大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE稳定放心使用
Windows操作系统全局消息钩子Bug
场景:
Process A与Process B是同一个程序的两个实例,
1、 两个进程都设置了WH_CBT消息钩子,钩子的消息处理都在TSVulFw.dat模块的同一个函数。
2、 两个进程具有相同的名称,但是PID不同。
当进程通过以下流程执行时,就会出现一个BUG
BUG分析:
Process A首先设置了全局的WH_CBT钩子,SetWindowsHookEx最终会调用到win32k.sys的zzzSetWindowsHookEx函数,GetHmodTableIndex(UNICODE_STRING)可以定义到模块名称。创建一个新的HOOK结构地址0xbbe566e8
模块地址:
C:/Documents and Settings/All Users/Application Data/Tencent/TSVulFw/TSVulFw.dat
模块Index:
GetHmodTableIndex()的到 ihmod = 3
Process B也设置了全局的WH_CBT钩子,SetWindowsHookEx最终会调用到win32k.sys的zzzSetWindowsHookEx函数,GetHmodTableIndex(UNICODE_STRING)可以定义到模块名称。创建一个新的HOOK结构地址0xbbe5ef58
Process A 执行UnhookWindowsHookEx操作,最终调用win32k.sys的zzzUnhookWindowsHookEx函数,该函数Unhook的Hook结构竟然是Process B的,结构的地址0xbbe5ef58,从图中“dd edi”命令可以看到Hook结构的内容,地址是0xbbe5ef58,下一个结构的地址是Process A设置的Hook结构0xbbe566e8。
Process A没有Unhook自己的Hook结构,反而Unhook了Process B设置的Hook结构,BUG啊~~~~~
最后Process A退出的时候,调用xxxDestroyThreadInfo -> FreeThreadsWindowHooks -> UnlinkHook(PHOOK) ,将Process A自己设置的WH_CBT全局消息钩子给Unhook了。
Process B UnHook时,HHook句柄已经为NULL了
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/179451.html原文链接:https://javaforall.net
