百科问答小站 logo
百科问答小站 font logo



hook是钓子的意思,它和钓鱼网站有关系吗? 第1页

  

user avatar   zhu-wang-xiao-miao-o 网友的相关建议: 
      

HOOK,常被翻译成“钩子”,是一种通过劫持函数调用,监视和获取系统消息,来改变程序执行流程,并使其可以执行自己植入的恶意代码的技术。

上面一段可以看作是hook的定义,下面,将介绍些关于HOOK技术更具体的内容。

前言

如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个的消息队列(消息队列的个数取决于进程内包含的线程的个数)。

typedef struct tagMsg
{
HWND hwnd; //接受消息的窗口句柄
UINT message; //消息常量标识符(消息号)
WPARAM wParam;//32位消息特定附加信息
LPARAM lParam;//32位消息特定附加信息
DWORD time; //消息创建时的时间
POINT pt; //消息创建时的光标位置
}MSG;

你在Windows应用程序的调用函数中,常可以看到WaitMessage等对消息队列的处理函数,另外还有诸如此:PeekMessage、GetMessage、GetQueueStatus、WaitMessage、MsgWaitForMultipleObjects以及MsgWaitForMultipleObjectsEx等来对消息队列进行接收和检索。

Windows系统会为每一个正在运行的应用程序保持有一个消息队列。当有事件发生后,Windows并不是将这个激发事件直接送给应用程序,而是先将其翻译成一个Windows消息,然后再把这个消息加入到这个应用程序的消息队列中去。

Windows中的应用程序,需要通过消息循环来接收这些消息,也正是因为Windows消息机制的缘故,我们可以进行消息HOOK,而Windows的HOOK技术,也是一种消息处理机制,一种提供给用户的对Windows运行过程进行干预的消息处理机制,通过钩子程序,Windows将内部流动的消息暴露给用户,使用户能够在消息被窗口管理器分派之前对其进行特殊的处理,比如跟踪消息流程以便进行调试工作。

此外,消息不仅可以在应用内传递,也能在进程间传递,包括应用程序之间、以及应用程序与windows 系统之间。这样的设计,使得一些恶意的木马病毒程序等,可以通过向高权限进程发送特定消息,去提升自己的权限,进而对操作系统造成破坏,或者进行特殊的操作来获取隐私数据。

分类

Windows系统的HOOK技术,大致按照以下方放进行分类。

首先,可以根据其作用范围分为两类:一类是只能获取本进程内某个线程消息的局部钩子(Thread Local Hook),另一类是可以获取当前系统中所有线程消息的全局钩子(Global Hook 或 System Hook)。

其次,也可以根据其作用的权限,分为应用层HOOK和内核层Hook,在 Ring3 层的 Hook机制,称之为应用层 Hook 技术,而在 Ring0 层的Hook机制,则称为内核层 Hook 技术。

Windows用于处理消息的钩子函数,主要是SetWindowsHookEx() 、CallNextHookEx()和UnhookWindowsHookEx()

每当进程消息产生的时候,其会被加入到系统消息队列,然后由操作系统从消息队列中取出消息,将其添加到相应的程序的消息队列中。而HOOK技术则抢先一步,在其被发往应用程序之前,监视到此类函数的调用,并且提前捕获到该消息,随后进行自己预先设定的处理工作。

例如,Inline Hook技术,这属于应用层的注入Hook,通过在内存中找到想要Hook函数地址,并在其之前加入自己构造的跳转指令,紧接着,当被Hook位置执行时,便可以跳转到HOOK技术使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。

再例如,使用API函数SetWindowsHookEx(),这是通过消息机制进行消息Hook(消息Hook)。其把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时,系统就调用与这个Hook关联的Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个Hook子程需要调用CallNextHookEx函数。

在操作系统中安装全局钩子以后,只要进程接收到可以发出钩子的消息后,全局钩子的DLL文件会被操作系统自动或强行加载到该进程中,这里要注意:系统不仅仅是加载挂钩函数,包含其在内的整个DLL都会被载入其中,Windows核心编程第五版中第这部分内容有说明,见下图。

