[发明专利]Windows环境下一种可配置和集成的Hook系统及其方法

摘要

本发明公开了Windows环境下一种可配置和集成的Hook系统及其方法，涉及DLL注入技术、Hook技术和进程间通信技术领域。本系统是：应用程序子系统包括注入器单元和钩子单元；注入器单元包括注入模块和通信模块；钩子单元包括内联钩子模块、导入地址表钩子模块和向量化异常处理钩子模块；注入模块、钩子单元、已注入的钩子单元和通信模块依次交互。本方法是：①创建命名管道；②选择目标进程；③选择注入的动态链接库；④选择注入方式；⑤反馈注入信息；⑥配置Hook参数；⑦向已注入的钩子单元传递Hook参数；⑧完成Hook功能流程；⑨反馈Hook信息。本发明具备可配置性，Hook的相关过程参数可以由用户调配；具有易操作的特性；可以帮助拦截获取到足够多的有用信息。

主权项

1.Windows环境下一种可配置和集成的Hook系统的Hook方法，所述的Hook系统包括目标进程子系统(200)，目标进程子系统(200)包括已注入的钩子单元(210)；设置有应用程序子系统(100)；应用程序子系统(100)包括注入器单元(110)和钩子单元(120)；注入器单元(110)包括注入模块(111)和通信模块(112)；钩子单元(120)包括内联钩子模块(121)、导入地址表钩子模块(122)和向量化异常处理钩子模块(123)；其交互关系是：注入模块(111)、钩子单元(120)、已注入的钩子单元(210)和通信模块(112)依次交互；所述的注入模块(111)是指一段可以将动态链接库DLL注入到另一个进程的程序，包括选择目标进程(111A)、选择注入的动态链接库(111B)、选择注入方式(111C)和配置钩子函数(111D)；所述的通信模块(112)是一段可以进行信息传递和接收的程序，包括命名管道通信(112A)，命名管道通信(112A)包括依次进行交互的创建管道、等待连接和进行输入输出I/O操作；所述的钩子单元(120)包括彼此独立的内联钩子模块(121)、导入地址表钩子模块(122)和向量化异常处理钩子模块(123)；内联钩子模块(121)是指实现了内联钩子完整过程的DLL文件；导入地址表钩子模块(122)是指实现了导入地址表钩子完整过程的DLL文件；向量化异常处理钩子模块(123)是指实现了向量化异常处理钩子完整过程的DLL文件；其特征在于Hook方法包括下列步骤：①创建命名管道，等待连接(401)通信模块首先创建命名管道，并进入等待连接的状态，用于与步骤⑤⑥⑦⑧⑨里的已注入的钩子单元进行通信；②选择目标进程(402)在选择目标进程中，以进程标识PID加上进程名的形式向用户列出当前进程，用户进行选择即可，这一步确定了要钩取的目标进程子系统；③选择注入的动态链接库(403)通过选择注入的动态链接库，用户自行指定待注入的动态链接库DLL文件；本系统的钩子单元封装了三个动态链接库，每一个动态链接库都实现了不同且完整的Hook功能，用户可选择任意一种；④选择注入方式(404)通过选择注入方式，用户在系统提供的三种注入方式里选择，实现将步骤③中用户所指定的动态链接库注入到步骤②中所确定的目标进程子系统；⑤反馈注入信息(405)注入完成后，已注入的钩子单元与通信模块进行通信，向通信模块反馈注入信息；⑥配置Hook参数(406)根据通信模块里的注入反馈信息，若注入成功，在配置钩子函数里配置已注入的钩子单元所需的Hook参数；⑦向已注入的钩子单元传递Hook参数(407)通信模块向已注入的钩子单元传递配置钩子函数中的Hook参数；⑧完成Hook功能流程(408)已注入的钩子单元获取到Hook参数后，在目标进程子系统实现完整的Hook功能流程；⑨反馈Hook信息(409)已注入的钩子单元向通信模块反馈Hook信息。