Windows 反消息钩子(1)

最新推荐文章于 2023-02-20 14:42:11 发布
最新推荐文章于 2023-02-20 14:42:11 发布
阅读量5.6k 收藏 7
点赞数 2
分类专栏: Windows OS 文章标签: windows winapi api hook exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songjinshi/article/details/7808624
版权

       消息钩子在Windows编程中有着非常广泛的应用,它可以任意拦截Windows系统,这个以消息为驱动的系统中的绝大多数消息类型。一方面这给编程者带来了巨大的灵活性,另一方面也埋下了巨大隐患,大多数窃密软件都使用这种方法。此篇文章给您提供一种钩子的反拦截方法,希望对您有所帮助。文章中使用了API钩子,您之前必须对此技术有一定了解。  
          为求完整,文章分为两部分,第一部分为消息钩子的使用,熟悉此技术的读者可以直接跳过此节。第二部分为消息钩子的反拦截。  

一、消息钩子的使用

      消息钩子分为本地(local)和远程(remote)两种(两个local   system-wide   hook例外,无关主题,不多说了)。local类型的钩子函数只能拦截本进程的消息。能够拦截本进程以外的消息的钩子,都是remote类型。remote类型的钩子必须放在DLL里面。下面以remote类型为例,通过安装键盘钩子介绍其使用。  

     1、首先建立DLL,在头文件中添加如下代码。  

 #ifdef   KM_EXPORTS  
  #define   KM_API   __declspec(dllexport)  
  #else  
  #define   KM_API   __declspec(dllimport)  
  #endif  
   
  KM_API   BOOL   HookStart();//安装钩子  
  KM_API   BOOL   HookStop();//卸载钩子

     2、在.cpp文件中添加代码  

    
  #pragma   data_seg("Shared")  
  HHOOK   g_hhookKey=NULL;  
  #pragma   data_seg()  
  #pragma   comment(linker,"/SECTION:Shared,RWS")

    g_hhookKey为键盘钩子的句柄,为确保此数值在所有实例中均保持不变,将其存放于此模块所有实例的共享数据区,若在exe程序中按此格式添加一int   变量   appNum,在程序启动时appNum++,则可以通过访问此变量的数值,确定有多少个exe的实例,当然这种方法也可以替代同步对象用于只启动一个实例。  
 
  HINSTANCE   g_hinstDll=NULL;         //添加全局变量用于记录此DLL模块的句柄  
  BOOL   APIENTRY   DllMain(   HANDLE   hModule,     DWORD     ul_reason_for_call,     LPVOID   lpReserved   )  
  {  
      switch   (ul_reason_for_call)  
      {  
          case   DLL_PROCESS_ATTACH:  
          g_hinstDll=(HINSTANCE)hModule;//在DLL加载时对全局变量赋值  
          ..................  
      }  
  }  
   
  LRESULT   KeyHookProc(int   nCode,WPARAM   wParam,LPARAM   lParam)//键盘钩子的过滤函数  
  {  
      .....................  
      return::CallNextHookEx(g_hhookKey,nCode,wParam,lParam);//*****请留意此行代码*****  
  }  
   
  BOOL   HookStart()//安装钩子  
  {    
      g_hhookKey=::SetWindowsHookEx(WH_KEYBOARD,(HOOKPROC)KeyHookProc,g_hinstDll,  
                                ::GetWindowThreadProcessId(::FindWindow(NULL,"被监视的窗口的标题"),NULL)   );  
      return   (g_hhookKey!=NULL);  
  }  
   
  BOOL   HookStop()//卸载钩子  
  {  
      BOOL   ret;  
      if(g_hhookKey!=NULL)  
      ret=::UnhookWindowsHookEx(g_hhookKey);  
      g_hhookKey=NULL;  
      return   ret;  
  }

   只要在exe程序中调用HookStart函数,就可以监视某一窗口的键盘消息,若此窗口为QQ的密码框,你的密码就泄漏了。  
   
         

