挂钩技术学习笔记

最新推荐文章于 2021-06-18 21:11:34 发布
最新推荐文章于 2021-06-18 21:11:34 发布
阅读量425 收藏
点赞数
文章标签: hook integer function dll filter access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hktx1988/article/details/3314179
版权

  挂钩技术学习笔记


这篇文章是学习WINDOW编程中的一篇文章.以后还会有更多的学习笔记.本来我这个人是比较懒的,.学完的东西又不会做笔记.所以经常是看完后,没多久就忘光光了.这样导致了我学习东西非常的没有效率.因此以后每学些东西都会做写笔记,或画一些简单的图.


HOOK分为三种:LOCAL HOOK 和 REMOTE HOOK,还有一种是SYSTEM-WIDE


LOCAL HOOK。LOCAL HOOK就是指程序HOOK的就是本程序中的线程。REMOTE HOOK


有两种形式:一种是对其他程序中某个特定的线程;一种是对整个系统。SYSTEM – WIDE


LOCAL HOOK 是一种比较特殊的。它具有REMOTE HOOK的功能,又可以用LOCAL HOOK 的表现手法,实际上就是WH_JOURNALRECORD和WH_JOURNALPLAYBACK两种HOOK。


REMOTE HOOK 必须封装在DLL中。这是因为REMOTE HOOK是针对整个系统或其他进程的线程,因此HOOK必须封装成DLL,才可以植入到其他进程进行监控。而SYSTEM-WIDE LOCAL HOOK采用的是另外一种架构,系统中的线程请求或获得一个硬件消息的话,系统会调用那个安装有HOOK的线程,并执行它的FILTER FUNCTION.然后再返回给请求硬件消息的线程。这种架构有一个缺点就是如果HOOK FILTER FUNCTION的处理中进入无限循环的话,那么整个系统将停留再循环中,无法切换到其他线程。为了处理这个缺陷,WINDOW使用了一个办法来处理:就是CTRL+ESC键,如果用户按下CTRL+ESC键,则系统将会发送一个WM_CANCELJOUNAL消息到有挂上JOUNAL 系列HOOK的线程上面。


如果要安装一个HOOK。则要调用SetWindowsHookEx(


 int idHook,     // 挂钩类型


    HOOKPROC lpfn, // 处理过程的函数地址


    HINSTANCE hMod,     //程序的句柄


    DWORD dwThreadId   // 线程的句柄


)


卸载一个HOOK。则调用UnhookWindowsHookEx(


    HHOOK hhk        // 要移除的hook句柄


   );


如果你再FILTER FUNCTION处理完过程后,也希望其他的进程的HOOK也可以处理,则可以调用CALLNEXTHOOKEX.


《WINDOW95程序设计指南》对14中HOOK的调用时机描述得非常清楚,对各个参数的描述也非常清楚。实际上我也只用过其中几种而已,因此我只提供其中的一种HOOK的实例。这个实例是一个统计键盘的按键次数的类子,大部分代码和注释都是抄网上的代码的。


 主窗体:


unit UntKeyCount;

 

 


interface

 

 


uses


  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,


  Dialogs, StdCtrls;

 

 


const


 // Purpose: 自定义消息, 通知键盘按下


 // wParam: UINT vk - Virtual keycode


 // lParam: LPARAM lParam - Keystroke flags


 // Return: 略


  UM_MYEVENT = (WM_APP + 0);


type


  Tfrm_Keycount = class(TForm)


    btn_Star: TButton;


    btn_Stop: TButton;


    lbl_Hint: TLabel;


    lbl_Count: TLabel;


    procedure btn_StarClick(Sender: TObject);


    procedure btn_StopClick(Sender: TObject);


    procedure FormCreate(Sender: TObject);


  private


    procedure SetKeyCount(L: LongInt);


    function GetKeyCount: Longint;


    { Private declarations }


  public


  //注意:此处定义的消息记录要TMESSAGE记录


    procedure OnMyEVENT(var MSG: TMessage); message UM_MYEVENT;


    { Public declarations }


  end;

 

 


var


  frm_Keycount: Tfrm_Keycount;

 

