Hola a todos.

bueno esa es la duda... asi como OpenProcess tiene su equivalente en modo kernel (ZwOpenProcess) me preguntaba si SetWindowsHookEx tiene algun equivalente.

Saludos.

Mas que equivalente es la funcion que implementa realmente la funcionalidad (valga la redundancia) y existir existe (idem  ):

user32!NtUserSetWindowsHookEx:
7e3a81fb b825120000      mov     eax,1225h
7e3a8200 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7e3a8205 ff12            call    dword ptr [edx]
7e3a8207 c21800          ret     18h
 
win32k!NtUserSetWindowsHookEx:
bf852c45 8bff            mov     edi,edi
bf852c47 55              push    ebp
bf852c48 8bec            mov     ebp,esp
bf852c4a 56              push    esi
bf852c4b e8eadefaff      call    win32k!EnterCrit (bf800b3a)
bf852c50 33f6            xor     esi,esi
bf852c52 397510          cmp     dword ptr [ebp+10h],esi
bf852c55 7433            je      win32k!NtUserSetWindowsHookEx+0x27 (bf852c8a)
 
...

De cualquier manera estoy de acuerdo con Littlehorse, mejor plantea el problema y no la solucion que crees posible.

Te aviso que ademas de los keyloggers que usan ese metodo (todos de modo Usuario) existen los de modo Kernel (un filtro por ejemplo) y los de hardware.

Eso lo veo con el WinDbg de Microsoft.

No podes hookear el equivalente porque no existe el equivalente, ese tipo de eventos van de la mano con el modo usuario. Existe la implementación, pero dista de ser una equivalencia en modo kernel, de hecho SetWindowsHookEx es solo un wrapper de lo que ya te mostró Eternal.

Hay muchas formas de hacer un keylogger en modo usuario, algunas serán mejores que otras, pero evitando una no implica evitar las otras. Por lo tanto, si intentas hacer un método que evite un tipo especifico, te vas a volver loco para evitarlos todos.

Lo principal es que tengas en claro el diagrama del sistema y en cuenta todas las formas que hay para interceptar eventos (por lo menos la mayoría). Partiendo de ahí, podes ingeniar algo que acabe con gran parte de esos métodos, pero luego tendrás que meterte indefectiblemente con los que te menciona Eternal, que de hecho los filtros de modo kernel son muy comunes en los rootkits.

No se si los habrás leído, pero si todavía no lo hiciste, recomendado que te metas con:

"Programming the Microsoft Windows Driver Model"
"Rootkits - Subverting the Windows Kernel"


En cuanto al WinDBG, carga Win32k.sys, y luego pasas como comando al WinDBG:


Saludos!