下载本文示例代码
　　　　　　　编辑推荐：VC高级技术专区 　　先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子，钩子函数在B.dll中，那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候，系统发现程序A安装了WH_GETMESSAGE的全局钩子，就会检查调用GetMessage的进程是否加载了B.dll，如果没有，就调用LoadLibrary进行加载，然后调用B.dll中的钩子过程。这样，钩子dll就会在所有调用GetMessage的进程中加载。　　我们要做的工作，就是在系统调用LoadLibrary的时候让它失败。这样做有两个问题： LoadLibrary函数这一次失败了，下一次系统还是会去尝试加载它。看起来可能会影响效率，但是即使你不让它失败，每次有消息的时候，系统也是会去调用那个钩子过程的，哪种方法更影响效率呢？这就不知道了，呵呵； 怎么知道什么时候让LoadLibrary失败呢？不能都让它失败吧，这样会死的很惨的:(.经过研究发现，正常的加载dll函数调用都是从kernel32.dll中来的，而只有加载钩子过程是在user32.dll中进行的(winxp系统下，以后的不知道是否也是这样)。我们可以判断一下LoadLibrary函数的返回地址，如果是在user32.dll的地址空间，就认为是钩子dll的加载，直接返回0就可以了。 　　然后就来谈谈我们的API拦截。因为user32.dll中是用的LoadLibraryExW来加载钩子dll的，所以我们只需要拦截这么一个函数就可以了。分成三个步骤： 提供一个替代LoadLibraryExW的函数，假设名字叫newLoadLibraryExW，注意，函数原型要和LoadLibraryExW一模一样，本进程内所有对LoadLibraryExW的调用都会转到这儿来； HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) { //获取函数的返回地址参考文章最后的注1 DWORD dwCaller; __asm push dword ptr [ebp 4] __asm pop dword ptr [dwCaller] //判断是否是从User32.dll调用的 //m_dwUser32Low和m_dwUser32Hi保存user32.dll的加载地址的上下限 if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi) { //TRACE something hint infomation return 0; } return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags); } 提供一块空间，假设这块空间的起始地址是fakeLoadLibraryExW，把LoadLibraryExW函数前N个字节保存下来，然后再用一个jmp指令跳回（LoadLibraryExW＋N）地址处继续执行，在这里，N取7，具体原因在下边讲； 修改LoadLibraryExW函数的前5个字节，用一个jmp 指令跳到我们的newLoadLibraryExW函数起始处。虽然这里只用了5个字节，但是我们先看一下LoadLibraryExW函数的前两条指令： //你机器上的版本具体的数字可能和我的不一样 push 34h?//6A 34 push 7C80E288h?//68 88 E2 80 7C　　一共有7个字节，我们不能只修改前5个字节，然后从fakeLoadLibraryExW函数跳到第6个字节处开始执行，而要跳到第三条指令即第8个字节开始处，这就是上一步N为什么取7的原因。画个图示意一下，修改前： 　　修改后：　　　以下是封装的一个类，使用时定义一个该类的全局变量，调用一下PatchLoadLibrary函数即可。 //***********************************************************************************// // FileName : GBlockHookDll.h // Author ：耿海增 // Date : 2006.10.07 //***********************************************************************************// #pragma once #include #pragma comment(lib,"psapi.lib") class GBlockHookDll { public: GBlockHookDll() { MODULEINFO user32ModInfo = {0}; //获取user32.dll的加载基址和映象大小 GetModuleInformation(GetCurrentProcess(),GetModuleHandle("user32.dll"),&user32ModInfo,sizeof(user32ModInfo)); m_dwUser32Low = (DWORD)user32ModInfo.lpBaseOfDll; m_dwUser32Hi = (DWORD)user32ModInfo.lpBaseOfDll user32ModInfo.SizeOfImage; } void PatchLoadLibrary() { //LoadLibraryExW //7C801AF1 6A 34 push 34h //7C801AF3 68 88 E2 80 7C push 7C80E288h LPVOID* pfnRaw = (LPVOID*)&rawLoadLibraryExW; LPVOID fnNew = (LPVOID)newLoadLibraryExW; BYTE* fnRaw = (BYTE*)*pfnRaw; //1 save the first 7 bytes const int nFirstBytes = 7; BYTE* fnFake = (BYTE*)fakeLoadLibraryExW; memcpy(fnFake,*pfnRaw,nFirstBytes); fnFake[nFirstBytes] = 0xE9; //jmp to rawAddr nFirstBytes *(UINT32*)(fnFake nFirstBytes 1) = (UINT32)fnRaw nFirstBytes - (UINT32)(fnFake nFirstBytes 5); //2 modify the raw to jmp to fnNew DWORD dwOldProtect = 0; VirtualProtect(fnRaw,nFirstBytes,PAGE_READWRITE,&dwOldProtect); //修改该代码段的属性为可写 *fnRaw = 0xE9; *(UINT32*)(fnRaw 1) = (UINT32)fnNew - (UINT32)(fnRaw 5); VirtualProtect(fnRaw,nFirstBytes,dwOldProtect,0); //3 change the rawPointer *pfnRaw = fnFake; } private: static HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) { //get the return address DWORD dwCaller; __asm push dword ptr [ebp 4] __asm pop dword ptr [dwCaller] if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi) { #ifdef _DEBUG UINT uLenWide = lstrlenW(lpLibFileName); char* pNewChar = new char[uLenWide 1]; memset(pNewChar,0,uLenWide 1); WideCharToMultiByte(CP_ACP,0,lpLibFileName,-1,pNewChar,uLenWide,NULL,NULL); TRACE2(".......................LoadLibrary:return addr 0x%x,%s ",dwCaller,pNewChar); TRACE("Blocked.......................\n"); delete []pNewChar; #endif return 0; } return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags); } private: static DWORD m_dwUser32Low; //user32.dll 的加载基址 static DWORD m_dwUser32Hi; //user32.dll 的加载基址＋ImageSize static BYTE fakeLoadLibraryExW[12]; //save first bytes of the raw function,and jmp back to that function //保存LoadLibraryExW的指针，然后修改为fakeLoadLibraryExW static HMODULE (WINAPI *rawLoadLibraryExW)( LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags ); }; DWORD GBlockHookDll::m_dwUser32Low = 0; DWORD GBlockHookDll::m_dwUser32Hi = 0; BYTE GBlockHookDll::fakeLoadLibraryExW[12] = {0}; HMODULE (WINAPI *GBlockHookDll::rawLoadLibraryExW)(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) = LoadLibraryExW; 　　注1：怎么知道函数的返回地址呢？我们都知道，函数调用的时候，先要把参数入栈，然后把返回地址入栈，这样，在我们的函数里，esp指向的应该就是函数的返回地址了。但是为了返回函数时恢复原来的栈和在函数中方便引用传递的参数，编译器一般都会产生两条指令： 　　　push ebp　　　mov ebp,esp 　　先把ebp入栈，把原来的esp保存在ebp寄存器中，这样，我们的返回地址就是[ebp 4]，第一个参数是[ebp 8],第二个是[ebp 0xC]注2：如果想写一个通用一点儿的API Hook，就不能简单的patch前5个或者前7字节了，需要根据不同的指令分析需要patch多少字节。可以参考微软的 Detours 的实现。 　　　　　　　编辑推荐：VC高级技术专区 　　先说一下全局钩子是怎么进入到我们的程序里来的。假如有个程序A安装了WH_GETMESSAGE的全局钩子，钩子函数在B.dll中，那么当其它程序在调用GetMessage函数从自己的消息队列中取消息的时候，系统发现程序A安装了WH_GETMESSAGE的全局钩子，就会检查调用GetMessage的进程是否加载了B.dll，如果没有，就调用LoadLibrary进行加载，然后调用B.dll中的钩子过程。这样，钩子dll就会在所有调用GetMessage的进程中加载。　　我们要做的工作，就是在系统调用LoadLibrary的时候让它失败。这样做有两个问题： LoadLibrary函数这一次失败了，下一次系统还是会去尝试加载它。看起来可能会影响效率，但是即使你不让它失败，每次有消息的时候，系统也是会去调用那个钩子过程的，哪种方法更影响效率呢？这就不知道了，呵呵； 怎么知道什么时候让LoadLibrary失败呢？不能都让它失败吧，这样会死的很惨的:(.经过研究发现，正常的加载dll函数调用都是从kernel32.dll中来的，而只有加载钩子过程是在user32.dll中进行的(winxp系统下，以后的不知道是否也是这样)。我们可以判断一下LoadLibrary函数的返回地址，如果是在user32.dll的地址空间，就认为是钩子dll的加载，直接返回0就可以了。 　　然后就来谈谈我们的API拦截。因为user32.dll中是用的LoadLibraryExW来加载钩子dll的，所以我们只需要拦截这么一个函数就可以了。分成三个步骤： 提供一个替代LoadLibraryExW的函数，假设名字叫newLoadLibraryExW，注意，函数原型要和LoadLibraryExW一模一样，本进程内所有对LoadLibraryExW的调用都会转到这儿来； HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) { //获取函数的返回地址参考文章最后的注1 DWORD dwCaller; __asm push dword ptr [ebp 4] __asm pop dword ptr [dwCaller] //判断是否是从User32.dll调用的 //m_dwUser32Low和m_dwUser32Hi保存user32.dll的加载地址的上下限 if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi) { //TRACE something hint infomation return 0; } return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags); } 提供一块空间，假设这块空间的起始地址是fakeLoadLibraryExW，把LoadLibraryExW函数前N个字节保存下来，然后再用一个jmp指令跳回（LoadLibraryExW＋N）地址处继续执行，在这里，N取7，具体原因在下边讲； 修改LoadLibraryExW函数的前5个字节，用一个jmp 指令跳到我们的newLoadLibraryExW函数起始处。虽然这里只用了5个字节，但是我们先看一下LoadLibraryExW函数的前两条指令： //你机器上的版本具体的数字可能和我的不一样 push 34h?//6A 34 push 7C80E288h?//68 88 E2 80 7C　　一共有7个字节，我们不能只修改前5个字节，然后从fakeLoadLibraryExW函数跳到第6个字节处开始执行，而要跳到第三条指令即第8个字节开始处，这就是上一步N为什么取7的原因。