 


function StartHook(WNDProc: HWND; uMsgNotify: UINT): Boolean; stdcall; external 'KeyHK.dll' name 'StartHook';


function StopHook: Boolean; stdcall; external 'KeyHK.dll' name 'StopHook';

 

 

 

 


implementation

 

 


{$R *.dfm}

 

 


{ Tfrm_Keycount }


//OnMyEVENT消息

 

 


function Tfrm_Keycount.GetKeyCount: Longint;


begin


  Result := GetWindowLong(frm_Keycount.Handle, GWL_USERDATA);


end;

 

 


procedure Tfrm_Keycount.OnMyEVENT(var MSG: TMessage);


var


  fDown: Boolean;


  uKeyCount: UINT;


begin


  //是否按下(导致的钩子调用)


  fDown := (HiWord(msg.LParam) and KF_UP) = 0;


  // 读取按键信息


  uKeyCount := GetkeyCount;


  //更新按键次数


  if fDown then Inc(uKeyCount);

 

 


  lbl_Count.Caption := IntToStr(uKeyCount);

 

 


  SetKeyCount(uKeyCount);


end;

 

 

 

 


procedure Tfrm_Keycount.SetKeyCount(L: Integer);


begin


  SetWindowLong(frm_Keycount.Handle, GWL_USERDATA, L);


end;

 

 


procedure Tfrm_Keycount.btn_StarClick(Sender: TObject);


begin


  if StartHook(frm_Keycount.Handle, UM_MYEVENT) then


  begin


   // btn_Star.Enabled := False;


    SetKeyCount(0);


  end


  else


    MessageBox(GetActiveWindow, '启动挂钩失败', 'KEYCOUNT', MB_OK);


end;

 

 


procedure Tfrm_Keycount.btn_StopClick(Sender: TObject);


begin


  if StopHook = False then


    MessageBox(GetActiveWindow(), '卸载挂钩失败', 'KeyCount', 0);

 

 


//  btn_Star.Enabled := not btn_Star.Enabled;


//  btn_Stop.Enabled := not btn_Stop.Enabled;

 

 


end;

 

 


procedure Tfrm_Keycount.FormCreate(Sender: TObject);


begin


SetKeyCount(0);


end;

 

 


end.

 

 

 

 


链接库


    library KeyHK;

 

 


uses


  Windows,


  Messages;


type


  PShareMem = ^TShareMem;


  TShareMem = record


    g_hook: HHOOK; //挂钩句柄


    g_WndProc: HWND; //窗体句柄


    g_uMsgNotify: UINT; //传输消息


  end;

 

 


const


  //内存映射文件


  SHARE_NAME = 'MYKEYCOUNT';

 

 


var


 //映射文件句柄


  FileMap: THandle;


 //映射文件地址


  PShared: PShareMem;


{$R *.res}


function KeyboardHook_HookProc(nCode: Integer; WPARAM: WPARAM; LPARAM: LPARAM): LRESULT; stdcall;


begin


  Result := CallNextHookEx(Pshared.g_hook, nCode, WPARAM, LPARAM);

 

 


  case nCode of


    HC_ACTION:


      begin


      //发送消息


        PostMessage(PShared.g_WndProc, PShared.g_uMsgNotify, WPARAM, LPARAM);


      end;


  end;


end;

 

 


function StartHook(WndProc: HWND; MsgNotify: UINT): Boolean; stdcall;


var


  hook: LongWord;


begin


  if PShared.g_hook <> 0 then


  begin


    Result := False;


    exit;


  end;

 

 


  PShared.g_WndProc := WndProc;


  PShared.g_uMsgNotify := MsgNotify;

 

 


  Sleep(0);


  //写同步的时候要注意这边的HOOK赋值。


  hook := SetWindowsHookEx(WH_KEYBOARD, @KeyboardHook_HookProc, HInstance, 0);


  //同步


   InterlockedExchange(Integer(PShared.g_hook), Integer(hook));

 

 

 

 


  Result := PShared.g_hook <> 0;


end;

 

 


function StopHook: Boolean; stdcall;


begin


  if PShared.g_hook <> 0 then


  begin


    //卸载


    Result := UnhookWindowsHookEx(Pshared.g_hook) ;


