当前位置:   article > 正文

『网络安全科普』Windows安全之HOOK技术机制_windows hook技术有哪些

windows hook技术有哪些

前言

如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

typedef struct tagMsg
{
HWND hwnd; //接受消息的窗口句柄
UINT message; //消息常量标识符(消息号)
WPARAM wParam; //32位消息特定附加信息
LPARAM lParam; //32位消息特定附加信息
DWORD time; //消息创建时的时间
POINT pt; //消息创建时的光标位置
}MSG;

你在Windows应用程序的调用函数中,常可以看到WaitMessage等对消息队列的处理函数,另外还有诸如此:PeekMessage、GetMessage、GetQueueStatus、WaitMessage、MsgWaitForMultipleObjects以及MsgWaitForMultipleObjectsEx等来对消息队列进行接收和检索。

Windows系统会为每一个正在运行的应用程序保持有一个消息队列。当有事件发生后,Windows并不是将这个激发事件直接送给应用程序,而是先将其翻译成一个Windows消息,然后再把这个消息加入到这个应用程序的消息队列中去。

Windows中的应用程序,需要通过消息循环来接收这些消息,也正是因为Windows消息机制的缘故,我们可以进行消息HOOK,而Windows的HOOK技术,也是一种消息处理机制,一种提供给用户的对Windows运行过程进行干预的消息处理机制,通过钩子程序,Windows将内部流动的消息暴露给用户,使用户能够在消息被窗口管理器分派之前对其进行特殊的处理,比如跟踪消息流程以便进行调试工作。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

此外,消息不仅可以在应用内传递,也能在进程间传递,包括应用程序之间、以及应用程序与windows
系统之间。这样的设计,使得一些恶意的木马病毒程序等,可以通过向高权限进程发送特定消息,去提升自己的权限,进而对操作系统造成破坏,或者进行特殊的操作来获取隐私数据。

![](https://img-
blog.csdnimg.cn/img_convert/d972084da32e70256cf82f2fe77dc274.png)

分类

Windows系统的HOOK技术,大致按照以下方放进行分类。

首先,可以根据其作用范围分为两类:一类是只能获取本进程内某个线程消息的局部钩子(Thread Local
Hook),另一类是可以获取当前系统中所有线程消息的全局钩子(Global Hook 或 System Hook)。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

其次,也可以根据其作用的权限,分为应用层HOOK和内核层Hook,在 Ring3 层的 Hook机制,称之为应用层 Hook 技术,而在 Ring0
层的Hook机制,则称为内核层 Hook 技术。

Windows用于处理消息的钩子函数,主要是SetWindowsHookEx()
、CallNextHookEx()和UnhookWindowsHookEx()

每当进程消息产生的时候,其会被加入到系统消息队列,然后由操作系统从消息队列中取出消息,将其添加到相应的程序的消息队列中。而HOOK技术则抢先一步,在其被发往应用程序之前,监视到此类函数的调用,并且提前捕获到该消息,随后进行自己预先设定的处理工作。

例如,Inline
Hook技术,这属于应用层的注入Hook,通过在内存中找到想要Hook函数地址,并在其之前加入自己构造的跳转指令,紧接着,当被Hook位置执行时,便可以跳转到HOOK技术使用者自己编写的执行代码,在其执行完毕后,还原被修改的字节,接着执行正常流程。

再例如,使用API函数SetWindowsHookEx(),这是通过消息机制进行消息Hook(消息Hook)。其把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时,系统就调用与这个Hook关联的Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个Hook子程需要调用CallNextHookEx函数。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

在操作系统中安装全局钩子以后,只要进程接收到可以发出钩子的消息后,全局钩子的DLL文件会被操作系统自动或强行加载到该进程中,这里要注意:系统不仅仅是加载挂钩函数,包含其在内的整个DLL都会被载入其中,Windows核心编程第五版中第这部分内容有说明,见下图。

![](https://img-
blog.csdnimg.cn/img_convert/c28ced37500de790ac6993b261308e63.jpeg)

