《Windows核心编程》之“Windows挂钩”(二)

最新推荐文章于 2021-10-28 13:54:07 发布
最新推荐文章于 2021-10-28 13:54:07 发布
阅读量1k 收藏
点赞数
分类专栏: Windows操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sagittarius_Warrior/article/details/52183810
版权

    本文接上篇,继续探讨“Windows挂钩”,包括:跨进程的“窗口子类化”,使用Windows Hook注入DLL,跨进程窗口通讯,进程间共享内存和示例程序调试总结。

一、跨进程的“窗口子类化”     subclass a window created by another process

    上一篇最后,我们讲到通过“窗口子类化”来扩展窗口的行为。其关键是将自定义的窗口处理函数(NewWndProc)通过调用user32.dll中的SetWindowLongPtr函数与指定窗口关联起来。当线程调用DispatchMessage时,将取得的是NewWndProc函数的地址。原本发往OldWndProc函数的消息,会转发给NewWndProc。

LONG DispatchMessage(CONST MSG * msg)
{
    LONG lResult;
	WNDPROC lpfnWndProc = (WNDPROC)GetWindowLongPtr(msg.hwnd, msg.message);
	lResult = lpfnWndProc(msg.hwnd, msg.message, msg.wParam, msg.lParam);
	return(lResult);
}

    当然,这一切的前提是,NewWndProc函数也位于被子类化的窗口所在的进程空间。因为,DispatchMessage同大多数Windows APIs一样,默认只操作调用它的线程所属的进程空间。

    如果我们需要子类化其他进程的窗口,即NewWndProc函数位于我们的进程空间,而不是位于被子类化的窗口所在的进程空间,那么DispatchMessage在引用我们传入的函数地址值时,实际访问的是目标进程的某个地址,根本就不可能调到NewWndProc函数。

    因此,我们要想子类化其他进程的窗口的窗口,第一步就是要把NewWndProc函数注入到目标进程的地址空间。《Windows核心编程》一书中介绍了多种方法来讲NewWndProc函数注入到目标进程地址空间。


二、Windows Hook

1,Windows Hook

    Windows系统提供了一种从进程A将一个函数注入到进程B并截取进程B某个窗口的消息的方法——Windows Hook。

    先来看MSDN怎么说:点击打开链接

A hook is a point in the system message-handling mechanism where an application can install a subroutine to monitor the message traffic in the system and process certain types of messages before they reach the target window procedure.

hook is a mechanism by which an application can intercept events, such as messages, mouse actions, and keystrokes. A function that intercepts a particular type of event is known as a hook procedure. A hook procedure can act on each event it receives, and then modify or discard the event.

The following some example uses for hooks:

  • Monitor messages for debugging purposes
  • Provide support for recording and playback of macros
  • Provide support for a help key (F1)
  • Simulate mouse and keyboard input
  • Implement a computer-based training (CBT) application
Note  Hooks tend to slow down the system because they increase the amount of processing the system must perform for each message. You should install a hook only when necessary, and remove it as soon as possible.
    Windows Hook主要包括:Hook Chains、Hook Procedures和Hook types这么几个概念,在此我就不展开说了,有兴趣的直接看MSDN文档。
    MSDN也给出了两个使用Hook的示例:Installing and Releasing Hook Procedures和Monitoring System Events,点击打开链接。 在此,简单描述一下前一个示例。
    
    
2,Installing and Releasing Hook Procedures

1)SetWindowsHookEx

Installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. These events are associated either with a specific thread or with all threads in the same desktop as the calling thread.

Syntax

C++ 
HHOOK WINAPI SetWindowsHookEx(
  _In_ int       idHook,
  _In_ HOOKPROC  lpfn,
  _In_ HINSTANCE hMod,
  _In_ DWORD     dwThreadId
);


    要从我们的进程(进程A)向目标进程(进程B)的某个窗口安装挂钩,就需要在A进程中调用SetWindowsHookEx函数。例如:

Hook hHook = SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc, hInstDll, 0);

    第1个参数WH_MESSGAE表示要安装的挂钩的类型。第2个参数GetMsgProc是一个函数的地址(位于进程A的地址空间),在目标窗口即将处理一条消息的时候,系统应该调用这个函数。第3个参数hInstDll表示一个DLL,这个DLL中包含了GetMsgProc函数。在Windows中,hInstDll的值是进程地址空间中DLL被映射到的虚拟内存地址。最后一个参数0表示要给哪个线程安装挂钩。一个线程可能会调用SetWindowsHookEx并传入系统中另一个线程的线程标识符(一般是线程ID)。通过给这个参数传0,我们告诉系统要给系统中的所有GUI线程安装挂钩。

