“安全” DLL注入

Question

抱歉，这不是一个很好的问题。

我有一个程序，当从资源管理器打开文件时需要发出警报（即调用 ShellExecute(A/W)）。

不幸的是，微软删除了允许您在 Vista 及更高版本中挂钩这些事件的 COM 接口 (IShellExecuteHook)，据说是因为旧代码可能会因更改而导致崩溃。有一个解决方法可以重新启用此功能，但它不再起作用。

我做了一些研究，看起来捕获对 ShellExecute 调用的唯一方法是将调用重新路由到 shell32.dll。目前，我正在考虑将我自己的 DLL 注入到资源管理器进程中，然后将 ShellExecute 的 IAT 条目复制到我的 DLL 中的某个地址分配，最后修改 ShellExecute 的 IAT 条目以指向我的函数，这将通知程序打开一个文件并跳转到我们之前存储的原始 ShellExecute 函数的地址。

我最关心的是防病毒软件。他们会关心我注入资源管理器吗？他们会关心我修改 IAT 吗？

另一个问题是这是否安全；浏览器的安全权限是否有可能（或者更可能）不允许通过 CreateRemoteThread 进行注入？如果是的话，有没有更好的方法来进行这种注射？

一般来说有更好的方法吗？

编辑：对于将来遇到此问题的任何人，explorer.exe 没有 shell32.dll 的 IAT；它有一个标头，但 thunk 充满了垃圾值，因此（据我所知）无法检索任何导入函数的条目。
看起来代码隧道是挂钩这个的唯一方法。

Answer 1

大多数优秀的防病毒启发式方法都应该将导入表修补视为特洛伊木马的危险信号。

madcodehook 的在线文档有一些关于各种代码注入技术及其优点/缺点的扩展文章，并且 API 提供了一些用于指定“安全”挂钩的选项：
http://www.madshi.net/madCodeHookDescription.htm

Answer 2

Detours 库：

http://research.microsoft.com/en-us/projects /detours/

来自微软研究院，允许任意挂钩函数。你可以尝试一下。

Answer 3

有关 API 挂钩的更多资源：

Easy hook：http://www.codeplex.com/easyhook

Deviare ：http://www.nektra.com/products/deviare-api- hook-windows/

一篇有趣的文章：http://www.codeproject。 com/KB/system/hooksys.aspx

在进行 API 挂钩时，评估需要在哪些环境中运行非常重要。
例如，并非所有库都支持 x86/x64。

Detours 仅在许可（付费）版本中支持 x64。
Easy hook 支持 x86 和 x64。

Answer 4

Windows Vista 和 Windows 7 中的 Windows 资源管理器甚至不调用 ShellExecuteA 或 ShellExecuteW。

没有必要打扰。哈哈 :-)

并且，如果我可以补充的话，我已经通过使用 32 位和 64 位内联挂钩来挂钩这两个函数进行了测试。

对不起。哈哈 ：-）