《Windows核心编程》之“Windows挂钩”(一)

最新推荐文章于 2024-09-27 00:18:42 发布
最新推荐文章于 2024-09-27 00:18:42 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: Windows操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sagittarius_Warrior/article/details/52182007
版权
本文介绍了《Windows核心编程》中提到的Windows Hook技术,特别是DLL注入和窗口子类化。首先阐述了Windows应用程序的事件驱动和消息响应机制,接着详细讲解了消息循环和消息队列的工作原理。然后,文章深入讨论了窗口子类化的方法,包括SDK编程和MFC中的实现,以及如何通过截取和处理消息来扩展和监视窗口行为。
摘要由CSDN通过智能技术生成

        《Windows核心编程》一书中介绍了一种针对带窗口的Windows应用程序的“DLL注入”的方法——Windows Hook(窗口挂钩)。本系列文章将探讨这种技术的原理和分享我的实验心得。


一、Windows应用程序基本知识

1,“事件驱动,消息响应”

    Windows程序是一种“事件驱动”型的程序(相对“非事件驱动型程序”)。要理解Windows程序的运行过程,我们必须先理解Windows操作系统中设计的这套“事件驱动,消息响应”的消息机制。而要理解Windows的消息机制,我们就要先理清“事件”与“消息”的关系。

1)事件(event):

    事件是与操作系统底层相关的概念,主要分为两类:硬件事件和系统事件。按下鼠标,按下键盘,按下游戏手柄,插入U盘等都会产生在操作系统中产生事件,这类与硬件相关的事件就是硬件事件;定时器事件,绘图事件(首次调showWindow,或者移动窗口,或者窗口被遮挡后又重新出现等都会触发绘图事件)等这类与硬件没有直接关系的事件就是系统事件(纯抽象性的)。

2)消息(message):

    消息是对事件的封装,它相对事件来说是更高级和抽象的概念。举例来说:当鼠标被按下,产生了鼠标按下事件,windows侦测到这一事件的发生,随即发出鼠标被按下的消息到消息队列中,这消息附带了一系列相关的事件信息,比如鼠标哪个键被按了,在哪个窗口被按的,按下点的坐标是多少?如此等等。

    此处参考:http://www.cnblogs.com/welen/articles/5115213.html    (比较“事件”和“消息”设计的优缺点)

    在Qt中,用“信号”(Signal)来表示消息。Qt中的信号与槽(slot)函数,对应于Windows的消息与窗口函数(WndProc)。(不完全等价)

    

2,消息循环和消息队列

    我们可以通过VS新建一个名为“Hello"的默认的“Windows Application”,观察VS自动生成的一些框架代码来理解Windows应用程序的消息机制。主要是看”Hello.cpp“文件。

1)每一个Windows应用程序都会维持一个”消息循环“

    在”Hello.cpp“文件的有一个入口函数”wWinMain”,该函数的最后定义并开启了如下一个“消息循环”

