现在的木马后门种类非常之多,其中有些木马专门以Office 文档为窃取目标 ,我最近做了一些Anti这些木马的工作,在工作中我基本上实现了阻止未知程序 利用Office自动化接口窃取Word内容,但限于公司利益我只能写一些基本上已经 比较成熟和公开的技术,当然其中了包含我的设计思想,我想多多少少会让你有 所收获,你可任意转载文章,但请注明作者和出处,谢谢!
首先我们知道Ole拖放是由DoDragDrop启动的,为此你可以事先要准备一些参 数给DoDragDrop使用,最开始我的想法是直接阻止DoDragDrop调用,后来我发现 这样做会使Word文档窗口内部的拖放操作失效,这会给人一种很不好的感觉,好 的保护软件应该在客户没有感觉到不方便的情况提供保护,而后我又仔细看了 DoDragDrop的参数想发现有没有什么可以利用的地方,我发现它有四个参数:
IDataObject * pDataObject;
IDropSource * pDropSource;
DWORD dwOKEffect;
DWORD * pdwEffect;
后两个参数基本上没有什么利用价值,我想到Hook IDataObject的GetData函 数,可是在Ole Drop客户端编程时,通常当我调用COleDataObject的相关成员函 数时拖放已经差不多完成,鼠标已经在我的程序窗口上了。
而我现在的想法是在拖放操作刚离开Word的文档窗口,还没有到达外部程序 窗口时就让它失效,这样Hook IDataObject的虚函数肯定不行,我只有再研究一 下最后一个没有研究过的参数pDropSource,它是一个IDropSource类型指针,我 发现它有一个虚函数QueryContinueDrag查看了一下MSDN发现它似乎就是我要找 的。
我的理解是这个函数是让Ole拖放的服务端在调用DoDragDrop启动Ole拖放操 作后,有机会取消拖放操作而设的一个CallBack,于是我写了一段代码Hook住 DoDragDrop并从DoDragDrop中进一步Hook住IDropSource的QueryContinueDrag虚 函数,我发现它会全程跟踪整个拖放操作,只要这个CallBack一返回 DRAGDROP_S_CANCEL整个拖放操作就会被取消,这样我只要知道当前鼠标下的窗 口是否是文档窗口就可以了,一旦离开了文档窗口我就让这个CallBack返回 DRAGDROP_S_CANCEL取消整个拖放操作。
这样做就可以不影响文档窗口内部的拖放操作,又可以阻止将文档窗口内部 的东西拖放到其它程序中,基本上不会让客户感到不方便,这很有意思!不是吗 ?
那么从鼠标位置得到窗口句柄可能吗?答案是肯定的! GetCursorPos函数可 以返回一个POINT变量,它指示当前的鼠标位置,而WindowFromPoint则可以返回 某一个POINT位置下的窗口句柄。写到这里我想差不多已经说完了我的思路,不 知道你是否看得明白。
总结一下,用ATL向导生成一个COM框架,增加一个ATL简单对象,在这个对象 上实现_IDTExtensibility2接口,在_IDTExtensibility2的OnConnection中Hook 住DoDragDrop API,在Word调用DoDragDrop时记录下当前的文档窗口句柄,并 Hook住第二个参数pDropSource的QueryContinueDrag虚函数,在 QueryContinueDrag里跟踪当前鼠下的窗口是否还是文档窗口(比较句柄是否等于 DoDragDrop时记录下的文档窗口句柄),如果不是则返回DRAGDROP_S_CANCE取消 拖放操作,并弹出一个警告信息的MessageBox,否则执行原有的操作(让拖放操 作正常进行)。
最后,别忘了注册你的Word插件(用Regsvr32。exe),详细的键值和代码细节 见源程序吧!
2005年10月15日夜
参考资料:
MSDN October 2001
Microsoft Office 2000/Visual Basic Programmer''s Guide
ATL Internals
Inside C++ Object Model
本文配套源码