如何让Windows 11应用阻止其他应用通过SetWindowsHookEx注入DLL？

阿华AIGC实验室

2026-4-2

嘿，这个问题问到点子上了——谁都不想自己的进程被陌生DLL悄咪咪注入对吧？在Windows 11上，咱们有不少办法可以应对这种情况，从系统级的硬核防护到代码层面的巧招都有，我给你逐一拆解：

一、启用受保护进程（PPL）属性，从根源上阻止注入

这是防护力度最强的方案，因为Windows的受保护进程（尤其是Protected Process Light，PPL）会严格限制外部进程的操作，普通的SetWindowsHookEx根本没法往PPL进程里注入DLL。

不过这个方法有门槛：你的应用需要具备对应的数字签名（比如微软的代码签名证书，或者加入Windows硬件兼容性计划），或者通过特定的系统API申请PPL权限。如果是普通开发者，可能需要先搞定签名问题，但一旦启用，几乎能挡住所有非系统级的注入尝试。

二、配置进程缓解策略，限制DLL加载来源

Windows 11提供了进程缓解策略，可以直接限制进程能加载的DLL类型，从源头上阻止恶意钩子DLL进入：

具体操作方式：

代码层面配置：在应用启动初期调用SetProcessMitigationPolicy函数，设置相关规则，比如只允许加载微软签名的DLL，或者阻止加载远程（网络共享）DLL：

#include <windows.h>

int main() {
    PROCESS_MITIGATION_IMAGE_LOAD_POLICY imagePolicy = {0};
    // 阻止加载非微软签名的DLL
    imagePolicy.BlockNonMicrosoftBinaries = 1;
    // 阻止加载来自网络共享的DLL
    imagePolicy.NoRemoteImages = 1;

    SetProcessMitigationPolicy(ProcessImageLoadPolicy, &imagePolicy, sizeof(imagePolicy));

    // 你的应用逻辑...
    return 0;
}

Manifest配置：如果不想写代码，也可以在应用的manifest文件里添加缓解策略声明，让系统在启动应用时自动生效。
组策略/注册表配置：企业环境下可以通过组策略，针对你的应用进程设置全局的缓解规则，不用修改应用代码。

三、挂钩自身进程的DLL加载函数，拦截陌生DLL

你可以在自己的进程里挂钩LoadLibraryW、LoadLibraryA、LoadLibraryExW这些DLL加载函数，当发现有陌生的DLL要被加载时，直接拒绝加载请求。

比如用MinHook这类轻量的钩子库，实现一个拦截逻辑：

// 伪代码示例
typedef HMODULE(WINAPI* LoadLibraryW_t)(LPCWSTR lpLibFileName);
LoadLibraryW_t originalLoadLibraryW;

HMODULE WINAPI hookedLoadLibraryW(LPCWSTR lpLibFileName) {
    // 检查要加载的DLL路径/名称，判断是否是允许的DLL
    std::wstring dllPath = lpLibFileName;
    if (dllPath.find(L"可疑的钩子DLL名称") != std::wstring::npos) {
        // 拒绝加载，返回NULL
        return NULL;
    }
    // 允许加载合法DLL，调用原函数
    return originalLoadLibraryW(lpLibFileName);
}

// 初始化钩子
MinHook::Initialize();
MinHook::CreateHook(&LoadLibraryW, hookedLoadLibraryW, (void**)&originalLoadLibraryW);
MinHook::EnableHook(&LoadLibraryW);

⚠️ 注意：这个方法需要你准确识别合法DLL和恶意DLL，别误拦了系统必要的DLL；另外，高级攻击者可能绕过这种钩子，但对付普通的SetWindowsHookEx注入已经足够。