    从SetWindowsHookEx的原型,我们可以推测:

1)Hook Procedure函数既要载入进程A的地址空间,又要载入进程B的地址空间,且进程A要知道该函数在进程B中的虚拟内存地址。第2个参数表示的就是Hook Procedure函数。

2)Hook Procedure函数要放在一个独立的DLL中。一个函数要同时载入两个进程空间,那么最好的设计是将该函数放到一个DLL中,作为一个导出函数,让进程A和进程B都载入该DLL。第3个参数表示的就是这个DLL。

3)进程A需要自己去加载InstDll,进程B不需要。SetWindowsHookEx会将InstDll加载到指定GUI线程所在进程(进程B)的地址空间。严格来说,SetWindowsHookEx只是注册,真正的加载过程如下:


1)进程B中的一个线程准备向一个窗口派送一条消息(dispatch message)。

2)系统检查该线程是否已经安装了WH_GETMESSAGE挂钩。

3)系统检查GetMsgProc所在的DLL是否已经被映射到进程B的地址空间中。

4)如果DLL尚未被映射,那么系统会强制将该DLL映射到进程B,并将进程B中该DLL的锁计数器(lock count)递增。

5)由于DLL的hInstDll是在进程B中映射的,因此系统会对它进行检查,看它与该DLL在进程A中的位置是否相同。

    如果hInstDLL在进程A和进程B的位置相同,那么GetMsgProc函数在这两个进程空间的虚拟内存地址也就会相同。这种情况,系统就可以直接在进程B中调用GetMsgProc。

    如果hInstDLL不同,系统会通过以下公式换算,来获取GetMsgProc在进程B中的地址

GetMsgProc B = hInstDll B + (GetMsgProc A - hInstDll A)

6)系统在进程B中调用GetMsgProc函数,返回后,系统会递减该DLL在进程B中的锁计数器。


Hook Procedure函数如下:

LRESULT CALLBACK HookProc(
  int nCode, 
  WPARAM wParam, 
  LPARAM lParam
)
{
   // process event
   ...

   return CallNextHookEx(NULL, nCode, wParam, lParam);
}

3,Monitoring System Events

    SetWindowsHookEx函数的第一个参数表示Hook的类型,它对应一种系统事件(event)。Monitoring System Events示例展示了对它支持的7种系统事件的监视和处理。可以查看MSDN文档,了解这7种事件的具体含义。

   《Windows核心编程》中的DIPS示例展示的就是其中的“WM_GETMESSAGE”事件的处理。MSDN说:Installs a hook procedure that monitors messages posted to a message queue.它监视所有发送给被监视线程的消息。


    另一个值得注意的是“WM_KEYBOARD”事件。它配合GetKeyNameText函数,可以监视用户敲击的键盘按键。

LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
    switch (message)
    {
    ......
	case WM_KEYDOWN:
		//MessageBox(NULL, TEXT("key down"), NULL, MB_OK);
		WCHAR keyname[128];
		MessageBox(NULL, keyname, NULL, MB_OK);
		break;	
    ......
    case WM_DESTROY:
        PostQuitMessage(0); 
        break;
    default:
        return DefWindowProc(hWnd, message, wParam, lParam);
    }
    return 0;
}


4,Subclass a window created by another process

    注意,SetWindowsHookEx会将整个DLL映射到目标进程,而仅仅是Hook Procedure函数。这就意味着,该DLL内的所有函数都存在进程B中,可以为进程B调用。

    回到之前“跨进程窗口子类化”的话题,我们可以先给创建窗口(目标窗口)的线程设置一个WH_GETMESSAGE挂钩,然后当GetMsgProc被调用的时候,我们可以在它内部调用SetWindowLongPtr来派送子类窗口。当然,子类窗口的过程函数必须和GetMsgProc函数在同一个DLL中。



