调试易

高分求delphi的防止全局钩子挂自己的进程的代码[分不够另外加]
怎样防止别人的全局HOOK挂构我的进程呢？进程断链不通用！而且需要管理员权限，网上有防止全局HOOK的原理和部分代码！我尝试了一下好像有逻辑上的错误！请各位高手指点发布网上公布防止全局HOOK的原理 防止全局钩子的侵入   
    
                                                  Author:   pjf([email protected])   
          Windows消息钩子一般都很熟悉了。它的用处很多，耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入，从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视，有没有办法实现呢？答案是肯定的，不过缺陷也是有的。   
          首先简单看看全局钩子如何注入别的进程。   
          消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。   
          进入用户态的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等，随后调用。针对上面的例子，为装载hook   dll，得到调用的是LoadLibraryExW，随后进入LdrLoadDll，装载完毕后返回，后面的步骤就不叙述了。   
          从上面的讨论我们可以得出一个最简单的防侵入方案：在加载hook   dll之前hook相应api使得加载失败，不过有一个缺陷：系统并不会因为一次的失败而放弃，每次有消息产生欲call   hook时系统都会试图在你的进程加载dll，这对于性能有些微影响，不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截，这个容易解决，比如判断返回地址。下面给出一个例子片断，可以添加一些判断使得某些允许加载的hook   dll被加载。   
          这里hook   api使用了微软的detours库，可自行修改。   
    
  以下内容为程序代码:   
    
  typedef   HMODULE   (__stdcall   *LOADLIB)(   
          LPCWSTR   lpwLibFileName,   
          HANDLE   hFile,   
          DWORD   dwFlags);   
    
  extern   "C"   {   
                  DETOUR_TRAMPOLINE(HMODULE   __stdcall   Real_LoadLibraryExW(   
                                                                                                                    LPCWSTR   lpwLibFileName,   
                                                                                                                    HANDLE   hFile,   
                                                                                                                    DWORD   dwFlags),   
                                                                                                                  LoadLibraryExW);   
  }   
    
  ULONG   user32   =   0;   
    
  HMODULE   __stdcall   Mine_LoadLibraryExW(   
                                                      LPCWSTR   lpwLibFileName,   
                                                      HANDLE   hFile,   
                                                      DWORD   dwFlags)   
  {   
                  ULONG   addr;   
    
                  _asm   mov   eax,   [ebp+4]   
                  _asm   mov   addr,   eax   
    
                  if   ((user32   &   0xFFFF0000)   ==   (addr   &   0xFFFF0000))   
                  {   
                                  return   0;   
                  }   
    
                  HMODULE   res   =   (LOADLIB(Real_LoadLibraryExW))   (   
                                                                                                  lpwLibFileName,   
                                                                                                  hFile,   
                                                                                                  dwFlags);   
    
                  return   res;   
  }   
    
  BOOL   ProcessAttach()   
  {   
                  DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,   
                                                                    (PBYTE)Mine_LoadLibraryExW);   
                  return   TRUE;   
  }   
    
  BOOL   ProcessDetach()   
  {   
                  DetourRemove((PBYTE)Real_LoadLibraryExW,   
                                                                      (PBYTE)Mine_LoadLibraryExW);   
                  return   TRUE;   
  }   
    
  CAnti_HookApp::CAnti_HookApp()     //在使用用户界面服务前调用ProcessAttach   
  {   
                  user32   =   (ULONG)GetModuleHandle("User32.dll"）;   
                  ProcessAttach();   
  }