防範Windows訊息鉤子的侵入

Windows訊息鉤子一般都很熟悉了。它的用處很多，耳熟能詳的就有——利用鍵盤鉤子擷取目標進程的鍵盤輸入，從而獲得各類密碼以達到不可告人的目的。朋友想讓他的軟體不被別人的全域鉤子監視，有沒有辦法實現呢？答案是肯定的，不過缺陷也是有的。

　　首先簡單看看全域鉤子如何注入別的進程。

　　訊息鉤子是由Win32子系統提供，其核心部分通過NtUserSetWindowsHookEx為使用者提供了設定訊息鉤子的系統服務，使用者通過它註冊全域鉤子。當系統擷取某些事件，比如使用者按鍵，鍵盤driver將掃描碼等傳入win32k的KeyEvent處理函數，處理函數判斷有無相應hook，有則callhook。此時，系統取得Hook對象資訊，若目標進程沒有裝載對應的Dll，則裝載之（利用KeUserModeCallback“調用”使用者常式，它與Apc調用不同，它是仿製中斷返迴環境，其調用是“立即”性質的）。

　　進入使用者態的KiUserCallbackDispatcher後，KiUserCallbackDispatcher根據傳遞的資料擷取所需調用的函數、參數等，隨後調用。針對上面的例子，為裝載hook dll，得到調用的是LoadLibraryExW，隨後進入LdrLoadDll，裝載完畢後返回，後面的步驟就不敘述了。

　　從上面的討論我們可以得出一個最簡單的防侵入方案：在載入hook dll之前hook相應api使得載入失敗，不過有一個缺陷：系統並不會因為一次的失敗而放棄，每次有訊息產生欲call hook時系統都會試圖在你的進程載入dll，這對於效能有些微影響，不過應該感覺不到。剩下一個問題就是不是所有的LoadLibraryExW都應攔截，這個容易解決，比如判斷返回地址。下面給出一個例子片斷，可以添加一些判斷使得某些允許載入的hook dll被載入。

　　這裡hook api使用了微軟的detours庫，可自行修改。 　　

　　以下內容為程式碼: 　　

　　typedef HMODULE (__stdcall *LOADLIB)(

　　LPCWSTR lpwLibFileName,

　　HANDLE hFile,

　　DWORD dwFlags);
　　

　　extern "C" {

　　DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(

　　LPCWSTR lpwLibFileName,

　　HANDLE hFile,

　　DWORD dwFlags),

　　LoadLibraryExW);

　　}
　　

　　ULONG user32 = 0;
　　

　　HMODULE __stdcall Mine_LoadLibraryExW(

　　LPCWSTR lpwLibFileName,

　　HANDLE hFile,

　　DWORD dwFlags)

　　{

　　ULONG addr;
　　

　　_asm mov eax, [ebp+4]

　　_asm mov addr, eax

　　

　　if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))

　　{

　　return 0;

　　}
　　

　　HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (

　　lpwLibFileName,

　　hFile,

　　dwFlags);
　　

　　return res;

　　}
　　

　　BOOL ProcessAttach()

　　{

　　DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,

　　(PBYTE)Mine_LoadLibraryExW);

　　return TRUE;

　　}

　　
　　BOOL ProcessDetach()

　　{

　　DetourRemove((PBYTE)Real_LoadLibraryExW,

　　(PBYTE)Mine_LoadLibraryExW);

　　return TRUE;

　　}
　　

　　CAnti_HookApp::CAnti_HookApp() file://在使用使用者介面服務前調用ProcessAttach

　　{

　　user32 = (ULONG)GetModuleHandle("User32.dll"）;

　　ProcessAttach();

　　}