Windows核心编程第五版 P577,拍摄于2021.12.07

此外,还可以导入地址表来进行HOOK(IAT
HOOK,应用层的注入HOOK),地址表是PE文件结构中的一个表结构,Windows加载器定位导入函数是借助可执行文件的导入表来完成的,导入表中存放了所使用的DLL的模块名称及导入的函数名称或函数序号,可以借助修改导入表来完成对关键函数调用的HOOK。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

接着还有调试HOOK的方法(调试HOOK),即通过调试方式进行的API钩取函数。

![](https://img-
blog.csdnimg.cn/img_convert/68359cee078684338afc3be4156eb592.png)

调试器能够逐一执行被调试者的指令,拥有对调试器与内存的所有访问权限。每当被调试者发生调试事件时,OS就会暂停并向调试器报告此事件,调试器做适当处理后,会使被调试进程继续执行。这和HOOK的机制很像,因此攻击者可以伪装成调试器行为进行hook,对目标API入口地址下断点并截获参数内容,之后将其修改至自己构造的跳转指令即可,可以使用DebugActiveProcess(ProcessID)函数来附加到一个进程来进行调试。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

此外,还有内核层SSDT Hook(内核层HOOK),SSDT 的全称是 System Services Descriptor
Table,系统服务描述符表。这个表是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来对应表。SSDT
并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址,可以对常用 Windows
函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些
HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块,实现内核级的防护手段。

如果,你仔细观察我上面的Windows核心编程截图,你会发现标题是DLL注入和API拦截,没错,HOOK技术还可以被用作DLL注入的手段,通过HOOK将一个DLL注入到另一个进程的地址空间当中去。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

![](https://img-
blog.csdnimg.cn/img_convert/da71ed8187eb601171019d7413545b0f.jpeg)

Windows核心编程第五版 P576,拍摄于2021.12.07

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

![](https://img-
blog.csdnimg.cn/img_convert/a5f0f04d3d272ea883c1c8db8d65dc4f.jpeg)

Windows核心编程第五版 P577,拍摄于2021.12.07

hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT(“dll.dll”)),threadId);
//参数1:钩子类型
//参数2:钩子处理函数
//参数3:钩子所在的模块
//参数4:钩子要拦截的线程ID,如果要设置全局钩子,这里允许给0

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

hook是微软为了保持与16位程序兼容而被迫设计出的一种方式,利用hook可以实现dll的注入。这种方法和利用注册表来注入DLL相比,允许我们在不需要该DLL的时候从该进程地址空间中取消对其的映射。

作用

HOOK技术,常被翻译成“钩子”,通过劫持函数调用,截获监视系统的消息,来改变程序执行流的技术,将程序原有的执行流程改变,更改程序流向,并使其可以执行自己植入代码的技术。

有一种误解在于,把HOOK函数当作是恶意软件的专属技术,当然,这在某种程度上是成立的,例如很多调用NtUserGetAsyncKeyState或者NtUserGetRawInputData来获取用户键盘输入,以此完成自己的密码窃取。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

但是,Hook技术也被广泛应用于安全的多个领域,Windows
xp及其之前的安全机制,除了靠定期向病毒木马样本库中添加新样本外,还需要辅之以hook关键的系统函数,以方便在用户down文件或者打开exe时查杀木马。此外,早期的杀软,除了被动扫描之外,也还需要主动对一些敏感API进行HOOK监控;有时Windows系统本身及一些相关应用程序,在打补丁时也需要使用Hook技术,可以说这是一把双刃剑吧。

总结

微软在Win 10里设立了Secure
ETW通道,安全软件不再需要像以前那样HOOK系统内核来完成对系统内进程的监视**。**而HOOK作为一个比较老的技术,也已经越来越少被提起到了,但这并不妨碍它曾经的光辉岁月,作为一类经典的流行方法,很值得我们去了解。

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

2023届全国高校毕业生预计达到1158万人,就业形势严峻;

国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

在这里插入图片描述

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才
需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

在这里插入图片描述

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全该如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

![在这里插入图片描述](https://img-
blog.csdnimg.cn/99db018f1e864b7cb18cc08ad91f3f75.jpeg)

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在
信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括
内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)
如果你对网络安全入门感兴趣,

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/504739
推荐阅读
相关标签