百科问答小站 logo
百科问答小站 font logo



hook是钓子的意思,它和钓鱼网站有关系吗? 第1页

  

user avatar   zhu-wang-xiao-miao-o 网友的相关建议: 
      

HOOK,常被翻译成“钩子”,是一种通过劫持函数调用,监视和获取系统消息,来改变程序执行流程,并使其可以执行自己植入的恶意代码的技术。

上面一段可以看作是hook的定义,下面,将介绍些关于HOOK技术更具体的内容。

前言

如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个的消息队列(消息队列的个数取决于进程内包含的线程的个数)。

typedef struct tagMsg
{
HWND hwnd; //接受消息的窗口句柄
UINT message; //消息常量标识符(消息号)
WPARAM wParam;//32位消息特定附加信息
LPARAM lParam;//32位消息特定附加信息
DWORD time; //消息创建时的时间
POINT pt; //消息创建时的光标位置
}MSG;

你在Windows应用程序的调用函数中,常可以看到WaitMessage等对消息队列的处理函数,另外还有诸如此:PeekMessage、GetMessage、GetQueueStatus、WaitMessage、MsgWaitForMultipleObjects以及MsgWaitForMultipleObjectsEx等来对消息队列进行接收和检索。

Windows系统会为每一个正在运行的应用程序保持有一个消息队列。当有事件发生后,Windows并不是将这个激发事件直接送给应用程序,而是先将其翻译成一个Windows消息,然后再把这个消息加入到这个应用程序的消息队列中去。

Windows中的应用程序,需要通过消息循环来接收这些消息,也正是因为Windows消息机制的缘故,我们可以进行消息HOOK,而Windows的HOOK技术,也是一种消息处理机制,一种提供给用户的对Windows运行过程进行干预的消息处理机制,通过钩子程序,Windows将内部流动的消息暴露给用户,使用户能够在消息被窗口管理器分派之前对其进行特殊的处理,比如跟踪消息流程以便进行调试工作。

此外,消息不仅可以在应用内传递,也能在进程间传递,包括应用程序之间、以及应用程序与windows 系统之间。这样的设计,使得一些恶意的木马病毒程序等,可以通过向高权限进程发送特定消息,去提升自己的权限,进而对操作系统造成破坏,或者进行特殊的操作来获取隐私数据。

分类

Windows系统的HOOK技术,大致按照以下方放进行分类。

首先,可以根据其作用范围分为两类:一类是只能获取本进程内某个线程消息的局部钩子(Thread Local Hook),另一类是可以获取当前系统中所有线程消息的全局钩子(Global Hook 或 System Hook)。

其次,也可以根据其作用的权限,分为应用层HOOK和内核层Hook,在 Ring3 层的 Hook机制,称之为应用层 Hook 技术,而在 Ring0 层的Hook机制,则称为内核层 Hook 技术。

Windows用于处理消息的钩子函数,主要是SetWindowsHookEx() 、CallNextHookEx()和UnhookWindowsHookEx()

每当进程消息产生的时候,其会被加入到系统消息队列,然后由操作系统从消息队列中取出消息,将其添加到相应的程序的消息队列中。而HOOK技术则抢先一步,在其被发往应用程序之前,监视到此类函数的调用,并且提前捕获到该消息,随后进行自己预先设定的处理工作。

例如,Inline Hook技术,这属于应用层的注入Hook,通过在内存中找到想要Hook函数地址,并在其之前加入自己构造的跳转指令,紧接着,当被Hook位置执行时,便可以跳转到HOOK技术使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。

再例如,使用API函数SetWindowsHookEx(),这是通过消息机制进行消息Hook(消息Hook)。其把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时,系统就调用与这个Hook关联的Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个Hook子程需要调用CallNextHookEx函数。

在操作系统中安装全局钩子以后,只要进程接收到可以发出钩子的消息后,全局钩子的DLL文件会被操作系统自动或强行加载到该进程中,这里要注意:系统不仅仅是加载挂钩函数,包含其在内的整个DLL都会被载入其中,Windows核心编程第五版中第这部分内容有说明,见下图。

