Windows 反讯息钩子（2）

Windows 反消息钩子（2）
     Windows消息钩子一般都很熟悉了。它的用处很多，耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入，从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视，有没有办法实现呢？答案是肯定的，不过缺陷也是有的。  

一、全局钩子如何注入别的进程      消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。  
    进入用户态的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等，随后调用。针对上面的例子，为装载hook   dll，得到调用的是LoadLibraryExW，随后进入LdrLoadDll，装载完毕后返回，后面的步骤就不叙述了。  
    从上面的讨论我们可以得出一个最简单的防侵入方案：在加载hook   dll之前hook相应api使得加载失败，不过有一个缺陷：系统并不会因为一次的失败而放弃，每次有消息产生欲call   hook时系统都会试图在你的进程加载dll，这对于性能有些微影响，不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截，这个容易解决，比如判断返回地址。下面给出一个例子片断，可以添加一些判断使得某些允许加载的hook   dll被加载。  
    这里hook   api使用了微软的detours库，可自行修改。  
   
     以下内容为程序代码:  

 ::GetProcAddress(::GetModuleHandle("kernel32.dll"),   "SetWindowsHookA");   

  就可以绕过。  
  APIHOOK最好的方法还是直接修改API入口点的代码。

  同时HOOK   GetProcAddress   不就行了，但是要是对方使用搜索PE函数导出表的话就没用

  防止IAT型的钩子我要是对PE文件的IAT加密，调用时解密调用，就可以了吧（极其复杂）  
  防止jmp型的钩子我没想到好办法  
  防止调试我可以判断api入口处是否有int3中断代码就可以了吧（简单）

  消息钩子的反拦截其实核心是利用API拦截,来取消钩子拦截.  
  如果API拦截被破解也就是说消息钩子反拦截没有成功.