Windows下两种API钩挂技术的研究与实现

详细阐述了两种API钩挂技术IAT(import address table) Hook和Inline Hook的基本原理,给出了各自的实现方法.通过实验,指出IAT Hook在文件操作监控时存在的不稳定现象,比如explorer.exe错误.提出用基于Inline Hook的Detours技术弥补IAT Hook的缺陷,并给出了实现方法.实验结果表明,该方法能有效实现稳定可靠的API钩挂,Inline Hook是一种比较好的API钩挂技术.     

Hook技术及其在监控键盘输入中的应用

介绍了Hook技术的基本原理和方法,对常用的几种Hook类型进行分析。并通过Hook技术实现对键盘输入的监控。     

基于Minifilter的多层次文件操作行为提取技术研究

文章研究了对于不同层次的文件操作行为的提取及监控,旨在针对目前存在的绕过过滤驱动的检测方法进行改进,更加有效地针对恶意软件行为进行监控,多层次提取其文件操作的技术。文章首先概述了文件过滤驱动技术工作原理及当前应用现状,介绍了目前被广泛应用的微文件过滤驱动（Minifilter）技术的开发原理、步骤和应用领域。随后对文件操作的底层行为全过程进行了分析,并对Minifilter在其中的检测原理进行了相关介绍,对其安全性进行分析,提出当前能绕过过滤驱动检测的几种方法原理,包括通过增加过滤驱动以及Hook派遣函数等原理绕过过滤驱动,从而造成过滤驱动无法检测。列出了目前存在的从不同层次绕过过滤驱动的几种攻击方法,包括附着新的过滤驱动,直接访问内核,对底层文件结构的派遣函数进行不同的Hook等。针对其攻击原理进行分析,提出对应的检测方法。通过在原有Minifilter的基础上添加以上几种检测方法,可实现对目前存在的多种攻击手段进行多层次检测,从而添加相应的防护措施。在之后对改进后的过滤驱动进行功能及性能上的针对性测试中,表明改进后的检测驱动能利用更小的时间成完成更深层次的检测。因此,改进后的行为提取技术能绕过普通文件过滤驱动的恶意行为进行拓展检测,更深层次地提取恶意软件的文件操作行为,从而实现对目标程序的可疑文件操作进行更加全面的监控。     

利用API拦截技术监视文件操作

介绍了API拦截(API Hook)技术及其应用领域,并在此基础上,详细说明了利用陷阱式API HOOK技术实现文件操作监视的原理和实现方法,同时给出C Builder综合实例.     

打印监控审计技术研究

打印监控与审计是主机安全保护的一项重要内容.对打印机打印内容的监控与审计技术往往难以适应实际应用环境的要求,造成对打印内容监控审计的遗漏和不完备,使其成为监控审计的难点之一.分析了Windows平台下打印体系结构,详细阐述了API Hook、Driver Hook,虚拟打印机和轮询打印队列,这4种主要的打印监控审计技术的原理与实现算法,并分析了采用该监控技术在实际打印监控应用中的优点与不足.最后,综合各种监控技术的优缺点,给出了未来打印监控审计技术的一种发展趋势和应用方案.     

基于Hook的程序异常行为检测系统设计与实现

从程序访问的资源入手,从中重点选取了注册表、文件以及创建其它进程这些资源的操作为主要监控点,实时检测进程操作资源的行为,并进行关联分析,给出了一种基于系统服务Hook的程序异常行为检测系统.重点介绍了Hook相关技术和该系统的设计结构与实现要点.最后,通过实验验证了该系统的可行性和有效性.     

Detours拦截技术及其应用

本文主要介绍Detours的技术原理及实现的功能，并通过实例说明如何使用Detours拦截Win32 API函数，以实现对现有操作系统和应用程序的扩展。     

基于Hook的鼠标和键盘操作录放的实现

Hook是Windows操作系统消息机制的切入点。本文针对Hook技术在Visual C 编程中的应用进行了探讨,并重点给出了利用Hook技术在Visual C 中实现用户操作的录放的应用实例,为在工程开发中使用Hook提供了有益的借鉴。     

基于Hook的鼠标和键盘操作录放的实现

Hook是Windows操作系统消息机制的切入点。本文针对Hook技术在Visual C＋＋编程中的应用进行了探讨,并重点给出了利用Hook技术在Visual C＋＋中实现用户操作的录放的应用实例,为在工程开发中使用Hook提供了有益的借鉴。     

基于安全局域网分级文件分发系统设计与实现

通过分析安全局域网系统文件动态分级管理技术机制以及系统基于动态监控交换机的终端行为监控结构,提出了一种基于安全局域网分级文件分发系统的设计与实现方案。该系统解决了原有安全局域网系统监控结构的网络化扩展问题,实现了网络文件的分级可控管理,除了能够防范来自系统外部的普通网络攻击行为外,确保了对系统合法用户操作行为的控制,有效阻止了内部人员信息泄露的基本途径,能够提高各类共享数据的安全性。     

基于HOOK进程监控的设计与实现

钩子是Windows操作系统提供的一种在保护模式下截获系统信息的机制。利用消息钩子能够截获系统或应用程序发出的消息。基于这一特性可以截取进程创建消息从而达到监控进程的目的。本文在分析钩子的工作原理和使用钩子的关键技术点基础上,利用Windows提供的消息钩子函数设计并实现了一个进程监控程序,分析了程序的实现过程,给出了程序的监控效果及不足之处。     

Hook技术在监控PSpice中的应用研究*

介绍了仿真工具PSpice的基本概念和Hook技术的基本原理,并分析了在进行模拟及混合信号电路测试的仿真试验时,如何利用Hook技术来监控PSpice的自动运行。     

一种新的远程软件学习系统

分析了传统的软件学习模式及不足，结合Internet及其相关新技术，提出了一个新的远程软件学习系统（RSLS），学习者通过带有嵌入浏览器的客户端软件与远端服务器通信，并在服务器的监控和指导下完成软件相关功能的学习，系统最大的特点在于实现了对远程应用软件的动态学习过程的监控，最后，介绍了系统用到的DCOM，钩子，屏幕取词等几项关键技术。     

基于Hook技术的认证系统研究

通过对接入和访问内网的各用户和终端主机身份认证,进而对主机用户进行授权与限制,确保内部网络的安全性。该文首先提出基于Agent的认证系统,然后着重从技术上探讨了认证Agent的具体实现细节,即利用Hook系统核心函数的方法来实现客户端认证Agent软件。这是一种工作于内核模式下的类软件防火墙技术,实现效率高、安装容易、运行稳定。     

WINDOWS环境输入事件的记录与回放

输入事件,即鼠标和键盘操作所引发的事件,其记录与回放意味着一段操作过程的记录与重放,这对于软件演示和数学演示很有意义。本文论述了用Hook技术来实现这一功能的技术问题,并给出了一个程序样例。     

屏幕取词原理与实现

文章描述了通过截获系统API,实现WindowsNT内核(包括NT、2000、XP)屏幕取词的方法。以一个屏幕取词应用的具体实现为主线,对实现屏幕取词的关键技术———截获API(APIHook)——进行了详细的分析。其中涉及的相关技术有Windows内存结构与管理、设备上下文、动态链接库和Windows挂钩等。     

Hook技术及其在软件研发中的应用

介绍了Hook技术的基本概念和方法，对常用的几类Hook技术重点进行了分析，并举例说明了在进行软件研发时，这些Hook技术可以应用的场合，最后介绍了在电子字典，带滚轮的鼠标驱动程序等实际软件开发项目过程中，如何应用Hook技术的详细方法和步骤。