这对于性能有些微影响，不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截，这个容易解决，比如判断返回地址。下面给出一个例子片断，可以添加一些判断使得某些允许加载的hook dll被加载。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 所以只要HOOK相应的API或者系统调用就可以了。 2005-6-15 13:07 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 21 楼调试论坛的《枚举全局钩子》已经解决了这个主题讨论一块三毛钱，他的每一个帖子都是精华很开心论坛中有这样的高手 2005-6-20 20:36 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 22 楼 Hook API的还没有解决阿 2005-6-22 10:29 0
justnow205 雪币： 77 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	justnow205 23 楼多多学习。。。。。 2005-7-13 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

monkeycz

发帖

552

回帖

460

RANK

关注

私信

他的文章

[原创]百度雪狼引擎逆向分析 47953

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 2 楼我想如果你找到那个dll这个不难。 2005-6-10 12:31 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 3 楼全局钩子用OD很难拦截，因为相当于起了另外一个线程。可以用SICE拦截到具体hook的函数，然后F12出来看一下是那个DLL干的。如果这个DLL跟系统关系不大，那就转移或者改名，运行一下软件或者重新启动系统，等着报错就知道什么东西调用了这个DLL。或者用SICE在出错提示的地方下断点，观察一下哪个进程调用了这个DLL。 2005-6-10 15:36 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 4 楼是我没有说明白补充一点，需要用编程来实现 2005-6-10 15:46 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 5 楼最初由 monkeycz 发布是我没有说明白补充一点，需要用编程来实现汗……我也以为是手工，手工都不会想揪出木马来是不是 2005-6-10 17:43 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 6 楼最初由 RoBa 发布汗……我也以为是手工，手工都不会想揪出木马来是不是手工很简单啦，IceSword通吃编程的话，我也很关注。 2005-6-10 22:03 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 7 楼编程大概又要跟防范全局钩子挂勾了期待中 2005-6-10 22:17 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼那问题是否应该转换成：如何做到API hook？ 2005-6-11 08:54 0
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 9 楼编程好像没那么简单。没搞清楚到底是要弄清楚钩子的底层机制还是仅仅找出谁调用带钩子函数的那个dll 2005-6-11 08:59 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 10 楼最初由 ForEver 发布编程好像没那么简单。没搞清楚到底是要弄清楚钩子的底层机制还是仅仅找出谁调用带钩子函数的那个dll 对钩子相关的都期待 2005-6-11 10:40 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼最初由 prince 发布那问题是否应该转换成：如何做到API hook？ en...用API hook hook上设置hook的API ? 绕口令真好玩 2005-6-11 11:32 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 12 楼最初由 RoBa 发布 en...用API hook hook上设置hook的API ? 绕口令真好玩应该这么说：用 API hook hook hook API 2005-6-11 11:42 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 13 楼最初由 RoBa 发布 en...用API hook hook上设置hook的API ? 绕口令真好玩 2005-6-11 14:12 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 14 楼 MS的Hook机制中有一个Debug类型的Hook，用这个可以得到和当前Hook相关的东西。然后好像要查询内核才能得到相关的Hook信息。 2005-6-11 20:33 0
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 15 楼从网络上搜来一篇。权当一个开始吧。静观中。防止全局钩子的侵入 Author: pjf(jfpan20000@sina.com) Windows消息钩子一般都很熟悉了。它的用处很多，耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入，从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视，有没有办法实现呢？答案是肯定的，不过缺陷也是有的。首先简单看看全局钩子如何注入别的进程。消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。进入用户态的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等，随后调用。针对上面的例子，为装载hook dll，得到调用的是LoadLibraryExW，随后进入LdrLoadDll，装载完毕后返回，后面的步骤就不叙述了。从上面的讨论我们可以得出一个最简单的防侵入方案：在加载hook dll之前hook相应api使得加载失败，不过有一个缺陷：系统并不会因为一次的失败而放弃，每次有消息产生欲call hook时系统都会试图在你的进程加载dll，这对于性能有些微影响，不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截，这个容易解决，比如判断返回地址。