一个完整的hook程序的例子
关键字:hook,blocking,service
这是我求职时收到的xx公司“资深Windows程序分析员”的测试题目,具体要求(也就是我这个程序的说明)是:
一、客户端
程序命名为Client。监视系统的运行,如发现系统中有“记事本”进程(notepad.exe)或者“计算器”进程(calc.exe),立即杀死(kill)该进程,并将该事件写入数据库;定期进行检查,每间隔1分钟,检查数据库,将尚未上传的事件记录上传至服务器端。
1、目标运行环境为Windows 2000操作系统。
2、程序请设计为系统服务。
3、程序需具备抗攻击能力,包括反删除、对抗强制终止进程等功能。
(1)保持程序的持续运行,防止其他程序强行终止当前程序的运行;
(2)保护事件数据库和主执行文件不被删除;
(3)如发现异常(进程被终止、文件被删除等),立即强制重新载入/运行程序;
(4)如连续3次发现异常,守护进程强制重新启动操作系统;重启系统后保证程序正常载入并运行。
(A)为实现以上功能,程序不限于以EXE形式实现,可根据需要自行决定实现形式。
(B)以上功能均在Windows 2000正常运行环境、Administrator权限下实现,无需考虑Windows安全模式或者权限等问题。
4、请使用简单桌面数据库,如Access、xBase等文件型数据库。
5、每次生成的事件至少包含2部分信息:事件发生时间和事件处理对象。
数据库中以表tEvent存储事件数据。tEvent表至少包含两个字段:
(1)EventTime字段:时间/日期类型。记录事件发生的时间。
(2)EventTarget字段:字符类型。记录事件中所Kill的对象。需要考虑的对象有记事本进程和计算器进程。
如果需要其他表或者字段,可根据需要自行添加。
6、网络数据传输格式自定。传输的具体内容和格式请根据需要自行决定,不做具体要求。客户端网络需与服务器端网络配合工作。
7、所用开发语言与集成开发环境不限,可自行选择。
8、对于数据库连接方式,请根据需要自行选择。
二、服务器端
程序命名为Server。监听网络,一旦有客户端上传数据,立即从中提取事件信息,并在用户界面中以列表方式加以显示。
1、目标运行环境为Windows 2000操作系统。
2、程序请设计为普通Windows 2000 GUI应用程序。在用户界面中至少需包含一个事件信息列表,该列表中至少包含3部分信息:事件发生时间、事件处理对象和事件来源。
(1)事件发生时间:同客户端事件发生时间。
(2)事件处理对象:同客户端事件处理对象。
(3)事件来源:上传当前事件的客户端机器的IP地址。
3、网络数据传输格式自定;与客户端配合工作。
4、所用开发语言与集成开发环境不限,可自行选择。
运行程序的说明:
client.ini必须放在C盘根目录下,其它文件可以任意放置,但survival.exe与client.exe必须放置在同一个文件夹下
启动survival.exe前请先配置client.ini中服务器ip(interval_server),然后启动ADServer.exe
源码说明
一、服务端ADServer.exe
因为服务端简单,所以先说服务端了:)
服务端的工作就是网络上接收从数据,采用TServerSocket阻塞式(blocking)传输。TServerSocket每收到一个客户端的连接请求,就生成一个TServerClientThread线程, 你应该在这个线程中new一个TWinSocketStream来进行客户端数据的读和写。主要代码就写在这个线程的ClientExecute部分。
TWinSocketStream向客户端写数据没什么问题,但是从客户端读数据(用read方法),常常没读完就返回了,即使你使用了WaitForData。所以我又专门写了个waitDateComplete函数来等待读完数据。
二、客户端
客户端麻烦一点。Client.exe是一个服务,survival.exe是一个应用程序,这两个东东相互监视,一个被关闭了,另一个就把它重新启动。hookDll.dll是挂钩子用的,全局钩子必须写在独立的dll模块中(有几中钩子除外,请参考这篇文章:http://www.pconline.***com.cn/pcedu/empolder/gj/vc/0403/340480.html)。
Client.exe没有几行代码,主要就是使用CreateProcess启动进程。注意,如果服务要做与windows shell相关事,比如本程序启动的hookdll.dll中使用了钩子,就必须把ServiceType设置为stWin32,把TService::Interactive属性设置为true。
survival.exe用来启动服务,加载hookdll.dll,向服务端报告事件。
1、启动服务需要三个过程,一是打开服务控制器,也就是管理工具里“服务”的后台,用OpenSCManager取得服务管理器句柄,然后就可以用OpenService(服务管理器句柄 , 服务名 , SERVICE_START | SERVICE_QUERY_STATUS) 来获得指定服务的句柄,最后就可以用StartService(…) 来打开服务了。注意最低必须取得SERVICE_START 、SERVICE_QUERY_STATUS这两个权限。
2、加载hookdll.dll方面,本程序使用了隐式链接,就是用BCB的project\\Add to Project导入该dll的lib文件。导入以后,如果代码中不调用dll的函数,dll其实还是不被加载的。本程序调用了beginTrace(HWND host)函数,把survival.exe的窗口句柄传过去,dll通过这个句柄向survival.exe发送一些消息。
3、向服务端报告事件方面,专门写了个TMSocketClient类,主要是发送消息->接收消息回执这样一个过程,主要代码在TMSocketClient::Command(….)中,对照ADServer.exe中的代码很容易读懂。通过#define不同的command常数,这个模块可以完成很多类型的传输任务。实际上这个模块就是我过去写的一个模拟TNMFTP的类,删掉N多#define简化来的,用来在虚拟局域网中做文件传输(TNMFTP在虚拟局域网中不能工作)。
三、hookDll.dll
代码很简单,只注意一点,就是N个进程调用同一个dll,这个dll就会被复制N次,一般来说,这N个dll的不同copy各有各的数据段。就是说,他们的同一个变量,在每个copy中的值是不一样的,互不干扰。但实际上,windows留下了这样的机制,让我们能够在dll中声明这样的变量,它的dll的N个实例中保持数据一致,就象它是一个超越进程空间的指针一样。要声明这样的变量,首先建立一个与dll同名的.def文件,在文件中写:
SECTIONS
SHSEG READ WRITE SHARED
然后,把你要在进程间共享的dll变量声明为全局变量,并且初始化这些变量。注意共享与不共享的区别就是是否初始化!
本程序参考了CCRun上《钩子的应用: 程序运行监视》感谢作者Victor Chen。
OK,好像要说明的基本就这么多了。另外程序中有些废变量,我没时间清理了,大家多包涵:)谢谢观赏!
