Win7 SetWindowsHookEx 导致exploer.exe等进程挂掉

cctdbnj 2012-03-06 11:53:53
SetWindowsHookEx(WH_GETMESSAGE, HookProc, g_hInstance, NULL);
在虚拟机的Win7和XP中都是正常的,hook也成功。但在主机的Win7系统就出问题(explorer.exe等进程挂掉,程序结束前任务管理器也挂掉,GetLastError返回0),有知道什么情况的?
...全文
260 12 打赏 收藏 转发到动态 举报
写回复
用AI写文章
12 条回复
切换为时间正序
请发表友善的回复…
发表回复
cctdbnj 2012-03-14
  • 打赏
  • 举报
 回复
谢了,忘了结了。
Lactoferrin 2012-03-07
  • 打赏
  • 举报
 回复
全部代码
cctdbnj 2012-03-07
  • 打赏
  • 举报
 回复
现在用一个很小的程序测试,同样出问题。
g_hInstance是DllMain DLL_PROCESS_ATTACH时传入的hMoudle,至于HookProc里面就直接返回了return CallNextHookEx(g_hHook, nCode, wParam, lParam);
Lactoferrin 2012-03-07
  • 打赏
  • 举报
 回复
还有apihook,这个是容易导致崩溃的,仔细检查
fly4free 2012-03-07
  • 打赏
  • 举报
 回复
我知道的一件事就是:DllMain 会被多次调用。比如,另一个模块(.dll)创建了线程,也会调用的

不知道 g_hInstance = (HINSTANCE)hModule; 放在 switch 语句外面是否有影响。
cctdbnj 2012-03-07
  • 打赏
  • 举报
 回复 


//Dll文件

HHOOK g_hHook = NULL;

HINSTANCE g_hInstance = NULL;

PROC g_oldProc = (PROC)OpenProcess;



typedef HANDLE (WINAPI *OPENPROCESS)(DWORD, BOOL, DWORD); 



HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId)

{

	MessageBox(NULL, "Test", NULL, MB_OK);

	return ((OPENPROCESS)g_oldProc)(dwDesiredAccess, bInheritHandle, dwProcessId);

}



int  InitHook(char *DllName, PROC OldFunAddr, PROC NewFunAddr)

{

	HMODULE lpBase = GetModuleHandle(NULL);

	IMAGE_DOS_HEADER *dosHeader;

	IMAGE_NT_HEADERS *ntHeader;

	dosHeader=(IMAGE_DOS_HEADER*)lpBase;

	ntHeader=(IMAGE_NT_HEADERS32*)((BYTE*)lpBase+dosHeader->e_lfanew);

	IMAGE_IMPORT_DESCRIPTOR *pImportDesc=(IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)lpBase+ntHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

	while(pImportDesc->FirstThunk)

	{

		char* pszDllName = (char*)((BYTE*)lpBase + pImportDesc->Name);

		if(lstrcmpiA(pszDllName, DllName) == 0)

		{

			break;

		}

		pImportDesc++;

	}



	DWORD* lpAddr;

	IMAGE_THUNK_DATA* pThunk = (IMAGE_THUNK_DATA*)((BYTE*)lpBase + pImportDesc->FirstThunk);

	while(pThunk->u1.Function)

	{

		lpAddr = (DWORD*)&(pThunk->u1.Function);

		if(*lpAddr == (DWORD)OldFunAddr)         //位置a

		{	

			DWORD dwOldProtect;

			MEMORY_BASIC_INFORMATION mbi;

			::VirtualQuery(lpAddr, &mbi, sizeof(mbi));

			::VirtualProtect(lpAddr, sizeof(DWORD), PAGE_READWRITE, &dwOldProtect);



			WriteProcessMemory(GetCurrentProcess(),lpAddr, &NewFunAddr, sizeof(DWORD), NULL);



			::VirtualProtect(lpAddr, sizeof(DWORD), dwOldProtect, 0);

		}

		pThunk++;

	}

	return 0;

}



LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam)

{

	return CallNextHookEx(g_hHook, nCode, wParam, lParam);

}



BOOL APIENTRY DllMain(HANDLE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)

{

	g_hInstance = (HINSTANCE)hModule;

	switch (ul_reason_for_call)

	{

	case DLL_PROCESS_ATTACH:

		InitHook("Kernel32.dll", g_oldProc, (PROC)MyOpenProcess);

		break;

	}

    return TRUE;

}



//导出函数

void SetHook(BOOL bSet)

{

	if (bSet)

		g_hHook = SetWindowsHookEx(WH_GETMESSAGE, HookProc, g_hInstance, NULL);

	else

		UnhookWindowsHookEx(g_hHook); 

