[发明专利]一种对具有自我保护的目标进程实现拦截的方法

说明书

技术领域

本发明涉及计算机领域，具体涉及一种避开具有自我保护的进程屏蔽HOOK拦截的方法。 

背景技术

Windows操作系统是建立在事件驱动机制之上的，系统各部分之间也都是通过消息的相互传递而实现沟通的，但在通常情况下，应用程序只能处理来自进程内部的消息或是从其他进程发过来的消息，如果需要对在进程外传递的消息进行拦截处理就必须采取一种被称为HOOK(钩子)的技术。HOOK是Windows操作系统中非常重要的一种系统接口，用它可以轻松截获并处理在其他应用程序之间传递的消息，并由此完成一些普通应用程序难以实现的特殊功能。 

在Windows操作系统里面，API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多，分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。 

API HOOK技术是一种用于改变API执行结果的技术，Microsoft自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等，可以通过API HOOK改变一个系统API的原有功能，基本的方法就是通过HOOK“接触”到需要修改的API函数入口点，然后改变它的地址并指向新的自定义的函数。API HOOK并不属于MSDN上介绍的13类HOOK中的任何一种，所以说，API HOOK并不是什么特别不同的HOOK，它也需要通过基本的HOOK提高自己的权限，跨越不同进程间访问的限制，达到修改API函数地址的目的。对于自身进程空间下使用到的API函数地址的修改，是不需要用到API HOOK技术就可以实现的。 

鉴于很多计算机病毒(如灰鸽子后门程序等)采用Win32 API HOOK技术来达到隐藏自身的目的，因此，许多进程为了达到自我保护的目的进行了对API HOOK的检测，一但检测到API HOOK的拦截就进行屏蔽，这样虽然能减少一些恶意的修改，但往往也屏蔽了一些并无恶意的拦截行为。 

发明内容

为解决现有技术中具有自我保护功能的进程对所有API HOOK的拦截都进行屏蔽的问题，本发明提供一种针对目标进程新建一个功能相同的仿目标进程，并在仿目标进程中改变目标进程中调用系统服务指令的指向地址来实现拦截目的的方法，具体方案如下： 

本发明针对自我保护程序识别目标进程中特定调用系统服务指令的指向代码，进而屏蔽对此指令进行拦截的现象，替换了目标进程中调用系统服务指令的指向代码中指向系统服务函数调用号或函数地址的偏移量的代码，从而避开了目标进程的自我保护程序的检查，进而实现了通过API HOOK拦截目标进程的目的。本发明在目标进程和仿目标进程之间建立对应关系，当系统调用目标进程时，本方法即将对目标进程的调用改为调用仿目标进程，由于仿目标进程所有功能与目标进程一致，仅是利用指向代码的不同来避开自我保护程序，因此最终的执行效果完全与目标进程一致，而且在对仿目标进程进行拦截时，由于指向代码的不同，不在自我保护程序的屏蔽范围内，因此避开了自我保护程序的屏蔽，能够实现API HOOK的拦截。本方法适合于WINDOWS系统下的所有操作。 

附图说明

图1本发明的步骤流程图。 

图2本发明的执行步骤流程图。 

图3本发明中对目标进程的代码匹配过程示意图。 

具体实施方式

下面结合附图和具体实施例进一步说明本发明实施例的技术方案。如图1所示，本发明包括如下步骤： 

101、将目标进程调入内存中进行调试并查找其中的调用系统服务指令；