二、消息钩子的反拦截

    请留意前面带*号注释的代码,其中传入了钩子的句柄g_hhookKey,只要使用API钩子将CallNextHookEx函数替换,并在替换函数中将其卸载,消息钩子就完蛋了。同时,还要保证本进程安装的钩子不被卸载,其中既可能有local类型的还可能有remote类型的。不要以为自己没有在程序中安装钩子,程序中就一定没有安装钩子,在MFC4版本中,MFC会自己装一个local类型的钩子,MFC7版本中好像没了。好了,下面介绍其实现。  

    1、建立DLL,在头文件中添加如下代码。  

  #ifdef   HOOKFORBID_EXPORTS  
  #define   HOOKFORBID_API   __declspec(dllexport)  
  #else  
  #define   HOOKFORBID_API   __declspec(dllimport)  
  #endif  
   
  HOOKFORBID_API   int   fnHookForbid(void);//在exe程序中调用此函数,使DLL加载  
  HOOKFORBID_API   bool   AddHhook(HHOOK   Hhook);//若exe中安装remote类型消息钩子,将其句柄添加  
  HOOKFORBID_API   bool   DelHhook(HHOOK   Hhook);//在exe中卸载remote类型消息钩子时,删除其句柄        

    2、在.cpp文件中添加代码

  CArray<HHOOK,HHOOK>   array;//用于记录本进程安装的钩子的句柄  
  //  
  int   fnHookForbid(void)  
  {  
      return   1;  
  }  
   
  bool   AddHhook(HHOOK   Hhook)  
  {  
      array.Add(Hhook);  
      return   true;  
  }  
   
  bool   DelHhook(HHOOK   Hhook)  
  {  
      bool   ret=false;  
      for(int   i=0;i<array.GetSize();i++)  
      {  
          if(array.GetAt(i)==Hhook)  
          {  
              array.RemoveAt(i);  
              ret=true;  
              break;  
          }  
      }  
      return   ret;  
  }  
  //

下面的代码用于API替换,其中用到了CAPIHook   类,《Windows   核心编程》(Jeffrey   Richter著)一书中有源代码。使用其它开发包也可以实现此功能。  
    
  //  
  typedef   HHOOK   (WINAPI   *PFNSETWINDOWSHOOKEX)(  
          int   idHook,  
          HOOKPROC   lpfn,  
          HINSTANCE   hMod,  
          DWORD   dwThreadId  
  );  
   
  typedef   LRESULT     (WINAPI   *PFNCALLNEXTHOOKEX)(  
          HHOOK   hhk,  
          int   nCode,  
          WPARAM   wParam,  
          LPARAM   lParam  
  );  
  //  
   
  extern   CAPIHook   g_SetWindowsHookExA;  
  extern   CAPIHook   g_SetWindowsHookExW;  
  extern   CAPIHook   g_CallNextHookEx;  
   
  //  
   
  //此函数用于替换SetWindowsHookEx函数的ASCII版本SetWindowsHookExA  
  HHOOK   WINAPI   Hook_SetWindowsHookExA(   int   idHook,     HOOKPROC   lpfn,     HINSTANCE   hMod,     DWORD   dwThreadId   )    
  {  
      HHOOK   nResult   =0;  
   
      nResult   =   ((PFNSETWINDOWSHOOKEX)(PROC)   g_SetWindowsHookExA)(   idHook,   lpfn,     hMod,   dwThreadId     );  
   
      //若在本进程中安装了local类型钩子,记录其句柄  
      if(hMod==NULL)                    
          array.Add(nResult);  
   
      return(nResult);  
  }  
   
  //此函数用于替换SetWindowsHookEx函数的UNICODE版本SetWindowsHookExW  
  HHOOK   WINAPI   Hook_SetWindowsHookExW(   int   idHook,   HOOKPROC   lpfn,     HINSTANCE   hMod,   DWORD   dwThreadId     )    
  {  
      HHOOK   nResult   =0;  
   
      nResult   =   ((PFNSETWINDOWSHOOKEX)(PROC)   g_SetWindowsHookExW)(   idHook,   lpfn,     hMod,     dwThreadId     );  
   
