Hook及其应用

原创 2004年08月09日 16:00:00

Hook及其应用
  Hook可真是一个了不起的家伙,它有时令人又爱又怕!那么什么是Hook呢?原来呀,它是用来拦截系统某些信息之用,例如说,我们想让系统不管在什麽地方只要按个Ctl-N便执行NotePad,或许您会使用Form的KeyPreview ,设定为True,但在其他Process中按Ctl-N呢?那就没有用,这时就得设一个Keyboard Hook来拦截所有Key in的键;再如:MouseMove的Event只在该Form或Control上有效,如果希望在Form的外面也能得知Mouse Move的信息,那只好使用Mouse Hook来栏截Mouse 的信息。Hook呢,可以是整个系统为范围(Remote Hook),即其他 Process的动作您也可以拦截,也可以是LocalHook,它的拦截范围只有Process本身。 Remote Hook的Hook Function要在.Dll之中,Local Hook则在.Bas中。

  在VB如何设定Hook呢?使用SetWindowsHookEx()

  Declare Function SetWindowsHookEx Lib "user32" Alias "SetWindowsHookExA"(ByVal idHook As Long, ByVal lpfn As Long, ByVal hmod As Long, ByVal dwThreadId As Long) As Long

  idHook代表是何种Hook,有以下几种

Public Const WH_CALLWNDPROC = 4 Public Const WH_CALLWNDPROCRET = 12 Public Const WH_CBT = 5 Public Const WH_DEBUG = 9 Public Const WH_FOREGROUNDIDLE = 11 Public Const WH_GETMESSAGE = 3 Public Const WH_HARDWARE = 8 Public Const WH_JOURNALPLAYBACK = 1 Public Const WH_JOURNALRECORD = 0 Public Const WH_KEYBOARD = 2 Public Const WH_MOUSE = 7 Public Const WH_MSGFILTER = (-1) Public Const WH_SHELL = 10 Public Const WH_SYSMSGFILTER = 6   lpfn代表Hook Function所在的Address,这是一个CallBack Fucnction,当挂上某个Hook时,我们便得定义一个Function来当作某个信息产生时,来处理它的Function,这个Hook Function有一定的参数格式

  Private Function HookFunc(ByVal nCode As Long,ByVal wParam As Long, ByVal lParam As Long ) As Long

  nCode 代表是什麽请况之下所产生的Hook,随Hook的不同而有不同组的可能值wParam lParam 传回值则随Hook的种类和nCode的值之不同而不同。

  因这个参数是一个 Function的Address所以我们固定将Hook Function放在.Bas中,并以AddressOf HookFunc传入。至于Hook Function的名称我们可以任意给定,不一定叫HookFunc

  hmod 代表.DLL的hInstance,如果是Local Hook,该值可以是Null(VB中可传0进去),而如果是Remote Hook,则可以使用GetModuleHandle(".dll名称")来传入。

  dwThreadId 代表执行这个Hook的ThreadId,如果不设定是那个Thread来做,则传0(所以 一般来说,Remote Hook传0进去),而VB的Local Hook一般可传App.ThreadId进去。
  值回值 如果SetWindowsHookEx()成功,它会传回一个值,代表目前的Hook的Handle, 这个值要记录下来。
  因为A程序可以有一个System Hook(Remote Hook),如KeyBoard Hook,而B程序也来设一 个Remote的 KeyBoard Hook,那麽到底KeyBoard的信息谁所拦截?答案是,最後的那一个 所拦截,也就是说A先做 keyboard Hook,而後B才做,那信息被B拦截,那A呢?就看B的 Hook Function如何做。如果B想让A的 Hook Function也得这个信息,那B就得呼叫 CallNextHookEx()将这信息Pass给A,於是产生Hook的一个连线。如果B中不想Pass这信息给A,那就不要呼叫CallNextHookEx()。

