Chinaunix首页 | 论坛 | 博客
  • 博客访问: 589151
  • 博文数量: 752
  • 博客积分: 40000
  • 博客等级: 大将
  • 技术积分: 5005
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-13 14:47
文章分类

全部博文(752)

文章存档

2011年(1)

2008年(751)

我的朋友

分类:

2008-10-13 16:48:44

阻止全局钩子的加载

作者:




开发环境: VC6 Windows XP
测试环境: WindowsXP

  网上有一篇关于这个问题的文章,题目叫《防止全局钩子的侵入》,作者不祥。文中简单分析了一下钩子的原理,然后使用了微软的Detours库进行API拦截。如果只是为了拦截一个函数,使用Detours好像有点儿浪费。本文不使用Detours库,直接对LoadLibraryExW函数进行拦截。
  先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子,钩子函数在B.dll中,那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候,系统发现程序A安装了WH_GETMESSAGE的全局钩子,就会检查调用GetMessage的进程是否加载了B.dll,如果没有,就调用LoadLibrary进行加载,然后调用B.dll中的钩子过程。这样,钩子dll就会在所有调用GetMessage的进程中加载。
我们要做的工作,就是在系统调用LoadLibrary的时候让它失败。这样做有两个问题:

  1. LoadLibrary函数这一次失败了,下一次系统还是会去尝试加载它。看起来可能会影响效率,但是即使你不让它失败,每次有消息的时候,系统也是会去调用那个钩子过程的,哪种方法更影响效率呢?这就不知道了,呵呵;
  2. 怎么知道什么时候让LoadLibrary失败呢?不能都让它失败吧,这样会死的很惨的:(.经过研究发现,正常的加载dll函数调用都是从kernel32.dll中来的,而只有加载钩子过程是在user32.dll中进行的(winxp系统下,以后的不知道是否也是这样)。我们可以判断一下LoadLibrary函数的返回地址,如果是在user32.dll的地址空间,就认为是钩子dll的加载,直接返回0就可以了。

  然后就来谈谈我们的API拦截。因为user32.dll中是用的LoadLibraryExW来加载钩子dll的,所以我们只需要拦截这么一个函数就可以了。分成三个步骤:

  1. 提供一个替代LoadLibraryExW的函数,假设名字叫newLoadLibraryExW,注意,函数原型要和LoadLibraryExW一模一样,本进程内所有对LoadLibraryExW的调用都会转到这儿来;
    HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
    {
    	//获取函数的返回地址参考文章最后的注1
    	DWORD dwCaller;
    	__asm push dword ptr [ebp+4]
    	__asm pop  dword ptr [dwCaller] 
    	
    	//判断是否是从User32.dll调用的
    	//m_dwUser32Low和m_dwUser32Hi保存user32.dll的加载地址的上下限
    	if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
    	{
    	  //TRACE something hint infomation
    	  return 0;
    	}
    	return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
    }		
  2. 提供一块空间,假设这块空间的起始地址是fakeLoadLibraryExW,把LoadLibraryExW函数前N个字节保存下来,然后再用一个jmp指令跳回(LoadLibraryExW+N)地址处继续执行,在这里,N取7,具体原因在下边讲;
  3. 修改LoadLibraryExW函数的前5个字节,用一个jmp 指令跳到我们的newLoadLibraryExW函数起始处。虽然这里只用了5个字节,但是我们先看一下LoadLibraryExW函数的前两条指令:
//你机器上的版本具体的数字可能和我的不一样
push 34h?//6A 34
push 7C80E288h?//68 88 E2 80 7C

  一共有7个字节,我们不能只修改前5个字节,然后从fakeLoadLibraryExW函数跳到第6个字节处开始执行,而要跳到第三条指令即第8个字节开始处,这就是上一步N为什么取7的原因。画个图示意一下,修改前:

修改后:

 

以下是封装的一个类,使用时定义一个该类的全局变量,调用一下PatchLoadLibrary函数即可。

//***********************************************************************************//
//  FileName	: GBlockHookDll.h				                
//  Author	:耿海增								    
//  Date	: 2006.10.07						            
//***********************************************************************************//

#pragma once

#include 
#pragma comment(lib,"psapi.lib")

class GBlockHookDll
{
public:
 GBlockHookDll()
 {
  MODULEINFO user32ModInfo = {0};
 