此外,还可以导入地址表来进行HOOK(IAT HOOK,应用层的注入HOOK),地址表是PE文件结构中的一个表结构,Windows加载器定位导入函数是借助可执行文件的导入表来完成的,导入表中存放了所使用的DLL的模块名称及导入的函数名称或函数序号,可以借助修改导入表来完成对关键函数调用的HOOK。

接着还有调试HOOK的方法(调试HOOK),即通过调试方式进行的API钩取函数。

调试器能够逐一执行被调试者的指令,拥有对调试器与内存的所有访问权限。每当被调试者发生调试事件时,OS就会暂停并向调试器报告此事件,调试器做适当处理后,会使被调试进程继续执行。这和HOOK的机制很像,因此攻击者可以伪装成调试器行为进行hook,对目标API入口地址下断点并截获参数内容,之后将其修改至自己构造的跳转指令即可,可以使用DebugActiveProcess(ProcessID)函数来附加到一个进程来进行调试。

此外,还有内核层SSDT Hook(内核层HOOK),SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来对应表。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址,可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块[1],实现内核级的防护手段。

如果,你仔细观察我上面的Windows核心编程截图,你会发现标题是DLL注入和API拦截,没错,HOOK技术还可以被用作DLL注入的手段,通过HOOK将一个DLL注入到另一个进程的地址空间当中去。

hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
//参数1:钩子类型
//参数2:钩子处理函数
//参数3:钩子所在的模块
//参数4:钩子要拦截的线程ID,如果要设置全局钩子,这里允许给0

hook是微软为了保持与16位程序兼容而被迫设计出的一种方式,利用hook可以实现dll的注入。这种方法和利用注册表来注入DLL相比,允许我们在不需要该DLL的时候从该进程地址空间中取消对其的映射。

作用

HOOK技术,常被翻译成“钩子”,通过劫持函数调用,截获监视系统的消息,来改变程序执行流的技术,将程序原有的执行流程改变,更改程序流向,并使其可以执行自己植入代码的技术。

有一种误解在于,把HOOK函数当作是恶意软件的专属技术,当然,这在某种程度上是成立的,例如很多调用NtUserGetAsyncKeyState或者NtUserGetRawInputData来获取用户键盘输入,以此完成自己的密码窃取。

但是,Hook技术也被广泛应用于安全的多个领域,Windows xp及其之前的安全机制,除了靠定期向病毒木马样本库中添加新样本外,还需要辅之以hook关键的系统函数,以方便在用户down文件或者打开exe时查杀木马。此外,早期的杀软,除了被动扫描之外,也还需要主动对一些敏感API进行HOOK监控;有时Windows系统本身及一些相关应用程序,在打补丁时也需要使用Hook技术,可以说这是一把双刃剑吧。

总结

微软在Win 10里设立了Secure ETW通道,安全软件不再需要像以前那样HOOK系统内核来完成对系统内进程的监视而HOOK作为一个比较老的技术,也已经越来越少被提起到了,但这并不妨碍它曾经的光辉岁月,作为一类经典的流行方法,很值得我们去了解。

参考回答:

参考

  1. ^ https://blog.csdn.net/flydragonhero/article/details/61193692



  

相关话题

  个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响? 
  如何快速地想出一个很难猜但是很好记的包含数字字母和符号的密码?邮箱账号除外 
  如何看待国内一些互联网企业因为有墙而强大? 
  现行条件下是否真的无法完全抹除已在电子设备上删除的信息? 
  如何看待0.5元可买到身份匹配的人脸数据?如何才能避免信息泄露? 
  网络安全现在的前景是如何的? 
  如何看待国家网信办对「BOSS直聘」「运满满」「货车帮」实施网络安全审查?透露出什么信号? 
  摄像头的入侵是否可以绕过指示灯(如果有)? 
  在这个机不离手的时代真的有人十几个小时不回信息吗? 
  在北上广深一线城市年薪二十、三十、四十万的信息安全人员的生活状态和从业历程是怎样的? ? 

前一个讨论
一直很热闹的数据库领域,有哪些事情让你感觉眼前一亮?
下一个讨论
如何向孩子解释「为什么太阳能可以发电」?





© 2024-11-21 - tinynew.org. All Rights Reserved.
© 2024-11-21 - tinynew.org. 保留所有权利