下面给出一个例子片断，可以添加一些判断使得某些允许加载的hook dll被加载。这里hook api使用了微软的detours库，可自行修改。以下内容为程序代码: typedef HMODULE (__stdcall *LOADLIB)( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags); extern "C" { DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags), LoadLibraryExW); } ULONG user32 = 0; HMODULE __stdcall Mine_LoadLibraryExW( LPCWSTR lpwLibFileName, HANDLE hFile, DWORD dwFlags) { ULONG addr; _asm mov eax, [ebp+4] _asm mov addr, eax if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000)) { return 0; } HMODULE res = (LOADLIB(Real_LoadLibraryExW)) ( lpwLibFileName, hFile, dwFlags); return res; } BOOL ProcessAttach() { DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW, (PBYTE)Mine_LoadLibraryExW); return TRUE; } BOOL ProcessDetach() { DetourRemove((PBYTE)Real_LoadLibraryExW, (PBYTE)Mine_LoadLibraryExW); return TRUE; } CAnti_HookApp::CAnti_HookApp() //在使用用户界面服务前调用ProcessAttach { user32 = (ULONG)GetModuleHandle("User32.dll"）; ProcessAttach(); } 2005-6-12 10:21 0
huoshan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 90 粉丝 0 关注私信	huoshan 16 楼 monkeycz版主应该是问判断一个全局钩子的安装者吧？我也随便问一下，如何安装一个钩子使其一直保持在钩子链的最底层或最顶层钩子链的详细资料哪些书上有详细讲解？ 2005-6-12 16:16 0
zmworm 雪币： 5340 活跃值： (598) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 308 粉丝 10 关注私信	zmworm 4 17 楼地址　0x80000000+　上面有个Hook　Chain　读这个东东就可以 2005-6-12 16:22 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 18 楼最初由 huoshan 发布 monkeycz版主应该是问判断一个全局钩子的安装者吧？我说的是调用者，也就是判断哪个模块调用了钩子。 2005-6-12 17:17 0
ForEver 雪币： 343 活跃值： (611) 能力值： ( LV9，RANK：810 ) 在线值：发帖 28 回帖 361 粉丝 0 关注私信	ForEver 20 19 楼方法1:如果能枚举出钩子链，不过好像没有现成的api. 方法2:反汇编分析那个dll,改写那个dll，使用GetModuleFileName得到文件名。 2005-6-13 19:29 0
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 20 楼记得pjf老兄以前写过《防止全局钩子的侵入》一文，原文如下： ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 防止全局钩子的侵入 Author: pjf(jfpan20000@sina.com) Windows消息钩子一般都很熟悉了。它的用处很多，耳熟能详的就有――利用键盘钩子获取目标进程的键盘输入，从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视，有没有办法实现呢？答案是肯定的，不过缺陷也是有的。首先简单看看全局钩子如何注入别的进程。消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。进入用户态的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等，随后调用。针对上面的例子，为装载hook dll，得到调用的是LoadLibraryExW，随后进入LdrLoadDll，装载完毕后返回，后面的步骤就不叙述了。从上面的讨论我们可以得出一个最简单的防侵入方案：在加载hook dll之前hook相应api使得加载失败，不过有一个缺陷：系统并不会因为一次的失败而放弃，每次有消息产生欲call hook时系统都会试图在你的进程加载dll，这对于性能有些微影响，不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截，这个容易解决，比如判断返回地址。下面给出一个例子片断，可以添加一些判断使得某些允许加载的hook dll被加载。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 所以只要HOOK相应的API或者系统调用就可以了。 2005-6-15 13:07 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 21 楼调试论坛的《枚举全局钩子》已经解决了这个主题讨论一块三毛钱，他的每一个帖子都是精华很开心论坛中有这样的高手 2005-6-20 20:36 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 22 楼 Hook API的还没有解决阿 2005-6-22 10:29 0
justnow205 雪币： 77 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	justnow205 23 楼多多学习。。。。。 2005-7-13 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复