Windows 10 Creators Update でグローバルフックをインストールすると失敗の監査が記録される問題について


 

こんにちは、Platform SDK (Windows SDK) サポートチームです。
今回は、Windows 10 Creators Update において、グローバルフックがインストールされている場合に確認されている問題についてご案内します。
 
現象
Windows 10 Creators Update 環境において、SetWindowsHookEx 関数を使用してグローバルフックをインストールすると、セキュリティ ログへ下記のような失敗の監査が記録される現象が確認されております。

グローバルフック関数を実装したダイナミックリンクライブラリ(DLL)に対して、ハッシュが有効ではないことを示唆するイベントとなっていますが、実際には DLL は破損していません。

また、DLL に適切な署名がされていてもこのイベントは記録されます。
 
----------------------------------------------------
ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2017/xx/xx xx:xx:xx
イベント ID:       5038
タスクのカテゴリ:      システムの整合性
レベル:           情報
キーワード:         失敗の監査
ユーザー:          N/A
コンピューター:       xxxxxxxxxx
説明:
コードの整合性によって、ファイルのイメージ ハッシュが有効でないと判断されました。このファイルは、無許可の変更によって破損しているか、無効なハッシュがディスク デバイス エラーの可能性を示している場合があります。
 
ファイル名:    \Device\HarddiskVolume2\Program Files\HookTest\HookTest.dll
----------------------------------------------------
 
原因
Windows 10 Creators Update 環境において、システム上の一部のプロセスで、高いセキュリティを確保する目的からマイクロソフト製以外のモジュールの読み込みがブロックされています。
この影響でグローバルフックを実装した DLL の読み込みも拒否されてしまう設計となっております。
 
回避策
回避策はございません。
セキュリティログへ失敗の監査が記録される以外に影響はありませんので、対処の必要はございません。
 
状況
進展があり次第、更新予定です。


Skip to main content