}



///////////////////////////////////////////////////////////////////////

//主程序

typedef void (*SetHook)(BOOL bSet);



int APIENTRY WinMain(HINSTANCE hInstance,

                     HINSTANCE hPrevInstance,

                     LPSTR     lpCmdLine,

                     int       nCmdShow)

{	

	HMODULE hModule = LoadLibrary("ApiHook.dll");

	if(hModule==NULL)

		return 0;

	

	SetHook SetApiHook = (SetHook)GetProcAddress(hModule, "SetHook");

	if(SetApiHook == NULL)

		return 0;

	

	SetApiHook(TRUE);   //执行后explorer.exe挂掉



	Sleep(60000);

	SetApiHook(FALSE);

	

	return 0;

}
Lactoferrin 2012-03-07
  • 打赏
  • 举报
 回复
因为导出表可能会被合并到.text节,此时就可能和程序指令共用某些页,如果你把保护改成不可执行,那么在尝试执行与导入表共用页的代码就会出错
cctdbnj 2012-03-07
  • 打赏
  • 举报
 回复
[Quote=引用 8 楼 lactoferrin 的回复:]

还有apihook,这个是容易导致崩溃的,仔细检查
[/Quote]

出错点貌似找到了,VirtualProtect()的第三个参数传PAGE_READWRITE在win7下出问题,改成PAGE_EXECUTE_READWRITE 则正常,求解释
cctdbnj 2012-03-07
  • 打赏
  • 举报
 回复
另外还发现InitHook中(上面 位置a 处的if判断没有成立过,while循环只执行过程没有发现OpenProcess,也就是说替换函数地址没有执行。是因为本模块中没有使用到OpenProcess么?)

执行SetApiHook(TRUE)后 explorer.exe挂掉,然后会弹出MessageBox("Test")。
Lactoferrin 2012-03-06
  • 打赏
  • 举报
 回复
你要告诉HookProc,g_hInstance都是怎么来的
仅给个SetWindowsHookEx(WH_GETMESSAGE, HookProc, g_hInstance, NULL);什么都看不出来
cctdbnj 2012-03-06
  • 打赏
  • 举报
 回复
[Quote=引用 1 楼 lactoferrin 的回复:]

别的地方的问题
[/Quote]

会是什么地方,我在公司的电脑和家里的都是Win7,都会出问题。
Lactoferrin 2012-03-06
  • 打赏
  • 举报
 回复
别的地方的问题
DLL注入
机制 DLL注入是向运行中的其他进程强制插入特定DLL文件. 以达到钩取API, 改进程序, 修复BUG等目的. 实现方式 创建远程线程(CreateRemoteThread() API) 使用注册表(AppInit_DLLs值) 消息钩取(SetWindowsHookEx() API) Win10下复现创建远程进程DLL注入notepad.exe ReverseCore这本书中说XP/Win7系统测试通过, 其实在Win10下也可行. 需要注意的坑点 路径填写按Windows的写法, 书中W不能替
Ring3下无驱动移除winlogon.exe进程ctrl+alt+del,win+u,win+l三个系统热键,非屏蔽热键
随手而作,纯粹技术研究,没什么实际意义。打开xuetr,正常情况下.winlogon.exe注册了三个热键。ctrl+alt+del,win+u,win+l三个。这三个键用SetWindowsHookEx()函数,使用键盘钩子也屏蔽不了。我们先把UnregisterSystemH
linux窗口消息全局hook,关于HOOK,如何通过钩子截获指定窗口的所有消息 SetWindowsHookEx demo...
具体使用见demo ,请注意: 32位只能用win32库, 64位 需要用64位 库。64位可以hook64位程序,32位可以hook32位程序;SetWindowsHookEx 第三个参数为HINSTANCE,通过FindWindow找到指定窗口句柄后如何得到该进程的HINSTANCE呢?这个参数应该是你调用SetWindowsHookEx的DLL的模块实例句柄,它可以经由DllMain入口...
Windows锁屏实现
2、上面的HOOK却屏蔽不了Ctrl+Alt+Del,可以挂起winlogon.exe进程,强制它不处理Ctrl+Alt+Del事件。以上,一个简单的锁屏程序就完成了,后面我们就可以再加些为所欲为的功能了,比如开机锁屏,计时锁屏、密码解锁等等。6、第一步的时候保留了一个回车键用来退出锁屏,进程退出的时候注意要取消安装的钩子和恢复winlogon.exe进程。5、启动的时候如果任务管理器在,关掉任务管理器,防止上面的设置失效。1、屏蔽键盘鼠标,利用HOOK封锁键盘和鼠标。
DLL的远程注入技术
转载自: http://blog.csdn.net/bai_bzl/article/details/1801023   一、DLL注入 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。 这样一来,普通的进程管理器就很难发现这种病毒了,而
进程/线程/DLL

15,471

社区成员

49,182

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC 进程/线程/DLL
社区管理员
  • 进程/线程/DLL社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章