The invention discloses a configurable and integrated Hook system and its method under the Windows environment, which involves the field of DLL injection technology, Hook technology and inter process communication technology. This system is: the application subsystem includes an injector unit and a hook unit; an injector unit including injection module and communication module; the hook unit includes inline hook module, import address table vectored exception handling module and hook hook module; hook unit and communication module, the hook unit, has been injected into the sequence of interaction. The method is: create a named pipe; the target process; dynamic link library choose injection; choosing injection mode; the feedback information; the configuration parameters of Hook; the Hook parameter is passed to the hook unit has been injected; we accomplish Hook function to Hook information feedback process. The invention is configurable, and the related process parameters of Hook can be allocated by users. It has the characteristics of easy operation, and can help to intercept enough useful information.
【技术实现步骤摘要】
Windows环境下一种可配置和集成的Hook系统及其方法
本专利技术涉及DLL注入技术、Hook技术和进程间通信
,尤其涉及Windows环境下一种可配置和集成的Hook系统及其方法。
技术介绍
Hook技术作为一种底层、细致的安全技术,从安全防御角度来看,如今常见的安全卫士和电脑管家等应用产品,均在操作系统的内核底层挂钩了许多的内核钩子,监控许多内核函数的调用,与Hook技术的应用有着不可分割的关系。而从攻击的角度来看,Hook技术修改执行流,强制执行自定义函数过程的特点,被许多恶意软件(如木马,外挂等)所利用。但是Hook技术使用时需要多种其它技术作为支撑,比如DLL注入技术、进程间通信技术等,这些技术、流程非常繁琐,普通技术人员很难掌握。由此设计开发一款方便的、适合安全人员使用的Hook工具属技术首创且十分必要。
技术实现思路
本专利技术的目的在于屏蔽Hook技术使用时繁琐的细节,提供Windows环境下一种可配置和集成的Hook系统及其方法,使不熟悉Hook技术的人也能轻松使用Hook技术。本专利技术的目的是这样实现的:通过将DLL注入模块、Hook单元、通信模块集成,并将Hook参数设置成可配置化;同时,在设计实现时提供简单易操作的界面,进一步减少用户的操作难度;用户首先选择需要注入的目标进程,再选择注入的DLL,本系统集成了三种Hook方式,可以根据需要选择对应的Hook方式,而不需要用户自己开发,提高了效率。接着用户可以选择注入方式,本平台集成了三种DLL注入方式,同样可以根据用户需要进行选择;接着根据选择的注入方式配置Hook参数;通信 ...
【技术保护点】
Windows环境下一种可配置和集成的Hook系统,其特征在于:包括目标进程子系统(200),目标进程子系统(200)包括已注入的钩子单元(210);设置有应用程序子系统(100);应用程序子系统(100)包括注入器单元(110)和钩子单元(120);注入器单元(110)包括注入模块(111)和通信模块(112);钩子单元(120)包括内联钩子模块(121)、导入地址表钩子模块(122)和向量化异常处理钩子模块(123);其交互关系是:注入模块(111)、钩子单元(120)、已注入的钩子单元(210)和通信模块(112)依次交互。
【技术特征摘要】
1.Windows环境下一种可配置和集成的Hook系统,其特征在于:包括目标进程子系统(200),目标进程子系统(200)包括已注入的钩子单元(210);设置有应用程序子系统(100);应用程序子系统(100)包括注入器单元(110)和钩子单元(120);注入器单元(110)包括注入模块(111)和通信模块(112);钩子单元(120)包括内联钩子模块(121)、导入地址表钩子模块(122)和向量化异常处理钩子模块(123);其交互关系是:注入模块(111)、钩子单元(120)、已注入的钩子单元(210)和通信模块(112)依次交互。2.按权利要求1所述的Hook系统,其特征在于:所述的注入模块(111)是指一段可以将动态链接库DLL注入到另一个进程的程序,包括选择目标进程(111A)、选择注入的动态链接库(111B)、选择注入方式(111C)和配置钩子函数(111D)。3.按权利要求1所述的Hook系统,其特征在于:所述的通信模块(112)是一段可以进行信息传递和接收的程序,包括命名管道通信(112A),命名管道通信(112A)包括依次进行交互的创建管道、等待连接和进行输入输出I/O操作。4.按权利要求1所述的Hook系统,其特征在于:所述的钩子单元(120)包括彼此独立的内联钩子模块(121)、导入地址表钩子模块(122)和向量化异常处理钩子模块(123);内联钩子模块(121)是指实现了内联钩子完整过程的DLL文件;导入地址表钩子模块(122)是指实现了导入地址表钩子完整过程的DLL...
【专利技术属性】
技术研发人员:张捷晟,曾九天,韩兰胜,田钰杰,付才,余水,肖雄火,田昭,
申请(专利权)人:武汉倚天剑科技有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。