Windows 反訊息鉤子（2）

     Windows訊息鉤子一般都很熟悉了。它的用處很多，耳熟能詳的就有——利用鍵盤鉤子擷取目標進程的鍵盤輸入，從而獲得各類密碼以達到不可告人的目的。朋友想讓他的軟體不被別人的全域鉤子監視，有沒有辦法實現呢？答案是肯定的，不過缺陷也是有的。
 

一、全域鉤子如何注入別的進程

      訊息鉤子是由Win32子系統提供，其核心部分通過NtUserSetWindowsHookEx為使用者提供了設定訊息鉤子的系統服務，使用者通過它註冊全域鉤子。當系統擷取某些事件，比如使用者按鍵，鍵盤driver將掃描碼等傳入win32k的KeyEvent處理函數，處理函數判斷有無相應hook，有則callhook。此時，系統取得Hook對象資訊，若目標進程沒有裝載對應的Dll，則裝載之（利用KeUserModeCallback“調用”使用者常式，它與Apc調用不同，它是仿製中斷返迴環境，其調用是“立即”性質的）。
 
    進入使用者態的KiUserCallbackDispatcher後，KiUserCallbackDispatcher根據傳遞的資料擷取所需調用的函數、參數等，隨後調用。針對上面的例子，為裝載hook   dll，得到調用的是LoadLibraryExW，隨後進入LdrLoadDll，裝載完畢後返回，後面的步驟就不敘述了。  

    從上面的討論我們可以得出一個最簡單的防侵入方案：在載入hook   dll之前hook相應api使得載入失敗，不過有一個缺陷：系統並不會因為一次的失敗而放棄，每次有訊息產生欲call   hook時系統都會試圖在你的進程載入dll，這對於效能有些微影響，不過應該感覺不到。剩下一個問題就是不是所有的LoadLibraryExW都應攔截，這個容易解決，比如判斷返回地址。下面給出一個例子片斷，可以添加一些判斷使得某些允許載入的hook   dll被載入。
 
    這裡hook   api使用了微軟的detours庫，可自行修改。  

   
     以下內容為程式碼:  

  typedef   HMODULE   (__stdcall   *LOADLIB)(            LPCWSTR   lpwLibFileName,            HANDLE   hFile,            DWORD   dwFlags);       extern   "C"   {                    DETOUR_TRAMPOLINE(HMODULE   __stdcall   Real_LoadLibraryExW(                                                                                                                      LPCWSTR   lpwLibFileName,                                                                                                                      HANDLE   hFile,                                                                                                                      DWORD   dwFlags),                                                                                                                    LoadLibraryExW);    }       ULONG   user32   =   0;       HMODULE   __stdcall   Mine_LoadLibraryExW(                                                        LPCWSTR   lpwLibFileName,                                                        HANDLE   hFile,                                                        DWORD   dwFlags)    {                    ULONG   addr;                       _asm   mov   eax,   [ebp+4]                    _asm   mov   addr,   eax                       if   ((user32   &   0xFFFF0000)   ==   (addr   &   0xFFFF0000))                    {                                    return   0;                    }                       HMODULE   res   =   (LOADLIB(Real_LoadLibraryExW))   (                                                                                                    lpwLibFileName,                                                                                                    hFile,                                                                                                    dwFlags);                       return   res;    }       BOOL   ProcessAttach()    {                    DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,                                                                      (PBYTE)Mine_LoadLibraryExW);                    return   TRUE;    }       BOOL   ProcessDetach()    {                    DetourRemove((PBYTE)Real_LoadLibraryExW,                                                                        (PBYTE)Mine_LoadLibraryExW);                    return   TRUE;    }       CAnti_HookApp::CAnti_HookApp()     //在使用使用者介面服務前調用ProcessAttach    {                    user32   =   (ULONG)GetModuleHandle("User32.dll"）;                    ProcessAttach();    }   

  WINDOWS核心編程裡的用IAT的APIHOOK是不全面的。  

 ::GetProcAddress(::GetModuleHandle("kernel32.dll"),   "SetWindowsHookA");   

  就可以繞過。  

  APIHOOK最好的方法還是直接修改API進入點的代碼。

  同時HOOK   GetProcAddress   不就行了，但是要是對方使用搜尋PE函數匯出表的話就沒用

  防止IAT型的鉤子我要是對PE檔案的IAT加密，調用時解密調用，就可以了吧（極其複雜）  

  防止jmp型的鉤子我沒想到好辦法  
  防止調試我可以判斷api入口處是否有int3中斷代碼就可以了吧（簡單）

  訊息鉤子的反攔截其實核心是利用API攔截,來取消鉤子攔截.  

  如果API攔截被破解也就是說訊息鉤子反攔截沒有成功.