[发明专利]一种消息钩子防注入方法、装置以及客户端

说明书

本发明提供一种消息钩子防注入的防注入方法、装置及客户端。方法包括如下步骤：加载用户回调分配函数的钩子函数；判断所述钩子函数获取用户回调分配函数返回的内核回调索引是否等于预定数值；若否，调用原有的用户回调分配函数；若是，判断所述钩子函数返回的偏移地址所对应加载的动态链接库是否属于系统白名单；若属于系统白名单，调用原有的用户回调分配函数；若不属于系统白名单，返回系统内核。本发明利用用户回调函数返回的系统内核回调索引，判断是否存在消息钩子注入以及消息钩子注入是否被系统信任。可以拦截所有通过不受信任的消息钩子向客户端应用程序注入的动态链接库，由此提高客户端应用程序的稳定性和安全性。

技术领域

本发明属于系统安全技术领域，具体涉及一种消息钩子防注入方法及装置。

背景技术

钩子(Hook)是Windows中消息处理机制的一个重要手段，通过安装各种钩子，应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。钩子的种类很多，每种钩子可以截获并处理相应的消息，如键盘钩子可以截获键盘消息，鼠标钩子可以截获鼠标消息，外壳钩子可以截获启动和关闭应用程序的消息，日志钩子可以监视和记录输入事件。钩子注入是病毒、木马常有的行为特征之一，病毒或木马程序不仅仅会钩子注入，它还可能修改硬盘文件、篡改注册表、修改主页等。

目前对于消息钩子的注入，都是在驱动层来进行拦截的，例如句柄匹配，这是一种全局拦截的方式，这种方法会增加消息钩子防注入的复杂性，同时其代码的稳定性也有待验证。

发明内容

本发明提出一种消息钩子防注入方法，包括如下步骤：加载用户回调分配函数的钩子函数；判断所述钩子函数获取的第一参数是否等于预定数值，所述第一参数为用户回调分配函数返回的内核回调索引；若否，调用原有的用户回调分配函数；若是，判断所述钩子函数返回的第二参数偏移处所对应加载的动态链接库是否属于系统白名单；若属于系统白名单，调用原有的用户回调分配函数；若不属于系统白名单，返回系统内核。

本发明还提出一种消息钩子防注入装置，所述装置包括如下模块：

钩子函数加载模块，用于加载用户回调分配函数的钩子函数；

第一判断模块，用于判断所述钩子函数获取的第一参数是否为预定数值，所述第一参数为用户回调分配函数返回的内核回调索引；

第二判断模块，用于在所述第一参数等于预定数值时，判断所述钩子函数返回的第二参数偏移处所对应加载的动态链接库是否属于系统白名单；

调用模块，用于在所述第一参数不等于预定数值时调用原有的用户回调函数；以及在所述第二参数偏移处所对应加载的动态链接库属于系统白名单时调用原有的用户回调函数；

返回模块，用于在所述第二参数偏移处所对应加载的动态链接库不属于系统白名单时，返回系统内核。

本发明具有如下有益效果：本发明利用钩子函数获取用户回调函数返回的系统内核回调索引，以判断是否存在消息钩子注入以及消息钩子注入是否被系统信任。可以拦截所有通过不受信任的消息钩子向客户端应用程序注入的动态链接库(DLL)，由此提高客户端应用程序的稳定性和安全性。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明；

图1是本发明实施例一提供的消息钩子防注入方法流程图。

图2是本发明实施例提供的Windows7系统内核回调表。

图3是本发明实施例提供的Windows8系统内核回调表。

图4是本发明实施例提供的Windows10系统内核回调表。

图5是本发明实施例二提供的消息钩子防注入方法流程图。