此外,还可以导入地址表来进行HOOK(IAT HOOK,应用层的注入HOOK),地址表是PE文件结构中的一个表结构,Windows加载器定位导入函数是借助可执行文件的导入表来完成的,导入表中存放了所使用的DLL的模块名称及导入的函数名称或函数序号,可以借助修改导入表来完成对关键函数调用的HOOK。

接着还有调试HOOK的方法(调试HOOK),即通过调试方式进行的API钩取函数。

调试器能够逐一执行被调试者的指令,拥有对调试器与内存的所有访问权限。每当被调试者发生调试事件时,OS就会暂停并向调试器报告此事件,调试器做适当处理后,会使被调试进程继续执行。这和HOOK的机制很像,因此攻击者可以伪装成调试器行为进行hook,对目标API入口地址下断点并截获参数内容,之后将其修改至自己构造的跳转指令即可,可以使用DebugActiveProcess(ProcessID)函数来附加到一个进程来进行调试。

此外,还有内核层SSDT Hook(内核层HOOK),SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来对应表。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址,可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块[1],实现内核级的防护手段。

如果,你仔细观察我上面的Windows核心编程截图,你会发现标题是DLL注入和API拦截,没错,HOOK技术还可以被用作DLL注入的手段,通过HOOK将一个DLL注入到另一个进程的地址空间当中去。

hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
//参数1:钩子类型
//参数2:钩子处理函数
//参数3:钩子所在的模块
//参数4:钩子要拦截的线程ID,如果要设置全局钩子,这里允许给0

hook是微软为了保持与16位程序兼容而被迫设计出的一种方式,利用hook可以实现dll的注入。这种方法和利用注册表来注入DLL相比,允许我们在不需要该DLL的时候从该进程地址空间中取消对其的映射。

作用

HOOK技术,常被翻译成“钩子”,通过劫持函数调用,截获监视系统的消息,来改变程序执行流的技术,将程序原有的执行流程改变,更改程序流向,并使其可以执行自己植入代码的技术。

有一种误解在于,把HOOK函数当作是恶意软件的专属技术,当然,这在某种程度上是成立的,例如很多调用NtUserGetAsyncKeyState或者NtUserGetRawInputData来获取用户键盘输入,以此完成自己的密码窃取。

但是,Hook技术也被广泛应用于安全的多个领域,Windows xp及其之前的安全机制,除了靠定期向病毒木马样本库中添加新样本外,还需要辅之以hook关键的系统函数,以方便在用户down文件或者打开exe时查杀木马。此外,早期的杀软,除了被动扫描之外,也还需要主动对一些敏感API进行HOOK监控;有时Windows系统本身及一些相关应用程序,在打补丁时也需要使用Hook技术,可以说这是一把双刃剑吧。

总结

微软在Win 10里设立了Secure ETW通道,安全软件不再需要像以前那样HOOK系统内核来完成对系统内进程的监视而HOOK作为一个比较老的技术,也已经越来越少被提起到了,但这并不妨碍它曾经的光辉岁月,作为一类经典的流行方法,很值得我们去了解。

参考回答:

参考

  1. ^ https://blog.csdn.net/flydragonhero/article/details/61193692



  

相关话题

  媒体称富途、老虎证券在用户信息安全等方面存在风险,富途控股、老虎证券盘前跌超6%,有哪些信息值得关注? 
  什么情况下用私钥加密公钥解密,什么情况下用公钥加密私钥解密? 
  《互联网宗教信息服务管理办法》公布,自明年 3 月 1 日起施行,该政策的实施将会带来哪些改变? 
  垄断性的互联网基础设施是否应该是公有制? 
  AI在网络安全领域(尤其是威胁检测领域),有什么好的应用场景? 
  如何评价手机百度 iOS 版在 2016 年仍在伪装音频程序偷摸后台运行? 
  不太理解预防csrf攻击中的“双提交cookie”是什么意思? 
  有哪些网络安全上的事实,没有一定安全知识的人不会相信? 
  各位自学网络安全的朋友们,你们的路线是什么? 
  当年黑掉腾讯的「朽木事件」是指什么? 

前一个讨论
一直很热闹的数据库领域,有哪些事情让你感觉眼前一亮?
下一个讨论
如何向孩子解释「为什么太阳能可以发电」?





© 2024-11-22 - tinynew.org. All Rights Reserved.
© 2024-11-22 - tinynew.org. 保留所有权利