PS:明天上午,非常郁闷,有很多简单基础的问题搞得我有些迷茫,哎,代码几天不写就忘。目前又不当COO,还是得用心记代码哦!
很久以前就道知可以应用LoadLibraryExW来避免全局钩子入侵,说实话直一很恶感消息钩子。经曾想过在驱动层通过过hook NtUserSetWindowsHookEx来避免,但是我们是不并很好分区钩子不是不意恶的,而且windows统系本身也会应用,还有就是驱动层很多安全软件和rootkit都盯上了,稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibraryExW的,我也想尽可能的保护好自己的程序,经过我亲身测试发当初win32非mfc程序hook这个函数很效有,mfc程序的debug本版也是没有问题,但是在mfc的release本版却失效了,后来意注到了内联汇编,我想多是被编译器化优了。曾向利用__declspec(naked)制止对内联汇编的化优,但是应用了__declspec(naked)以后我们不能应用return。经过很多折挫还是没能终最处理,如果有手高道知的话,点指一下,感谢。明天重要利用LoadLibraryExW滤过特定的dll,以下例子是"hook.dll"。
代码如下:
AntiHook.h:
#ifndef _H_ANTIHOOK_
#define _H_ANTIHOOK_
#include "detours.h"
#pragma comment(lib,"detours")
typedef HMODULE (WINAPI* LoadLibraryExW_t)(LPCWSTR,HANDLE,DWORD);
HMODULE WINAPI NewLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags);
class CAntiHook
{
public:
CAntiHook()
{
Hook();
}
~CAntiHook()
{
UnHook();
}
private:
void Hook()
{
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
LoadLibrary("kernel32.dll");
OldLoadLibraryExW = (LoadLibraryExW_t)GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryExW");
if (OldLoadLibraryExW != NULL)
DetourAttach(&(PVOID&)OldLoadLibraryExW,NewLoadLibraryExW);
DetourTransactionCommit();
}
void UnHook()
{
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
if (OldLoadLibraryExW != NULL)
DetourDetach(&(PVOID&)OldLoadLibraryExW,NewLoadLibraryExW);
DetourTransactionCommit();
}
public:
static LoadLibraryExW_t OldLoadLibraryExW;
};
HMODULE WINAPI NewLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
{
if (wcsstr(lpLibFileName,L"hook.dll") != NULL)
return 0;
return CAntiHook::OldLoadLibraryExW(lpLibFileName,hFile,dwFlags);
}
#endif
CAntiHook.cpp:
#include "StdAfx.h"
#include "AntiHook.h"
LoadLibraryExW_t CAntiHook::OldLoadLibraryExW = NULL;
应用时只要在全局定义CAntihook实例以可就了。
文章结束给大家分享下程序员的一些笑话语录:
古鸽是一种搜索隐禽,在中国快绝迹了…初步的研究表明,古鸽的离去,很可能导致另一种长着熊爪,酷似古鸽,却又习性不同的猛禽类——犤毒鸟