[讨论]win7 x86/x64在R3获取系统全局钩子-求助问答-看雪-安全社区|安全招聘|kanxue.com

[讨论]win7 x86/x64在R3获取系统全局钩子

2019-3-18 03:02 4448

[讨论]win7 x86/x64在R3获取系统全局钩子

hixhi

2019-3-18 03:02

4448

最近又开始在windows上写代码了，刚好遇到一个问题，为了防止用户的输入被截取，需要检测当前系统的全局键盘钩子并卸载之，看了不少文章，大都是用ZwQuerySystemInformation和NtQueryObject来搞（肯定在内核搞要好些，只是小菜我现在还不熟练，不敢下手），里面涉及到的结构体，貌似大多数都不是公开的，特别是有一个叫做SystemHandleInformation的东西，看了头文件，并没有这个功能号，网上也找了些代码瞅了瞅，实践了下，但是都不怎么理想，所以想问问坛子里的大佬，这种情况下，除开在kernel里面，在R3还有办法么？如果是在内核里面搞，该是怎么个思路呢？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

点赞・0

打赏

最新回复 (18)
黑洛雪币： 6124 活跃值： (4151) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2019-3-18 05:10 2 楼 0 哎，你怎么知道这个钩子，是合法还是非法的呢？不如降权
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 231 粉丝 49 关注私信	冰雄 2019-3-18 08:26 3 楼 0 没有驱动防不了键盘监控
半个大西瓜雪币： 1449 活跃值： (642) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 20 粉丝 6 关注私信	半个大西瓜 2019-3-18 09:33 4 楼 0 有驱动也防不了键盘监控，这些结构可以去参考WRK的代码
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 10:46 5 楼 0 黑洛哎，你怎么知道这个钩子，是合法还是非法的呢？不如降权合法非法这个还是不好说，但是出于自身的安全问题，把我自己的放在他的上面，这个应该没问题吧。。擦，怎么没发引用@黑洛
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 10:47 6 楼 0 冰雄没有驱动防不了键盘监控我的想法是先检测了，在说防御的问题请大佬指点
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 10:48 7 楼 0 wx_寻找清鸟有驱动也防不了键盘监控，这些结构可以去参考WRK的代码暂时没考虑在驱动层搞哈，就现在上层把工作做好了
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2019-3-18 13:29 8 楼 0 你说的那些R3方法都是他们扯淡的全局消息钩子仅在内核有私有结构，并且win10上面变动很大，如果你用TA（WIN64AST）的代码，那么win10上面你会死的很惨 win10怎么办？自己老老实实IDA去啊
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-18 14:55 9 楼 0 qq当年的办法，不断给自己的窗体挂全局钩子，全局钩子后挂的先执行，你先执行的时候把消息retrun掉，然后反复的执行这个操作，r3基本这样就可以对付个看书偷代码的小屁孩了，驱动要想搞的话前提是，这个机器只能装你的驱动，假如人家也能加载驱动，不好意思，大家都是驱动谁怕谁啊，假如对方不能加载驱动的话，直接把上层的进程的输入直接交给驱动下发不走消息不就得了，直接驱动模拟键盘输入，你强任你强。