      //若在本进程中安装了local类型钩子,记录其句柄  
      if(hMod==NULL)                    
          array.Add(nResult);  
   
      return(nResult);  
  }  
   
  //此函数用于替换CallNextHookEx函数,此函数只有一个版本  
  LRESULT     WINAPI   Hook_CallNextHookEx(   HHOOK   hhk,   int   nCode,     WPARAM   wParam,   LPARAM   lParam)    
  {  
      LRESULT     nResult   =0;  
   
      nResult   =   ((PFNCALLNEXTHOOKEX)(PROC)   g_CallNextHookEx)(   hhk,   nCode,   wParam,     lParam   );  
   
      //在数组中查找句柄,若找不到,将其卸载  
      bool   bfind=false;                      
      for(int   i=0;i<array.GetSize();i++)  
      {  
          if(array.GetAt(i)==hhk)  
          {  
              bfind=true;  
              break;  
          }  
      }  
      if(!bfind)  
      {  
          UnhookWindowsHookEx(     hhk     );  
      }  
      return   (nResult);  
  }  
   
  //  
   
  //使用CAPIHook   类对函数进行替换  
  CAPIHook   g_SetWindowsHookExA("User32.dll",   "SetWindowsHookExA",    
        (PROC)   Hook_SetWindowsHookExA,   true);  
   
  CAPIHook   g_SetWindowsHookExW("User32.dll",   "SetWindowsHookExW",    
        (PROC)   Hook_SetWindowsHookExW,   true);  
   
  CAPIHook   g_CallNextHookEx("User32.dll",   "CallNextHookEx",    
        (PROC)   Hook_CallNextHookEx,   true);

      到了这里,所有工作都完成了,只要在exe程序中调用fnHookForbid函数,并在安装remote类型钩子时调用AddHhook函数记录其句柄,卸载时调用DelHhook函数删除句柄就万事ok了。  
       一点不足:这种方法可以有效屏蔽消息钩子对信息安全的威胁。可以使Spy++失效。然而,由于是在CallNextHookEx函数中卸载钩子,因此,钩子函数总是会被调用一次。还有一件非常费解的事,金山词霸总能够正常取词,不知道词霸是怎么做到的。  
      本人并非专业程序员,   若此方法存在任何错误或隐患,敬请批评指出,请不要在帖子上损我。  

     呵呵!假如我的钩子是这么用的:  
    

  FUN_SETWINDOWSHOOKA   *pFn   =   (FUN_SETWINDOWSHOOKA   *)  
  ::GetProcAddress(::GetModuleHandle("kernel32.dll"),   "SetWindowsHookA");  
   
  pFn(...);

  你的方法还是屏蔽不了哦!不信试验一下!记得给分哦!(该法为:“反反API钩子大法 ”)  
   
  当然!同理也可以绕过API钩子!有同样兴趣的人记得发消息给我哦!  
   
