阻止全局钩子的加载

作者：耿海增

下载源代码

逆风编程精品

开发环境： VC6 Windows XP
测试环境： WindowsXP

　　网上有一篇关于这个问题的文章，题目叫《防止全局钩子的侵入》，作者不祥。文中简单分析了一下钩子的原理，然后使用了微软的Detours库进行API拦截。如果只是为了拦截一个函数，使用Detours好像有点儿浪费。本文不使用Detours库，直接对LoadLibraryExW函数进行拦截。
　　先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子，钩子函数在B.dll中，那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候，系统发现程序A安装了WH_GETMESSAGE的全局钩子，就会检查调用GetMessage的进程是否加载了B.dll，如果没有，就调用LoadLibrary进行加载，然后调用B.dll中的钩子过程。这样，钩子dll就会在所有调用GetMessage的进程中加载。
我们要做的工作，就是在系统调用LoadLibrary的时候让它失败。这样做有两个问题：

1. LoadLibrary函数这一次失败了，下一次系统还是会去尝试加载它。看起来可能会影响效率，但是即使你不让它失败，每次有消息的时候，系统也是会去调用那个钩子过程的，哪种方法更影响效率呢？这就不知道了，呵呵；
2. 怎么知道什么时候让LoadLibrary失败呢？不能都让它失败吧，这样会死的很惨的:(.经过研究发现，正常的加载dll函数调用都是从kernel32.dll中来的，而只有加载钩子过程是在user32.dll中进行的(winxp系统下，以后的不知道是否也是这样)。我们可以判断一下LoadLibrary函数的返回地址，如果是在user32.dll的地址空间，就认为是钩子dll的加载，直接返回0就可以了。

　　然后就来谈谈我们的API拦截。因为user32.dll中是用的LoadLibraryExW来加载钩子dll的，所以我们只需要拦截这么一个函数就可以了。分成三个步骤：

1. 提供一个替代LoadLibraryExW的函数，假设名字叫newLoadLibraryExW，注意，函数原型要和LoadLibraryExW一模一样，本进程内所有对LoadLibraryExW的调用都会转到这儿来；

   
   HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
   
   {
   
   	//获取函数的返回地址参考文章最后的注1
   
   	DWORD dwCaller;
   
   	__asm push dword ptr [ebp 4]
   
   	__asm pop  dword ptr [dwCaller] 
   
   	
   
   	//判断是否是从User32.dll调用的
   
   	//m_dwUser32Low和m_dwUser32Hi保存user32.dll的加载地址的上下限
   
   	if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
   
   	{
   
   	  //TRACE something hint infomation
   
   	  return 0;
   
   	}
   
   	return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
   
   }		

2. 提供一块空间，假设这块空间的起始地址是fakeLoadLibraryExW，把LoadLibraryExW函数前N个字节保存下来，然后再用一个jmp指令跳回（LoadLibraryExW＋N）地址处继续执行，在这里，N取7，具体原因在下边讲；
3. 修改LoadLibraryExW函数的前5个字节，用一个jmp 指令跳到我们的newLoadLibraryExW函数起始处。虽然这里只用了5个字节，但是我们先看一下LoadLibraryExW函数的前两条指令：

//你机器上的版本具体的数字可能和我的不一样

push 34h?//6A 34

push 7C80E288h?//68 88 E2 80 7C

　　一共有7个字节，我们不能只修改前5个字节，然后从fakeLoadLibraryExW函数跳到第6个字节处开始执行，而要跳到第三条指令即第8个字节开始处，这就是上一步N为什么取7的原因。画个图示意一下，修改前：

修改后：

以下是封装的一个类，使用时定义一个该类的全局变量，调用一下PatchLoadLibrary函数即可。

//***********************************************************************************//

//  FileName	: GBlockHookDll.h				                

//  Author	：耿海增								    

//  Date	: 2006.10.07						            

//***********************************************************************************//



#pragma once



#include  
 
本文章更多内容：1 - 2 - 3 - 下一页>>