Declare Function CallNextHookEx Lib "user32" Alias "CallNextHookEx" _ (ByVal hHook As Long, _ ByVal ncode As Long, _ ByVal wParam As Long, _ lParam As Any) As Long   hHook值是SetWindowsHookEx()的传回值,nCode, wParam, lParam则是Hook Procedure 中的三个参数。
  最後是将这Hook去除掉,请呼叫UnHookWindowHookEx()
  Declare Function UnhookWindowsHookEx Lib "user32" Alias "UnhookWindowsHookEx" _
(ByVal hHook As Long) As Long
  hHook便是SetWindowsHookEx()的传回值。此时,以上例来说,B程序结束Hook,则换A可 以直接拦截信息。

IAT Hook的原理

(PE文件不熟悉,dll注入了,用IAT拦截了,可是具体原理还是不熟悉,收藏资料以备来日复习…… 转载自:http://www.cnblogs.com/71dao/archive/2008/12...
  • BetaBin
  • BetaBin
  • 2013年03月13日 17:06
  • 4374

HOOK钩子机制

最近在看一些编程相关的书籍和资料,知识碰见了,就想把它记下来,以便日后能用的上,也可能只是浅显的概念!可能有错,但是有值得参考的地方,慢慢充电吧! 一、理解:钩子,顾名思义就是钩东西的,...
  • gogoky
  • gogoky
  • 2016年05月03日 20:44
  • 1707

Hook钩子C#实例

一。写在最前 本文的内容只想以最通俗的语言说明钩子的使用方法,具体到钩子的详细介绍可以参照下面的网址: http://www.microsoft.com/china/community/p...
  • qq452626100
  • qq452626100
  • 2016年09月01日 13:32
  • 3071

iOS 逆向-非越狱手机Hook App

引子由于对iOS逆向分析很感兴趣,所以也花了很长一段时间学习了iOS逆向相关知识,并积累了一些相关经验,在越狱设备上成功让我爽了一把,前段时间比较火的微信抢红包功能也是一步一脚印让自己给弄出来了。后来...
  • ChSaDiN
  • ChSaDiN
  • 2016年06月13日 13:52
  • 9112

Android平台的 Ptrace, 注入, Hook 全攻略

Android平台上的Ptrace已经流行很久了,我记得最早的时候是LBE开始使用Ptrace在Android上做拦截,大概三年前我原来的同事yuki (看雪上的古河) 写了一个利用Ptrace注入的...
  • heikefangxian23
  • heikefangxian23
  • 2016年06月03日 16:25
  • 2992

Android so注入( inject)和Hook(挂钩)的实现思路讨论

前面的博客中分析一些Android的so注入和Hook目标函数的代码,它们的实现思路基本是一致的只是在一些细节实现的地方稍有不同。下面的文章中,将前面学习的别人的Android的so注入和目标函数的H...
  • QQ1084283172
  • QQ1084283172
  • 2017年01月07日 22:59
  • 2357

Android 中利用XPosed拦截系统消息

一、前言  关于Xposed框架相信大家应该不陌生了,他是Android中Hook技术的一个著名的框架,还有一个框架是CydiaSubstrate,但是这个框架是收费的,而且个人觉得不怎么好用,而Xp...
  • SouthAndy
  • SouthAndy
  • 2017年04月24日 14:06
  • 806

ObjectC Hook函数的实现与实战

一、简介在一个类没有实现源码的情况下,如果你要改变一个类的实现方法,你可以选择重继承该类,然后重写方法,或者使用Category类别名暴力抢先的方式。但是这两种方式,都需要我们在使用的时候改变我们的编...
  • yixiangboy
  • yixiangboy
  • 2016年05月21日 23:35
  • 1948

windows下的内联hook实现

HOOK技术正如其名,就像是代码中放下的一个“钩子”,它在静静地等待捕获系统中的某个消息或动作。在编程技术中,钩子技术在DOS时代就已经存在了。在windows下,钩子按照实现技术的不同和挂钩位置的不...
  • wzxq123
  • wzxq123
  • 2016年05月19日 18:17
  • 2517

HOOK技术的一些简单总结

好久没写博客了, 一个月一篇还是要尽量保证,今天谈下Hook技术。 在Window平台上开发任何稍微底层一点的东西,基本上都是Hook满天飞, 普通应用程序如此,安全软件更是如此, 这里简单...
  • wzsy
  • wzsy
  • 2015年10月27日 14:56
  • 1078
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Hook及其应用
举报原因:
原因补充:

(最多只允许输入30个字)