调试易

照理说Hook LoadLibraryExW不可能失败，你自己进程内部hook？有可能DLL已经加载了，你再去Inline hook LoadLibraryExW造成失败。再不行就试试直接Hook ntdll.dll的LdrLoadDll吧。还有，想过没有直接去hook SetWindowsHookEx阻止钩子装载？

回复楼上这位仁兄：
先Hook LoadLibraryExW，然后用Spy++去拦截我的窗口消息。我想，Spy++肯定也是将它的Dll注入到了我的进程中，但是被我Hook的LoadLibraryExW并没有被调用；我手动调用了LoadLibraryExW，证明我确实已经Hook了LoadLibraryExW；随后我又Hook了ntdll.dll的LdrLoadDll，结果同LoadLibraryExW一样。Hook SetWindowsHookEx对全局的钩子肯定无效，因为在我Hook SetWindowsHookEx之前安装的钩子，还是会注入到我的程序中....
我在想，能不能在R0上采取点措施？比如直接Hook NtMapViewOfSection之类的加载Dll必须的函数？请指正

防键盘钩子，可以直接写一个keyboard的过滤驱动，你的程序直接和键盘驱动交互，绕过中间的可能被下了钩子的系统模块。

纠正你一个错误，“WH_KEYBOARD_LL等类型的钩子，并没有将Dll注入到目标进程中”，虽然没有注入dll，但是注入是注了的，是系统帮你注的

<window驱动程序开发详解里有例子.

楼上这位大哥请说下是哪个例子？回复biweilun：
MSDN说，WH_KEYBOARD_LL并没有注入，仅仅是一个上下文切换，连钩子过程，都是在自己的线程中调用。我英文不好，不知道理解的对不对：
However, the WH_KEYBOARD_LL hook is not injected into another process. Instead, the context switches back to the process that installed the hook and it is called in its original context. Then the context switches back to the application that generated the event. 

转一篇文章给你：防止全局钩子的侵入                        Author: pjf([email protected])
    Windows消息钩子一般都很熟悉了。它的用处很多，耳熟能详的就有--利用键盘钩子获取目标进程的键盘输入，从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视，有没有办法实现呢？答案是肯定的，不过缺陷也是有的。
    首先简单看看全局钩子如何注入别的进程。
    消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。
    进入用户态的KiUserCallbackDispatcher后，KiUserCallbackDispatcher根据传递的数据获取所需调用的函数、参数等，随后调用。针对上面的例子，为装载hook dll，得到调用的是LoadLibraryExW，随后进入LdrLoadDll，装载完毕后返回，后面的步骤就不叙述了。
    从上面的讨论我们可以得出一个最简单的防侵入方案：在加载hook dll之前hook相应api使得加载失败，不过有一个缺陷：系统并不会因为一次的失败而放弃，每次有消息产生欲call hook时系统都会试图在你的进程加载dll，这对于性能有些微影响，不过应该感觉不到。剩下一个问题就是不是所有的LoadLibraryExW都应拦截，这个容易解决，比如判断返回地址。下面给出一个例子片断，可以添加一些判断使得某些允许加载的hook dll被加载。
    这里hook api使用了微软的detours库，可自行修改。以下内容为程序代码:typedef HMODULE (__stdcall *LOADLIB)(
    LPCWSTR lpwLibFileName,
    HANDLE hFile,
    DWORD dwFlags);extern "C" {
        DETOUR_TRAMPOLINE(HMODULE __stdcall Real_LoadLibraryExW(
                                                         LPCWSTR lpwLibFileName,
                                                         HANDLE hFile,
                                                         DWORD dwFlags),
                                                        LoadLibraryExW);
}ULONG user32 = 0;HMODULE __stdcall Mine_LoadLibraryExW(
                          LPCWSTR lpwLibFileName,
                          HANDLE hFile,
                          DWORD dwFlags)
{
        ULONG addr;        _asm mov eax, [ebp+4]
        _asm mov addr, eax        if ((user32 & 0xFFFF0000) == (addr & 0xFFFF0000))
        {
                return 0;
        }        HMODULE res = (LOADLIB(Real_LoadLibraryExW)) (
                                                lpwLibFileName,
                                                hFile,
                                                dwFlags);        return res;
}BOOL ProcessAttach()
{
        DetourFunctionWithTrampoline((PBYTE)Real_LoadLibraryExW,
                                 (PBYTE)Mine_LoadLibraryExW);
        return TRUE;
}BOOL ProcessDetach()
{
        DetourRemove((PBYTE)Real_LoadLibraryExW,
                                  (PBYTE)Mine_LoadLibraryExW);
        return TRUE;
}CAnti_HookApp::CAnti_HookApp()  //在使用用户界面服务前调用ProcessAttach
{
        user32 = (ULONG)GetModuleHandle("User32.dll"）;
        ProcessAttach();
}