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 22:26 10 楼 0 hzqst 你说的那些R3方法都是他们扯淡的全局消息钩子仅在内核有私有结构，并且win10上面变动很大，如果你用TA（WIN64AST）的代码，那么win10上面你会死的很惨 win10怎么办？自己老老实实I ... 是啊，很多方法，就算在WIN7上都未必行得通，还是老老实实IDA吧。按说前两年的方式，应该变化没这么大才对，但是我咋感觉我脱节了呢
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 22:27 11 楼 0 crackJ qq当年的办法，不断给自己的窗体挂全局钩子，全局钩子后挂的先执行，你先执行的时候把消息retrun掉，然后反复的执行这个操作，r3基本这样就可以对付个看书偷代码的小屁孩了，驱动要想搞的话前提是，这个机 ... 这个注意感觉还比较合适，整个定时器，我也不停的挂钩子，内核这一层倒是有些思路，几年不写，连配置驱动开发环境都觉得头大，真是醉了
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-21 02:56 12 楼 0 已经找到在R3下卸载其他钩子的办法。思路是通过desktop workstation,找到当前桌面的线程，然后获取到gSharedInfo，TEB，Win32ClientInfo->pDeskInfo,之后，就可以进行遍历当前系统的钩子了。。
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2019-3-21 07:58 13 楼 0 kongfubull 已经找到在R3下卸载其他钩子的办法。思路是通过desktop workstation,找到当前桌面的线程，然后获取到gSharedInfo，TEB，Win32ClientInfo->pDeskI ... gSharedInfo是只读的你R3怎么卸载
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-21 11:56 14 楼 0 hzqst gSharedInfo是只读的你R3怎么卸载 gSharedInfo只是内核的一个拷贝，导出了而已，虽说是在R3拿到的，但是仍然可以在R3用unhook进行卸载。我的理解是，钩子虽然是系统在维护，但是这种东西，既然在可以R3创建，那么也应该可以销毁。这个只是我的理解哈，我经过测试，确实很OK
雨林其萌-妮児雪币： 223 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	雨林其萌-妮児 2019-3-25 00:55 15 楼 0 我就是来学习的~！
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2019-3-25 03:42 16 楼 0 检测可以在R3搞，卸载必须R0
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-26 11:58 17 楼 0 大家貌似都不信啊，放出github地址，原汁原味的，https://github.com/jay/gethooks,别说我藏私啊，注意分支最后于 2019-3-26 11:59 被hixhi编辑，原因：
hhkqqs 雪币： 11350 活跃值： (4934) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 162 粉丝 39 关注私信	hhkqqs 1 2019-4-15 16:08 18 楼 0 kongfubull 大家貌似都不信啊，放出github地址，原汁原味的，https://github.com/jay/gethooks,别说我藏私啊，注意分支楼主，核心思路是不是系统会给每个进程映射钩子内核结构体信息到内存，地址等于内核地址减去ulClientDelta?
Ratin 雪币： 1541 活跃值： (1855) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 34 粉丝 10 关注私信	Ratin 2019-5-8 19:08 19 楼 0 头文件里找不到，就去WDK和NTDDK里找哦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

