[发明专利]Windows环境下一种可配置和集成的Hook系统及其方法

说明书

本发明公开了Windows环境下一种可配置和集成的Hook系统及其方法，涉及DLL注入技术、Hook技术和进程间通信技术领域。本系统是：应用程序子系统包括注入器单元和钩子单元；注入器单元包括注入模块和通信模块；钩子单元包括内联钩子模块、导入地址表钩子模块和向量化异常处理钩子模块；注入模块、钩子单元、已注入的钩子单元和通信模块依次交互。本方法是：①创建命名管道；②选择目标进程；③选择注入的动态链接库；④选择注入方式；⑤反馈注入信息；⑥配置Hook参数；⑦向已注入的钩子单元传递Hook参数；⑧完成Hook功能流程；⑨反馈Hook信息。本发明具备可配置性，Hook的相关过程参数可以由用户调配；具有易操作的特性；可以帮助拦截获取到足够多的有用信息。

技术领域

本发明涉及DLL注入技术、Hook技术和进程间通信技术领域，尤其涉及Windows环境下一种可配置和集成的Hook系统及其方法。

背景技术

Hook技术作为一种底层、细致的安全技术，从安全防御角度来看，如今常见的安全卫士和电脑管家等应用产品，均在操作系统的内核底层挂钩了许多的内核钩子，监控许多内核函数的调用，与Hook技术的应用有着不可分割的关系。

而从攻击的角度来看，Hook技术修改执行流，强制执行自定义函数过程的特点，被许多恶意软件(如木马，外挂等)所利用。

但是Hook技术使用时需要多种其它技术作为支撑，比如DLL注入技术、进程间通信技术等，这些技术、流程非常繁琐，普通技术人员很难掌握。由此设计开发一款方便的、适合安全人员使用的Hook工具属技术首创且十分必要。

发明内容

本发明的目的在于屏蔽Hook技术使用时繁琐的细节，提供Windows环境下一种可配置和集成的Hook系统及其方法，使不熟悉Hook技术的人也能轻松使用Hook技术。

本发明的目的是这样实现的：

通过将DLL注入模块、Hook单元、通信模块集成，并将Hook参数设置成可配置化；同时，在设计实现时提供简单易操作的界面，进一步减少用户的操作难度；用户首先选择需要注入的目标进程，再选择注入的DLL，本系统集成了三种Hook方式，可以根据需要选择对应的Hook方式，而不需要用户自己开发，提高了效率。接着用户可以选择注入方式，本平台集成了三种DLL注入方式，同样可以根据用户需要进行选择；接着根据选择的注入方式配置Hook参数；通信模块会反馈注入的信息和Hook的信息。

具体地说：

一、Windows环境下一种可配置和集成的Hook系统(简称系统)

本系统包括工作对象——目标进程子系统，目标进程子系统包括已注入的钩子单元；

设置有应用程序子系统；

应用程序子系统包括注入器单元和钩子单元；

注入器单元包括注入模块和通信模块；

钩子单元包括内联钩子模块、导入地址表钩子模块和向量化异常处理钩子模块；

其交互关系是：

注入模块、钩子单元、已注入的钩子单元和通信模块依次交互。

二、Windows环境下一种可配置和集成的Hook方法(简称方法)

本方法包括下列步骤：

①创建命名管道；

②选择目标进程；

③选择注入的动态链接库；

④选择注入方式；

⑤反馈注入信息；

⑥配置Hook参数；