hook是啥意思

Posted 2023-04-24

参考技术A

HOOK技术是Windows消息处理机制的一个平台，应用程序可以在上面设置子程序以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

Hook原理

Hook技术无论对安全软件还是恶意软件都是十分关键的一项技术，其本质就是劫持函数调用。

但是由于处于Linux用户态，每个进程都有自己独立的进程空间，所以必须先注入到所要Hook的进程空间，修改其内存中的进程代码，替换其过程表的符号地址。在android中一般是通过ptrace函数附加进程，然后向远程进程注入so库，从而达到监控以及远程进程关键函数挂钩。

SSDT HOOK是啥

SSDT的全称是System Services Descriptor Table，系统服务描述符表
一般来说此表与链接系统内核的API密切相关，对此有一项应用就是杀毒软件的主动防御，当然病毒也可以通过修改主动防御的SSDT来绕过杀软的主动防御。SSDT hook一般是用来隐藏进程运行程序的，这里就介绍这些更多的参考我的空间文章：
http://hi.baidu.com/rabby163/blog/item/73c71f54dcf10c1c3a293508.html

参考资料：http://hi.baidu.com/rabby163/blog/item/73c71f54dcf10c1c3a293508.html

参考技术A SSDT的全称是System Services Descriptor Table，系统服务描述符表
一般来说此表与链接系统内核的API密切相关，对此有一项应用就是杀毒软件的主动防御，当然病毒也可以通过修改主动防御的SSDT来绕过杀软的主动防御。SSDT hook一般是用来隐藏进程运行程序的