    PShared.g_hook := 0;


  end


  else


    Result := true;


end;

 

 

 

 


  // DLL回调


procedure DLLMain(dwReason: DWORD);


begin


  if (dwReason = DLL_PROCESS_DETACH) then


  begin


    UnmapViewOfFile(PShared);


    CloseHandle(FileMap);


  end;


end;

 

 


 // 导出函数


exports


  StartHook,


  StopHook;

 

 


 // DLL入口 (进入每个进程空间时执行)


begin


 // 设置回调


  DllProc := @DLLMain;

 

 


 // 尝试打开


  FileMap := OpenFileMapping(FILE_MAP_ALL_ACCESS, FALSE, SHARE_NAME);

 

 


 // 还未建立 


  if (FileMap = 0) then


  begin


    FileMap :=


      CreateFileMapping(DWORD(-1), nil, PAGE_READWRITE, 0, SizeOf(TShareMem), SHARE_NAME);


    PShared := MapViewOfFile(FileMap, FILE_MAP_ALL_ACCESS, 0, 0, 0);


   


    ZeroMemory(PShared, SizeOf(TShareMem));


  end else


    PShared := MapViewOfFile(FileMap, FILE_MAP_ALL_ACCESS, 0, 0, 0);


end

Roc_stone
关注
c# 钩子学习笔记
09-05
这篇学习笔记探讨了如何在C#中实现钩子,特别是关注键盘事件的捕获。 首先,我们要了解钩子的基本类型。在Windows API中,钩子分为系统钩子(Global Hooks)和线程钩子(Thread Hooks)。系统钩子可以在系统范围内...
9.3 挂钩API技术HOOK API)
qq_36314864的博客
09-29 2859
9.3 挂钩API技术HOOK API)
HOOK挂钩技术
醉等佳人归
06-18 852
文章目录1.Address Hook1.1.PE的IAT1.2.PE的EAT1.3.PE的user32.dll的回调函数表1.4.IDT1.5.SSDT和ShadowSSDT1.6.C++类的虚函数表2.Inline Hook3.Hook位置 1.Address Hook 地址hook顾名思义,就是将原函数地址直接替换成hook函数地址 1.1.PE的IAT 因为IAT具体指某个PE模块的IAT,所以他的作用范围只针对被Hook的模块,且必须在以静态链接的方式调用API时才会被Hook,在使用LoadLib
Java HOOK - 钩子机制扫盲
热门推荐
打不死的小欣的专栏
07-25 2万+
一、什么是HOOK(钩子)          对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。
Hook API(挂钩API)技术
Ginvar的专栏
08-25 2632
Hook API,简单说,就是给API函数挂钩,将本应该调用的API函数拦截,使其转而调用我们自己的函数。这里,我主要介绍如何利用IAT挂钩来实现API拦截。 在我们启动目标程序时,操作系统负责为目标程序创建虚拟地址空间,并将这个可执行模块(就是目标程序)加载到地址空间中去,接下来,系统会将目标程序所需要的DLL文件映射到地址空间。我们将需要映射到地址空间的目标程序及所需DLL统称为模块(Mod
LShadowWalker1.0学习笔记
05-03
总的来说,LShadowWalker1.0的学习笔记涵盖了驱动加载流程、设备创建、处理器核心检测以及内核级别的挂钩技术,这些都是Windows驱动开发和系统安全领域的关键知识点。通过对这些内容的理解和实践,开发者可以深入...
【80页】eBPF学习笔记1
08-03
【eBPF学习笔记1】 eBPF,全称Extended Berkeley Packet Filter,起源于Berkeley Packet Filter,是一个在Linux内核中用于定制网络封包处理逻辑的机制。自Linux 3.18版本开始,eBPF成为BPF的主要形态,引入了一系列...
笔记本电脑拆装学习教案.pptx
11-13