  //获取user32.dll的加载基址和映象大小  
  GetModuleInformation(GetCurrentProcess(),GetModuleHandle("user32.dll"),&user32ModInfo,sizeof(user32ModInfo));
  m_dwUser32Low = (DWORD)user32ModInfo.lpBaseOfDll;
  m_dwUser32Hi = (DWORD)user32ModInfo.lpBaseOfDll+user32ModInfo.SizeOfImage;
 }
 void PatchLoadLibrary()
 {
  //LoadLibraryExW
  //7C801AF1 6A 34                push        34h
  //7C801AF3 68 88 E2 80 7C       push        7C80E288h
  LPVOID* pfnRaw = (LPVOID*)&rawLoadLibraryExW;
  LPVOID fnNew = (LPVOID)newLoadLibraryExW;
  BYTE* fnRaw = (BYTE*)*pfnRaw;
  //1 save the first 7 bytes
  const int nFirstBytes = 7;
  BYTE* fnFake = (BYTE*)fakeLoadLibraryExW;
  memcpy(fnFake,*pfnRaw,nFirstBytes);
  fnFake[nFirstBytes] = 0xE9;  //jmp to rawAddr+nFirstBytes
  *(UINT32*)(fnFake + nFirstBytes+1) = (UINT32)fnRaw+nFirstBytes - (UINT32)(fnFake + nFirstBytes + 5);
  //2 modify the raw to jmp to fnNew
  DWORD dwOldProtect = 0;
  VirtualProtect(fnRaw,nFirstBytes,PAGE_READWRITE,&dwOldProtect); //修改该代码段的属性为可写
  *fnRaw = 0xE9;
  *(UINT32*)(fnRaw+1) = (UINT32)fnNew - (UINT32)(fnRaw + 5);
  VirtualProtect(fnRaw,nFirstBytes,dwOldProtect,0);
  //3 change the rawPointer
  *pfnRaw = fnFake;
 }
private: 
 static HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
 {
  //get the return address
  DWORD dwCaller;
  __asm push dword ptr [ebp+4]
  __asm pop  dword ptr [dwCaller]
  if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
  {
 #ifdef _DEBUG
   UINT uLenWide = lstrlenW(lpLibFileName);
   char* pNewChar = new char[uLenWide + 1];
   memset(pNewChar,0,uLenWide+1);
   WideCharToMultiByte(CP_ACP,0,lpLibFileName,-1,pNewChar,uLenWide,NULL,NULL);
   TRACE2(".......................LoadLibrary:return addr 0x%x,%s ",dwCaller,pNewChar);
   TRACE("Blocked.......................\n");
   delete []pNewChar;
 #endif
   return 0;
  }
  return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
 }
private:
 static DWORD m_dwUser32Low;    //user32.dll 的加载基址
 static DWORD m_dwUser32Hi;    //user32.dll 的加载基址+ImageSize
 static BYTE  fakeLoadLibraryExW[12]; //save first bytes of the raw function,and jmp back to that function
 //保存LoadLibraryExW的指针,然后修改为fakeLoadLibraryExW
 static HMODULE (WINAPI *rawLoadLibraryExW)( LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags );
};
DWORD GBlockHookDll::m_dwUser32Low = 0;
DWORD GBlockHookDll::m_dwUser32Hi  = 0;
BYTE GBlockHookDll::fakeLoadLibraryExW[12] = {0};
HMODULE (WINAPI *GBlockHookDll::rawLoadLibraryExW)(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) = LoadLibraryExW;
注1:怎么知道函数的返回地址呢?我们都知道,函数调用的时候,先要把参数入栈,然后把返回地址入栈,这样,在我们的函数里,esp指向的应该就是函数的返回地址了。但是为了返回函数时恢复原来的栈和在函数中方便引用传递的参数,编译器一般都会产生两条指令:
push ebp
mov ebp,esp

  先把ebp入栈,把原来的esp保存在ebp寄存器中,这样,我们的返回地址就是[ebp+4],第一个参数是[ebp+8],第二个是[ebp+0xC]
注2:如果想写一个通用一点儿的API Hook,就不能简单的patch前5个或者前7字节了,需要根据不同的指令分析需要patch多少字节。可以参考微软的 Detours 的实现。

相关链接:
 
--------------------next---------------------


阅读(250) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~