c++初學(xué)者

【轉(zhuǎn)】阻止全局鉤子的加載

　　網(wǎng)上有一篇關(guān)于這個問題的文章，題目叫《防止全局鉤子的侵入》，作者不祥。文中簡單分析了一下鉤子的原理，然后使用了微軟的Detours庫進(jìn)行API攔截。如果只是為了攔截一個函數(shù)，使用Detours好像有點兒浪費。本文不使用Detours庫，直接對LoadLibraryExW函數(shù)進(jìn)行攔截。
　　先說一下全局鉤子是怎么進(jìn)入到我們的程序里來的。假如有個程序A安裝了WH_GETMESSAGE的全局鉤子，鉤子函數(shù)在B.dll中，那么當(dāng)其它程序在調(diào)用GetMessage函數(shù)從自己的消息隊列中取消息的時候，系統(tǒng)發(fā)現(xiàn)程序A安裝了WH_GETMESSAGE的全局鉤子，就會檢查調(diào)用GetMessage的進(jìn)程是否加載了B.dll，如果沒有，就調(diào)用LoadLibrary進(jìn)行加載，然后調(diào)用B.dll中的鉤子過程。這樣，鉤子dll就會在所有調(diào)用GetMessage的進(jìn)程中加載。
我們要做的工作，就是在系統(tǒng)調(diào)用LoadLibrary的時候讓它失敗。這樣做有兩個問題：

1. LoadLibrary函數(shù)這一次失敗了，下一次系統(tǒng)還是會去嘗試加載它?？雌饋砜赡軙绊懶?，但是即使你不讓它失敗，每次有消息的時候，系統(tǒng)也是會去調(diào)用那個鉤子過程的，哪種方法更影響效率呢？這就不知道了，呵呵；
2. 怎么知道什么時候讓LoadLibrary失敗呢？不能都讓它失敗吧，這樣會死的很慘的:(.經(jīng)過研究發(fā)現(xiàn)，正常的加載dll函數(shù)調(diào)用都是從kernel32.dll中來的，而只有加載鉤子過程是在user32.dll中進(jìn)行的(winxp系統(tǒng)下，以后的不知道是否也是這樣)。我們可以判斷一下LoadLibrary函數(shù)的返回地址，如果是在user32.dll的地址空間，就認(rèn)為是鉤子dll的加載，直接返回0就可以了。

　　然后就來談?wù)勎覀兊腁PI攔截。因為user32.dll中是用的LoadLibraryExW來加載鉤子dll的，所以我們只需要攔截這么一個函數(shù)就可以了。分成三個步驟：

1. 提供一個替代LoadLibraryExW的函數(shù)，假設(shè)名字叫newLoadLibraryExW，注意，函數(shù)原型要和LoadLibraryExW一模一樣，本進(jìn)程內(nèi)所有對LoadLibraryExW的調(diào)用都會轉(zhuǎn)到這兒來；

   HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
       {
       //獲取函數(shù)的返回地址參考文章最后的注1
       DWORD dwCaller;
       __asm push dword ptr [ebp+4]
       __asm pop  dword ptr [dwCaller]
       //判斷是否是從User32.dll調(diào)用的
       //m_dwUser32Low和m_dwUser32Hi保存user32.dll的加載地址的上下限
       if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
       {
       //TRACE something hint infomation
       return 0;
       }
       return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
       }		

2. 提供一塊空間，假設(shè)這塊空間的起始地址是fakeLoadLibraryExW，把LoadLibraryExW函數(shù)前N個字節(jié)保存下來，然后再用一個jmp指令跳回（LoadLibraryExW＋N）地址處繼續(xù)執(zhí)行，在這里，N取7，具體原因在下邊講；
3. 修改LoadLibraryExW函數(shù)的前5個字節(jié)，用一個jmp 指令跳到我們的newLoadLibraryExW函數(shù)起始處。雖然這里只用了5個字節(jié)，但是我們先看一下LoadLibraryExW函數(shù)的前兩條指令：

//你機(jī)器上的版本具體的數(shù)字可能和我的不一樣
push 34h?//6A 34
push 7C80E288h?//68 88 E2 80 7C

　　一共有7個字節(jié)，我們不能只修改前5個字節(jié)，然后從fakeLoadLibraryExW函數(shù)跳到第6個字節(jié)處開始執(zhí)行，而要跳到第三條指令即第8個字節(jié)開始處，這就是上一步N為什么取7的原因。畫個圖示意一下，修改前：

修改后：

　

以下是封裝的一個類，使用時定義一個該類的全局變量，調(diào)用一下PatchLoadLibrary函數(shù)即可。

 

//***********************************************************************************//
//  FileName	: GBlockHookDll.h
//  Author	：耿海增
//  Date	: 2006.10.07
//***********************************************************************************//
#pragma once
#include