  首先声明一下:我拦截的是消息钩子,如果安装钩子时考虑到了反卸载则不在讨论之内。  
  其次:上述方法不可靠,对CAPIHook类进行更改,可以实时对地址进行替换,就象消息钩子被调用次序的不确定性一样,到时候没法确定那个替换函数被调用了。
Vincent_Song
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
键盘钩子-windows消息机制-抓取用户按下的每一个按键
03-16
用于抓取用户输入的键盘消息,已封装好类。无钩子功能
Win64 驱动内核编程-28.枚举消息钩子
天使也掉毛
04-01 4729
枚举消息钩子  简单粘贴点百度的解释,科普下消息钩子钩子WINDOWS消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。 钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,鼠标钩子可以截获鼠标消息,外壳钩子可以截获启动和关闭应用程序的消息,日志钩子可以监视和记录输入事件。
windows钩子、SetWindowsHookEx函数的使用
zyq031010的博客
02-20 1823
Windows 钩子技术相关
windows 消息钩取
m0_62690279的博客
04-27 1934
windows 消息钩取 当键盘发生输入事件时,键盘消息钩子就会提前获得消息的内容、类型 并且可以对其做出修改 实现消息钩子api:SetWindowsHookEx HHOOK WINAPI SetWindowsHookEx( _In_ int idHook,            设置钩子的类型.意思就是我要设置的钩子是什么钩子. 可以是监视窗口过程.可以是监视消息队列. _In_ HOOKPROC lpfn,             根据钩子类型.设置不同的回调函数. _In_ H
Windows 消息钩子(2)
宋金时的专栏
07-31 3523
Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。   一、全局钩子如何注入别的进程       消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了
ff.rar_钩子_钩子 消息
09-24
消息钩子Windows编程中有着非常广泛的应用,它可以任意拦截Windows系统,这个以消息为驱动的系统中的绝大多数消息类型。一方面这给编程者带来了巨大的灵活性,另一方面也埋下了巨大隐患,大多数窃密软件都使用这种...
bank_mitigations:键盘记录器,屏幕记录器...通过钩子进行保护或通过间谍软件检测来改善沙盒的策略...-演示
05-18
bank_mitigations 防键盘记录器,防屏幕记录器...使用钩子进行保护的策略。 您可以将沙盒与恶意软件一起使用,请在以下位置阅读演示文稿: 视频PoC第1部分-阻止键盘记录程序: 视频PoC第2部分-阻止屏幕记录器:
windows编程资料大全
10-26
当用户移动鼠标或按下键盘键时,Windows调用其中的一个钩子并且钩子函数开始记录时间: LRESULT CALLBACK MyMouseHook(int code,WPARAM wp,LPARAM lp) { if (code==HC_ACTION) { // note the tick count g_...
防止消息钩子入侵
cackeme的专栏
04-28 1785
很久以前就知道可以使用LoadLibraryExW来防止全局钩子入侵,说实话一直很消息钩子。曾经想过在驱动层通过过hook NtUserSetWindowsHookEx来防止,但是我们并不是很好区分钩子不是不恶意的,而且windows系统本身也会使用,还有就是驱动层很多安全软件和rootkit都盯上了,稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibrar
EnumHook - 枚举系统钩子
02-10
EnumHook - 枚举系统钩子 有研究或探讨或开源的请加群:37424970 或联系本人MSN或邮箱:[email protected]
枚举消息钩子,钩子消息钩子检测
07-13
枚举消息钩子,钩子消息钩子检测,供大家参考
不使用DLL安装全局键盘钩子.cpp
09-20
安装鼠标钩子 用到的函数有: SetWindowsHookExA() //设置钩子 GetModuleHandle() //获取模块句柄 UnhookWindowsHookEx() //关闭钩子 SetDlgItemText() //设置控件文本 用到的结构体有: KBDLLHOOKSTRUCT 步骤一:在XXXXXDlg.cpp顶端定义 #define WH_KEYBOARD_LL 13 typedef struct tagKBDLLHOOKSTRUCT { DWORD vkCode; DWORD scanCode; DWORD flags; DWORD time; DWORD dwExtraInfo; }
消息钩子代码实现
07-25
拦截windows窗口消息,代码中给出了拦截WM_COMMAND消息的例子
9.2 Windows钩子
qq_36314864的博客
09-27 1116
9.2 Windows钩子
Java HOOK - 钩子机制扫盲
热门推荐
打不死的小欣的专栏
07-25 2万+
一、什么是HOOK钩子)          对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。
windows钩子函数实现
最新发布
05-21
Windows钩子函数是一种Windows API机制,它允许程序在操作系统中拦截和监视特定事件或消息。这些事件或消息可以是键盘、鼠标、消息队列等。钩子函数通常用于记录用户输入,或者在特定条件下触发自定义操作。 实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值