Posted on 2010-07-02 15:18
S.l.e!ep.¢% 閱讀(604)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
??? 1:當編輯框獲得焦點時,定時隨機發送鍵盤消息,當需要獲取輸入的真實密碼時,發送WM_GETTEXT消息.由于隨機發送的鍵盤消息是我們自己發送的,所以我們可以將其與用戶輸入的鍵盤消息分開.
?? ?2:在Windows下加載一個模塊時使用的API是LoadLibrary函數�����,這個函數內部又會調用LoadLibraryEx函數�����,windows底層是UINCODE的,所以應該調用的是LoadLibraryExW�����。如果我們寫的正常程序����,如果調用了LoadLibrary那摩LoadLibraryExW函數的返回地址應該位于Kernel32.dll中�����,或者我們就是直接調用了LoadLibraryExW那摩返回地址應該位于我們的程序中����。但是如果是被裝了鉤子后����,當你按下一個健后,系統會下按鍵焦點程序的地址空間中加載黑客寫的鍵盤記錄模塊��,調用的是LoadLibraryExW,那摩這個函數的返回地址就不是以上的兩種情況了,經我是實驗是位于user32.dll中����。根據這一點我們就可以判斷一個模塊是否為非法加載模塊了.
?? ?具體的實現要用到APIHook技術����?�?梢訦OOKIAT也可以InLineHook.如果是InLineHokk��,在自己寫的HOOk函數中首先獲取[ESP]的值,這個就是返回值了�����。隨后,就拿這個返回值去比較就可以了��。
?? ?3:Windows下的鉤子邏輯上是一個鏈狀的����,一個系統中可以安裝很多的鉤子�����,這些鉤子會形成一個鉤子鏈,先裝的鉤子在最前頭����,前面的鉤子通過調用CallNextHookEx函數將信息傳給后面的鉤子����,如不不調用這個函數那摩鏈子就斷了�����,后面的鉤子永遠互惠獲取信息����。我們不往下傳遞信息��,我們自己處理��,讓下面的鉤子瞪著眼著急去吧。
?? ?具體做法為:我們在我們的程序中裝上局部鉤子,在局部鉤子的回調函數中我們截獲按鍵消息,我們自己存起來,然后再給密碼框發個假消息��,比如按下了A健�����,我們用我們的局部鉤子截獲了A健消息����,我們保存起來����,然后我們給密碼框發個假消息��,就說我們接受到了個B健����,然后不調用那個CallNextHookEx函數��,而是直接返回1����,這樣下面的鉤子函數就不調用了.