windows全局消息钩子的一个BUG

Windows操作系统全局消息钩子Bug

场景：

Process A与Process B是同一个程序的两个实例，

1、 两个进程都设置了WH_CBT消息钩子，钩子的消息处理都在TSVulFw.dat模块的同一个函数。

2、 两个进程具有相同的名称，但是PID不同。

当进程通过以下流程执行时，就会出现一个BUG

BUG分析：

Process A首先设置了全局的WH_CBT钩子，SetWindowsHookEx最终会调用到win32k.sys的zzzSetWindowsHookEx函数，GetHmodTableIndex(UNICODE_STRING)可以定义到模块名称。创建一个新的HOOK结构地址0xbbe566e8

模块地址：

C:/Documents and Settings/All Users/Application Data/Tencent/TSVulFw/TSVulFw.dat

模块Index：

GetHmodTableIndex()的到 ihmod = 3

Process B也设置了全局的WH_CBT钩子，SetWindowsHookEx最终会调用到win32k.sys的zzzSetWindowsHookEx函数，GetHmodTableIndex(UNICODE_STRING)可以定义到模块名称。创建一个新的HOOK结构地址0xbbe5ef58

Process A 执行UnhookWindowsHookEx操作，最终调用win32k.sys的zzzUnhookWindowsHookEx函数，该函数Unhook的Hook结构竟然是Process B的，结构的地址0xbbe5ef58，从图中“dd edi”命令可以看到Hook结构的内容，地址是0xbbe5ef58，下一个结构的地址是Process A设置的Hook结构0xbbe566e8。

Process A没有Unhook自己的Hook结构，反而Unhook了Process B设置的Hook结构，BUG啊~~~~~

最后Process A退出的时候，调用xxxDestroyThreadInfo -> FreeThreadsWindowHooks -> UnlinkHook(PHOOK) ，将Process A自己设置的WH_CBT全局消息钩子给Unhook了。

Process B UnHook时，HHook句柄已经为NULL了

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/179451.html原文链接：https://javaforall.cn