画个图示意一下，修改前： 　　修改后：　　　以下是封装的一个类，使用时定义一个该类的全局变量，调用一下PatchLoadLibrary函数即可。 //***********************************************************************************// // FileName : GBlockHookDll.h // Author ：耿海增 // Date : 2006.10.07 //***********************************************************************************// #pragma once #include #pragma comment(lib,"psapi.lib") class GBlockHookDll { public: GBlockHookDll() { MODULEINFO user32ModInfo = {0}; //获取user32.dll的加载基址和映象大小 GetModuleInformation(GetCurrentProcess(),GetModuleHandle("user32.dll"),&user32ModInfo,sizeof(user32ModInfo)); m_dwUser32Low = (DWORD)user32ModInfo.lpBaseOfDll; m_dwUser32Hi = (DWORD)user32ModInfo.lpBaseOfDll user32ModInfo.SizeOfImage; } void PatchLoadLibrary() { //LoadLibraryExW //7C801AF1 6A 34 push 34h //7C801AF3 68 88 E2 80 7C push 7C80E288h LPVOID* pfnRaw = (LPVOID*)&rawLoadLibraryExW; LPVOID fnNew = (LPVOID)newLoadLibraryExW; BYTE* fnRaw = (BYTE*)*pfnRaw; //1 save the first 7 bytes const int nFirstBytes = 7; BYTE* fnFake = (BYTE*)fakeLoadLibraryExW; memcpy(fnFake,*pfnRaw,nFirstBytes); fnFake[nFirstBytes] = 0xE9; //jmp to rawAddr nFirstBytes *(UINT32*)(fnFake nFirstBytes 1) = (UINT32)fnRaw nFirstBytes - (UINT32)(fnFake nFirstBytes 5); //2 modify the raw to jmp to fnNew DWORD dwOldProtect = 0; VirtualProtect(fnRaw,nFirstBytes,PAGE_READWRITE,&dwOldProtect); //修改该代码段的属性为可写 *fnRaw = 0xE9; *(UINT32*)(fnRaw 1) = (UINT32)fnNew - (UINT32)(fnRaw 5); VirtualProtect(fnRaw,nFirstBytes,dwOldProtect,0); //3 change the rawPointer *pfnRaw = fnFake; } private: static HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) { //get the return address DWORD dwCaller; __asm push dword ptr [ebp 4] __asm pop dword ptr [dwCaller] if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi) { #ifdef _DEBUG UINT uLenWide = lstrlenW(lpLibFileName); char* pNewChar = new char[uLenWide 1]; memset(pNewChar,0,uLenWide 1); WideCharToMultiByte(CP_ACP,0,lpLibFileName,-1,pNewChar,uLenWide,NULL,NULL); TRACE2(".......................LoadLibrary:return addr 0x%x,%s ",dwCaller,pNewChar); TRACE("Blocked.......................\n"); delete []pNewChar; #endif return 0; } return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags); } private: static DWORD m_dwUser32Low; //user32.dll 的加载基址 static DWORD m_dwUser32Hi; //user32.dll 的加载基址＋ImageSize static BYTE fakeLoadLibraryExW[12]; //save first bytes of the raw function,and jmp back to that function //保存LoadLibraryExW的指针，然后修改为fakeLoadLibraryExW static HMODULE (WINAPI *rawLoadLibraryExW)( LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags ); }; DWORD GBlockHookDll::m_dwUser32Low = 0; DWORD GBlockHookDll::m_dwUser32Hi = 0; BYTE GBlockHookDll::fakeLoadLibraryExW[12] = {0}; HMODULE (WINAPI *GBlockHookDll::rawLoadLibraryExW)(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) = LoadLibraryExW; 　　注1：怎么知道函数的返回地址呢？我们都知道，函数调用的时候，先要把参数入栈，然后把返回地址入栈，这样，在我们的函数里，esp指向的应该就是函数的返回地址了。但是为了返回函数时恢复原来的栈和在函数中方便引用传递的参数，编译器一般都会产生两条指令： 　　　push ebp　　　mov ebp,esp 　　先把ebp入栈，把原来的esp保存在ebp寄存器中，这样，我们的返回地址就是[ebp 4]，第一个参数是[ebp 8],第二个是[ebp 0xC]注2：如果想写一个通用一点儿的API Hook，就不能简单的patch前5个或者前7字节了，需要根据不同的指令分析需要patch多少字节。可以参考微软的 Detours 的实现。 下载本文示例代码


用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载用VC编程阻止全局钩子的加载