hixhi

发帖

262

回帖

RANK

关注

私信

他的文章

有做过VSAN数据恢复的同学么

[讨论]hook python dunder methods

[求助]windbg无法加载调试符号了

[讨论]现在搞web安全还来得及吗？有必要吗？

[讨论]win7 x86/x64在R3获取系统全局钩子

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
黑洛雪币： 6124 活跃值： (4151) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2019-3-18 05:10 2 楼 0 哎，你怎么知道这个钩子，是合法还是非法的呢？不如降权
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 231 粉丝 49 关注私信	冰雄 2019-3-18 08:26 3 楼 0 没有驱动防不了键盘监控
半个大西瓜雪币： 1449 活跃值： (642) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 20 粉丝 6 关注私信	半个大西瓜 2019-3-18 09:33 4 楼 0 有驱动也防不了键盘监控，这些结构可以去参考WRK的代码
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 10:46 5 楼 0 黑洛哎，你怎么知道这个钩子，是合法还是非法的呢？不如降权合法非法这个还是不好说，但是出于自身的安全问题，把我自己的放在他的上面，这个应该没问题吧。。擦，怎么没发引用@黑洛
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 10:47 6 楼 0 冰雄没有驱动防不了键盘监控我的想法是先检测了，在说防御的问题请大佬指点
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 10:48 7 楼 0 wx_寻找清鸟有驱动也防不了键盘监控，这些结构可以去参考WRK的代码暂时没考虑在驱动层搞哈，就现在上层把工作做好了
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2019-3-18 13:29 8 楼 0 你说的那些R3方法都是他们扯淡的全局消息钩子仅在内核有私有结构，并且win10上面变动很大，如果你用TA（WIN64AST）的代码，那么win10上面你会死的很惨 win10怎么办？自己老老实实IDA去啊
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-18 14:55 9 楼 0 qq当年的办法，不断给自己的窗体挂全局钩子，全局钩子后挂的先执行，你先执行的时候把消息retrun掉，然后反复的执行这个操作，r3基本这样就可以对付个看书偷代码的小屁孩了，驱动要想搞的话前提是，这个机器只能装你的驱动，假如人家也能加载驱动，不好意思，大家都是驱动谁怕谁啊，假如对方不能加载驱动的话，直接把上层的进程的输入直接交给驱动下发不走消息不就得了，直接驱动模拟键盘输入，你强任你强。
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 22:26 10 楼 0 hzqst 你说的那些R3方法都是他们扯淡的全局消息钩子仅在内核有私有结构，并且win10上面变动很大，如果你用TA（WIN64AST）的代码，那么win10上面你会死的很惨 win10怎么办？自己老老实实I ... 是啊，很多方法，就算在WIN7上都未必行得通，还是老老实实IDA吧。按说前两年的方式，应该变化没这么大才对，但是我咋感觉我脱节了呢
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-18 22:27 11 楼 0 crackJ qq当年的办法，不断给自己的窗体挂全局钩子，全局钩子后挂的先执行，你先执行的时候把消息retrun掉，然后反复的执行这个操作，r3基本这样就可以对付个看书偷代码的小屁孩了，驱动要想搞的话前提是，这个机 ... 这个注意感觉还比较合适，整个定时器，我也不停的挂钩子，内核这一层倒是有些思路，几年不写，连配置驱动开发环境都觉得头大，真是醉了
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-21 02:56 12 楼 0 已经找到在R3下卸载其他钩子的办法。思路是通过desktop workstation,找到当前桌面的线程，然后获取到gSharedInfo，TEB，Win32ClientInfo->pDeskInfo,之后，就可以进行遍历当前系统的钩子了。。
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2019-3-21 07:58 13 楼 0 kongfubull 已经找到在R3下卸载其他钩子的办法。思路是通过desktop workstation,找到当前桌面的线程，然后获取到gSharedInfo，TEB，Win32ClientInfo->pDeskI ... gSharedInfo是只读的你R3怎么卸载
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-21 11:56 14 楼 0 hzqst gSharedInfo是只读的你R3怎么卸载 gSharedInfo只是内核的一个拷贝，导出了而已，虽说是在R3拿到的，但是仍然可以在R3用unhook进行卸载。我的理解是，钩子虽然是系统在维护，但是这种东西，既然在可以R3创建，那么也应该可以销毁。这个只是我的理解哈，我经过测试，确实很OK
雨林其萌-妮児雪币： 223 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	雨林其萌-妮児 2019-3-25 00:55 15 楼 0 我就是来学习的~！
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2019-3-25 03:42 16 楼 0 检测可以在R3搞，卸载必须R0
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2019-3-26 11:58 17 楼 0 大家貌似都不信啊，放出github地址，原汁原味的，https://github.com/jay/gethooks,别说我藏私啊，注意分支最后于 2019-3-26 11:59 被hixhi编辑，原因：
hhkqqs 雪币： 11350 活跃值： (4934) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 162 粉丝 39 关注私信	hhkqqs 1 2019-4-15 16:08 18 楼 0 kongfubull 大家貌似都不信啊，放出github地址，原汁原味的，https://github.com/jay/gethooks,别说我藏私啊，注意分支楼主，核心思路是不是系统会给每个进程映射钩子内核结构体信息到内存，地址等于内核地址减去ulClientDelta?
Ratin 雪币： 1541 活跃值： (1855) 能力值： ( LV4，RANK：40 ) 在线值：发帖 7 回帖 34 粉丝 10 关注私信	Ratin 2019-5-8 19:08 19 楼 0 头文件里找不到，就去WDK和NTDDK里找哦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复