#pragma comment(lib,"psapi.lib")
class GBlockHookDll
{
public:
 GBlockHookDll()
 {
  MODULEINFO user32ModInfo = {0};
 
  //獲取user32.dll的加載基址和映象大小  
  GetModuleInformation(GetCurrentProcess(),GetModuleHandle("user32.dll"),&user32ModInfo,sizeof(user32ModInfo));
  m_dwUser32Low = (DWORD)user32ModInfo.lpBaseOfDll;
  m_dwUser32Hi = (DWORD)user32ModInfo.lpBaseOfDll+user32ModInfo.SizeOfImage;
 }
 void PatchLoadLibrary()
 {
  //LoadLibraryExW
  //7C801AF1 6A 34                push        34h
  //7C801AF3 68 88 E2 80 7C       push        7C80E288h
  LPVOID* pfnRaw = (LPVOID*)&rawLoadLibraryExW;
  LPVOID fnNew = (LPVOID)newLoadLibraryExW;
  BYTE* fnRaw = (BYTE*)*pfnRaw;
  //1 save the first 7 bytes
  const int nFirstBytes = 7;
  BYTE* fnFake = (BYTE*)fakeLoadLibraryExW;
  memcpy(fnFake,*pfnRaw,nFirstBytes);
  fnFake[nFirstBytes] = 0xE9;  //jmp to rawAddr+nFirstBytes
  *(UINT32*)(fnFake + nFirstBytes+1) = (UINT32)fnRaw+nFirstBytes - (UINT32)(fnFake + nFirstBytes + 5);
  //2 modify the raw to jmp to fnNew
  DWORD dwOldProtect = 0;
  VirtualProtect(fnRaw,nFirstBytes,PAGE_READWRITE,&dwOldProtect); //修改該代碼段的屬性為可寫
  *fnRaw = 0xE9;
  *(UINT32*)(fnRaw+1) = (UINT32)fnNew - (UINT32)(fnRaw + 5);
  VirtualProtect(fnRaw,nFirstBytes,dwOldProtect,0);
  //3 change the rawPointer
  *pfnRaw = fnFake;
 }
private: 
 static HMODULE WINAPI newLoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags)
 {
  //get the return address
  DWORD dwCaller;
  __asm push dword ptr [ebp+4]
  __asm pop  dword ptr [dwCaller]
  if(dwCaller > m_dwUser32Low && dwCaller < m_dwUser32Hi)
  {
 #ifdef _DEBUG
   UINT uLenWide = lstrlenW(lpLibFileName);
   char* pNewChar = new char[uLenWide + 1];
   memset(pNewChar,0,uLenWide+1);
   WideCharToMultiByte(CP_ACP,0,lpLibFileName,-1,pNewChar,uLenWide,NULL,NULL);
   TRACE2(".......................LoadLibrary:return addr 0x%x,%s ",dwCaller,pNewChar);
   TRACE("Blocked.......................\n");
   delete []pNewChar;
 #endif
   return 0;
  }
  return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
 }
private:
 static DWORD m_dwUser32Low;    //user32.dll 的加載基址
 static DWORD m_dwUser32Hi;    //user32.dll 的加載基址＋I(xiàn)mageSize
 static BYTE  fakeLoadLibraryExW[12]; //save first bytes of the raw function,and jmp back to that function
 //保存LoadLibraryExW的指針，然后修改為fakeLoadLibraryExW
 static HMODULE (WINAPI *rawLoadLibraryExW)( LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags );
};
DWORD GBlockHookDll::m_dwUser32Low = 0;
DWORD GBlockHookDll::m_dwUser32Hi  = 0;
BYTE GBlockHookDll::fakeLoadLibraryExW[12] = {0};
HMODULE (WINAPI *GBlockHookDll::rawLoadLibraryExW)(LPCWSTR lpLibFileName,HANDLE hFile,DWORD dwFlags) = LoadLibraryExW;

注1：怎么知道函數(shù)的返回地址呢？我們都知道，函數(shù)調(diào)用的時候，先要把參數(shù)入棧，然后把返回地址入棧，這樣，在我們的函數(shù)里，esp指向的應(yīng)該就是函數(shù)的返回地址了。但是為了返回函數(shù)時恢復(fù)原來的棧和在函數(shù)中方便引用傳遞的參數(shù)，編譯器一般都會產(chǎn)生兩條指令：

push ebp
mov ebp,esp

　　先把ebp入棧，把原來的esp保存在ebp寄存器中，這樣，我們的返回地址就是[ebp+4]，第一個參數(shù)是[ebp+8],第二個是[ebp+0xC]
注2：如果想寫一個通用一點兒的API Hook，就不能簡單的patch前5個或者前7字節(jié)了，需要根據(jù)不同的指令分析需要patch多少字節(jié)?？梢詤⒖嘉④浀?Detours 的實現(xiàn)。

posted on 2008-09-28 12:24 大海 閱讀(514) 評論(0)  編輯 收藏 引用