笔记本电脑的拆装是一项技术性很强的工作,尤其对于IT专业人士来说,掌握这项技能至关重要。这份教案旨在帮助学生从理论到实践全面理解笔记本电脑的构造,掌握拆装过程中的技巧和注意事项,以IBM T30笔记本电脑为例...
hook_play :: + 1:日常挂钩小玩法,具体参考文章可见公众号《云爬虫技术研究笔记
02-04
"hook_play :: + 1"可能指的是一个项目或者教程,它聚焦于Java环境下的钩子(hook技术,特别是针对Android系统的hook实践。这个项目可能是作者个人在日常开发中探索和积累的一种玩法,通过学习和应用这些技巧,...
Hook(钩子技术)基本知识讲解,原理
闲云野鹤的专栏
05-22 4229
一、什么是HOOK(钩子) HOOK(钩子,挂钩)是一种实现Windows平台下类似于中断的机制[24]。HOOK机制允许应用程序拦截并处理Windows消息或指定事件,当指定的消息发出后,HOOK程序就可以在消息到达目标窗口之前将其捕获,从而得到对消息的控制权,进而可以对该消息进行处理或修改,加入我们所需的功能。钩子按使用范围分,可分为线程钩子和系统钩子,其中,系统钩子具有相当...
HOOK API (一)——HOOK基础+一个鼠标钩子实例
weixin_30865427的博客
06-22 1909
HOOK API (一)——HOOK基础+一个鼠标钩子实例 原文出处:http://www.cnblogs.com/fanling999/p/4592740.html code:https://github.com/hfl15/windows_kernel_development/tree/master/demo_source_code/MouseHook 0x00 起因 最近在做毕...
基于Vue的老年人健康管理平台设计源码
09-24
该项目是基于Vue的老年人健康管理平台设计源码,共计136个文件,其中包括50个JavaScript文件、17个Python源文件、14个Python字节码文件、11个SVG图像文件、8个Markdown文档、5个XML文件、5个JSON配置文件、5个PNG图片文件、5个Vue组件文件以及2个Git忽略文件,实现了前端界面与后端逻辑的完整构建。
基于Vue.js的麻将计分系统设计源码
09-24
该项目是基于Vue.js的麻将计分系统设计源码,共包含61个文件,涵盖28个JavaScript文件、6个map文件、5个CSS样式文件、5个SVG图形文件、4个HTML页面、3个JSON配置文件、2个Vue组件文件、1个开发环境配置文件、1个生产环境配置文件、1个Git忽略文件。项目前端采用Vue框架开发,后端代码尚未开源。
Bulk Rename Utility(批量改名) v4.0.0 一款功能强大的批量文件重命名工具.rar
09-24
Bulk Rename utility(文件重命名软件)是一款简便实用的批量文件重命名工具。怎么快速多个文件改名?Bulk Rename utility(文件重命名软件)轻松帮助用户批量修改文件名。该软件具有灵活规则的自动编号文件,而且还能够根据多个灵活的标准快速重命名多个文件。 激活信息(大飞哥软件自习室)在压缩包文档内 软件特色 1、快速重命名多个文件,根据许多灵活的标准。 2、多功能的重命名方式:添加,替换文件名中插入文本。转换的情况下,添加号码。删除或更改文件扩展名。 3、在文件重命名前可以即时预览。 4、重命名的照片EXIF元数据(即“拍摄日期”,“分辨率”等信息嵌入在所有JPG图片文件)重命名你的照片文件名从一个毫无意义的dsc1790.jpg到一个新的文件名。 5、重命名MP3文件的ID3标签(又名MP3 ID3标签重命名)。 6、更改文件的创建日期和修改时间等。
geopandas安装包(pip install)_geopandas-0.14.1.tar.zip
09-24
在使用Python来安装geopandas包时,由于geopandas依赖于几个其他的Python库(如GDAL, Fiona, Pyproj, Shapely等),因此安装过程可能需要一些额外的步骤。以下是一个基本的安装指南,适用于大多数用户: 使用pip安装 确保Python和pip已安装: 首先,确保你的计算机上已安装了Python和pip。pip是Python的包管理工具,用于安装和管理Python包。 安装依赖库: 由于geopandas依赖于GDAL, Fiona, Pyproj, Shapely等库,你可能需要先安装这些库。通常,你可以通过pip直接安装这些库,但有时候可能需要从其他源下载预编译的二进制包(wheel文件),特别是GDAL和Fiona,因为它们可能包含一些系统级的依赖。 bash pip install GDAL Fiona Pyproj Shapely 注意:在某些系统上,直接使用pip安装GDAL和Fiona可能会遇到问题,因为它们需要编译一些C/C++代码。