最低0.47元/天 解锁文章
Sagittarius_Warrior
关注
专栏目录
WINDOWS核心编程--Windows程序内部运行机制
20岁爱吃必胜客
11-10 1336
WinMain 函数接收 4 个参数,这些参数都是在系统调用 WinMain 函数时,传递给应用程序的。第一个参数 hInstance 表示该程序当前运行的实例的句柄,这是一个数值。当程序在 Windows 下运行时,它唯一标识运行的实例(注意,只有运行的程序实例,才有实例句柄)。一个应用程序可以运行多个实例,每运行一个实例,系统都会给该实例分配一个句柄值,并通过 hInstance 参数传递给 WinMain 函数。第二个参数 hPre
Windows核心编程第五版pdf
weixin_30568715的博客
02-28 4288
下载地址:网盘下载图书简介:编辑这是一本经典的Windows核心编程指南,从第1版到第5版,引领着数十万程序员走入Windows开发阵营,培养了大批精英。作为Windows开发人员的必备参考,本书是为打算理解Windows的C和C++程序员精心设计的。第5版全面覆盖Windows XP,Windows Vista和Windows Server 2008的17...
windows核心编程系列》十八谈谈windows钩子
系统运维
12-01 913
windows应用程序是基于消息驱动的。各种应用程序对各种消息作出响应从而实现各种功能。 windows钩子是windows消息处理机制的一个监视点,通过安装钩子可以达到监视指定窗口某种类型的消息的功能。所谓的指定窗口并不局限于当前进程的窗口,也可以是其他进程的窗口。当监视的某一消息到达指定的窗口时,在指定的窗口处理消息之前,钩子函数将截获此消息,钩子函数既可以加工处理该消息,也可以不作任何...
C++ Windows Hook 消息钩子 详解
最新发布
2401_87429224的博客
09-27 951
C++ Windows Hook 消息钩子 详解
Windows 钩子
GAME-LAB(游戏开发,微信公众号:fury-programer)
02-28 997
 Windows钩子Windows应用程序的运行模式是基于消息驱动的,任何线程只要注册了窗口类就会有一个消息队列来接收用户的输入消息和系统消息。为了取得特定线程接收或发送的消息,就要 Windows提供的钩子。 钩子的概念 钩子(Hook)是Windows消息处理机制的一个监视点,应用程序可以在这里安装一个子程序(钩子函数)以监视指定窗口某种类型的消息,所监视的窗口可以是
HOOK钩子机制学习笔记(1)
popkiler的专栏
08-24 1098
  HOOK钩子机制学习笔记(1) 一、什么是钩子(hook)    Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。钩子(hook)是一种特殊的消息处理机制,钩子可以监视系统或进程的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统安装自定义的钩子,监视系统特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输
Windows下的钩子
wodamazi
09-21 217
Windows下的钩子 2011-9-9 API钩子应用程序将kernel32.dll加载到自己的私有空间0x0001000~0x7FFE0000之间,所以本地进程只要能访问目标进程的地址空间,就可以直接重写kernel32.dll或应用程序导入表的任何函数。通过利用机器码重写DLL文件特定的文件或重写目标应用程序的导入表,使其指向自己想要的函数。利用这种方式,可以完成隐藏进程,隐藏网...
Windows应用程序核心_Windows应用程序捆绑核心编程_
10-03
Windows应用程序捆绑核心编程》基于作者在计算机编程方面的多年实践经验,对当今国际上最新的应用程序间的通信、挂钩、捆绑技术作了较为具体、系统的归纳和总结,并给出了大量的实例。《Windows应用程序捆绑核心...
3.Windows核心编程-线程及线程调度
BX's Blog
07-28 2169
线程 与进程类似,线程也由两个组件组成: 一个是线程的内核对象,操作系统用它管理线程。内核对象还是系统用来存放线程统计信息的地方; 一个线程堆栈,用于维护线程执行时所需的所有函数参数和局部变量。 //线程函数//创建线程 HANDLE CreateThread( PSECURITY_ATTRIBUTES psa, //线程安全属性 DWORD
windows挂钩
学无止境
07-27 250
这篇文章描述的是,给windwos api挂的钩子,通过这个办法可以改动api函数的功能,前提需要理解api函数的细节。 https://blog.csdn.net/friendan/article/details/12222651...
windows核心编程
weixin_45002961的博客
12-18 912
主要用于记录windows核心编程这本书籍的学习。
Windows核心编程PDF高清.rar_countumk_windows_windows核心编程
07-15
Windows核心编程,多的就不多说了,懂得都懂
windows钩子
01-30
有关windows钩子的工程文件,包括实现全局windows钩子的dll工程和windows钩子的应用实例工程两部分,windows钩子工程同时实现了鼠标和键盘钩子,本工程可以作为windows钩子应用的框架,加以改造后就可以实现不同的功能。
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其地址xxxxxxxx就是IAT一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程,通过IID的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME的输入函数信息,在DLL确定函数地址, 然后将函数地址写到IAT,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
Windows挂钩的简单使用
djimon的专栏
04-11 1699
原贴地址:http://blog.sina.com.cn/s/blog_56dee71a010007h1.html 最近手机上的短信存储器快满了,应该删除一些短信以留出一些空间,但是有好多短信是各个MM发过来的,舍不得就这么删除了,想导出到电脑里面保存起来。万一哪天MM成了我女朋友了,有机会的时候可以给她看看,说明我是这么珍惜跟她相关的点点滴滴。^_^于是用数据线把手机连接到电脑上,打开E
Windows核心编程(6)
weixin_44971209的博客
08-01 377
windows核心编程
Windows核心编程 - 总结
yjianlu的专栏
05-28 355
WINDOWS核心编程——DLL基础和实操
whl0071的专栏
03-21 1389
与将所有的指令通过链接器在生成exe的时候都链接在一起并安排好各个指令的位置不同,windows还提供了动态链接(DLL)技术。一般情况下我们会处于以下原因采用DLL技术: 1.扩展了应用程序的特性。DLL可以被动态地载入到进程的地址空间。 2.简化了项目管理,可以让不同的开发团队管理不同的模块。 3.有助于节省内存。一个dll可被多个程序共享。多个程序调用同一个dll内的同一个函数时,系统却只需将该dll加载一次。 4.促进资源共享。 5.促进了本地化。可以使应用程序只包含代码但不包含用户界面组件。
Windows核心编程Windows核心编程 -- 线程基础
mmdev
12-03 158
一,线程 与前面介绍的进程一样,线程也有两部分组成: 1)一个线程内核对象,操作系统用它来管理线程。内核对象还存储了线程的各种统计信息,包括挂起计数、退出代码等,以便于系统对线程的管理。内核对象有一个CONTEXT结构,这个结构存储了线程上一次执行的时候CPU寄存器的状态。 2)一个线程栈,用于维护线程执行时所需的所有函数参量和局部变量。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值