Windows操作系统全局消息钩子Bug

场景：

ProcessA与ProcessB是同一个程序的两个实例，

1、两个进程都设置了WH_CBT消息钩子，钩子的消息处理都在TSVulFw.dat模块的同一个函数。

2、两个进程具有相同的名称，但是PID不同。

当进程通过以下流程执行时，就会出现一个BUG

BUG分析：

ProcessA首先设置了全局的WH_CBT钩子，SetWindowsHookEx最终会调用到win32k.sys的zzzSetWindowsHookEx函数，GetHmodTableIndex(UNICODE_STRING)可以定义到模块名称。创建一个新的HOOK结构地址0xbbe566e8

模块地址：

C:/DocumentsandSettings/AllUsers/ApplicationData/Tencent/TSVulFw/TSVulFw.dat

模块Index：

GetHmodTableIndex()的到ihmod=3

ProcessB也设置了全局的WH_CBT钩子，SetWindowsHookEx最终会调用到win32k.sys的zzzSetWindowsHookEx函数，GetHmodTableIndex(UNICODE_STRING)可以定义到模块名称。创建一个新的HOOK结构地址0xbbe5ef58

ProcessA执行UnhookWindowsHookEx操作，最终调用win32k.sys的zzzUnhookWindowsHookEx函数，该函数Unhook的Hook结构竟然是ProcessB的，结构的地址0xbbe5ef58，从图中“ddedi”命令可以看到Hook结构的内容，地址是0xbbe5ef58，下一个结构的地址是ProcessA设置的Hook结构0xbbe566e8。

ProcessA没有Unhook自己的Hook结构，反而Unhook了ProcessB设置的Hook结构，BUG啊~~~~~

最后ProcessA退出的时候，调用xxxDestroyThreadInfo->FreeThreadsWindowHooks->UnlinkHook(PHOOK)，将ProcessA自己设置的WH_CBT全局消息钩子给Unhook了。

Process B UnHook时，HHook句柄已经为NULL了