如果遇到问题,你可以考虑使用conda(一个Python包、依赖和环境管理器)来安装这些库,或者从Unofficial Windows Binaries for Python Extension Packages这样的网站下载预编译的wheel文件。 安装geopandas: 在安装了所有依赖库之后,你可以使用pip来安装geopandas。 bash pip install geopandas 使用conda安装 如果你正在使用conda作为你的Python包管理器,那么安装geopandas和它的依赖可能会更简单一些。 创建一个新的conda环境(可选,但推荐): bash conda create -n geoenv python=3.x anaconda conda activate geoenv 其中3.x是你希望使用的Python版本。 安装geopandas: 使用conda-forge频道来安装geopandas,因为它提供了许多地理空间相关的包。 bash conda install -c conda-forge geopandas 这条命令会自动安装geopandas及其所有依赖。 注意事项 如果你在安装过程中遇到任何问题,比如编译错误或依赖问题,请检查你的Python版本和pip/conda的版本是否是最新的,或者尝试在不同的环境中安装。 某些库(如GDAL)可能需要额外的系统级依赖,如地理空间库(如PROJ和GEOS)。这些依赖可能需要单独安装,具体取决于你的操作系统。 如果你在Windows上遇到问题,并且pip安装失败,尝试从Unofficial Windows Binaries for Python Extension Packages网站下载相应的wheel文件,并使用pip进行安装。 脚本示例 虽然你的问题主要是关于如何安装geopandas,但如果你想要一个Python脚本来重命名文件夹下的文件,在原始名字前面加上字符串"geopandas",以下是一个简单的示例: python import os # 指定文件夹路径 folder_path = 'path/to/your/folder' # 遍历文件夹中的文件 for filename in os.listdir(folder_path): # 构造原始文件路径 old_file_path = os.path.join(folder_path, filename) # 构造新文件名 new_filename = 'geopandas_' + filename # 构造新文件路径 new_file_path = os.path.join(folder_path, new_filename) # 重命名文件 os.rename(old_file_path, new_file_path) print(f'Renamed "{filename}" to "{new_filename}"') 请确保将'path/to/your/folder'替换为你想要重命名文件的实际文件夹路径。
设计模式-java实现.zip
最新发布
09-24
设计模式--java实现.zip
基于白鹭群优化算法ESOA-BiTCN-BiGRU-Attention的风电预测算法研究Matlab实现.rar
09-24
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
基于c语言的学生成绩管理系统的入门学习代码可用于课程设计
09-24
基于C语言设计一个学生成绩管理系统。这个项目将包括以下几个功能: 1.添加学生成绩 2.显示所有学生成绩 3.计算平均分 4.按成绩排序 5.退出程序。 以下是部分代码介绍: #include <stdio.h> #include <stdlib.h> #define MAX_STUDENTS 100 typedef struct { char name[50]; int score; } Student; 代码格式说明: 注释:使用 /* ... */ 进行多行注释,使用 // 进行单行注释。 函数定义:每个功能模块都被封装在一个函数中,提高了代码的可读性和可维护性。 代码块:使用 {} 来定义代码块,即使只有一行代码也要使用 {} 包围。 缩进:使用四个空格进行缩进,保持了代码的整洁。 变量声明:在函数的开始处声明局部变量。 循环和条件语句:使用 while、for、if、switch 等控制结构来控制程序的流程。 输入输出:使用 printf 和 scanf 进行基本的输入输出操作。 字符串处理:使用 strcpy 函数来复制字符串。
LShadowWalker1.0学习笔记:驱动入门与内存挂钩技术
通过这个笔记学习者的目标是在假期结束时能够独立编写类似的功能,这表明他们可能正在学习如何利用内核模式编程技术来实现驱动器隐藏和系统监控。理解并掌握这样的技术对于深入理解操作系统底层工作原理和安全领域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值