Sagittarius_Warrior
关注
专栏目录
Windows核心编程第五版pdf
weixin_30568715的博客
02-28 4238
下载地址:网盘下载图书简介:编辑这是一本经典的Windows核心编程指南,从第1版到第5版,引领着数十万程序员走入Windows开发阵营,培养了大批精英。作为Windows开发人员的必备参考,本书是为打算理解Windows的C和C++程序员精心设计的。第5版全面覆盖Windows XP,Windows Vista和Windows Server 2008中的17...
Windows核心编程》之“Windows挂钩”(一)
Sagittarius_Warrior的博客
08-11 2525
Windows核心编程》一书中介绍了一种针对带窗口的Windows应用程序的“DLL注入”的方法——Windows Hook(窗口挂钩)。本系列文章将探讨这种技术的原理和分享我的实验心得。
windows钩子编程大全
10-26
、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
Windows挂钩的简单使用
djimon的专栏
04-11 1653
原贴地址:http://blog.sina.com.cn/s/blog_56dee71a010007h1.html 最近手机上的短信存储器快满了,应该删除一些短信以留出一些空间,但是有好多短信是各个MM发过来的,舍不得就这么删除了,想导出到电脑里面保存起来。万一哪天MM成了我女朋友了,有机会的时候可以给她看看,说明我是这么珍惜跟她相关的点点滴滴。^_^于是用数据线把手机连接到电脑上,打开E
windows挂钩
学无止境
07-27 240
这篇文章描述的是,给windwos api挂的钩子,通过这个办法可以改动api函数的功能,前提需要理解api函数的细节。 https://blog.csdn.net/friendan/article/details/12222651...
Windows核心编程》之“Windows挂钩”(三)
Sagittarius_Warrior的博客
08-12 1408
本文主要结合之前两篇介绍的“Windows挂钩”知识,讲解《Windows核心编程》一书中的“DIPS"示例程序和我的调试经验。 一、程序功能介绍 1,功能需求     DIPS.exe应用程序使用了Windows Hook来将一个DLL注入到Explorer.exe的地址空间中,并在内部给桌面的ListView控件发送LVM_GETITEM和LVM_GETITEMPOSITON消息
Windows应用程序核心_Windows应用程序捆绑核心编程_
10-03
Windows应用程序捆绑核心编程》基于作者在计算机编程方面的多年实践经验,对当今国际上最新的应用程序间的通信、挂钩、捆绑技术作了较为具体、系统的归纳和总结,并给出了大量的实例。《Windows应用程序捆绑核心...
Windows核心编程》读书笔记章 DLL注入和API拦截
sesiria的博客
12-18 2465
第22章  DLL注入和API拦截 本章内容 22.1 DLL注入的一个例子 22.2 使用注册表来注入DLL 22.3 使用Windows挂钩来注入DLL 22.4 使用远程线程来注入DLL 22.5 使用木马DLL来注入DLL 22.6 把DLL作为调试器来注入 22.7 使用CreateProcess来注入代码 22.8 API拦截的例子 通常在操作系统中
注册主窗口消息响应函数-用于进程通信
春夜喜雨的专栏
01-29 815
进程间消息通信的时候,在window下我们可以通过在主窗口上注册消息回调函数,来响应消息的处理:首先是定义一个唯一标识的消息id,然后定义并注册窗口消息回调函数来响应这个消息。 UINT g_myM
windows核心编程---DLL注入和API拦截
x13262608581的博客
12-11 2071
-派生子类窗口,要派生窗口属于另一个进程 SetWindowLongPtr会检查一个进程试图修改的WndProc是否是另一个进程的窗口的,如果是,忽略调用。可以在进程A获得进程B窗口的句柄。 FindWindow(xx); // 派生子类窗口,现在应用: SetWindowSubclass GetWindowSubclass RemoveWindowSubclass DefSubcla
GetMessage
houziwo的专栏
07-11 638
GetMessage 功能说明 WinCE下:该函数从呼叫进程的消息队列中检索消息,并且将所检索到的消息放入到一个指定的结构体(即MSG结构)中; Win32下:该函数从呼叫进程的消息队列中检索消息,如果被检索到的消息为可分派消息,则该函数就分派该消息,如果被检索到的消息为不可分派消息,则GetMessage返回非正值,导致消息循环的结束。例如可分派的消息有:WM_PAINT、WM_SIZE
GetMessage 正确用法
dadalan的专栏
10-08 5178
 Warning   Because the return value can be nonzero, zero, or -1, avoid code like this:while (GetMessage( lpMsg, hWnd, 0, 0)) ...The possibility of a -1 return value means that such code can lead t
windows编程之深谈GetMessage
qq_42798939的博客
10-28 1200
1.GetMessage的作用 1.到“本进程”的消息队列中获取消息 2.如果本进程中没有消息,则向系统消息队列质询是否有本进程的消息 3.如果系统消息队列也没有消息,检查当前进程的所有窗口的需要重新绘制的区域, 如果有,则产生WM_PAINT消息,取得消息并返回处理 4.如果没有重新绘制的区域,检查是否有到时的定时器,产生WM_TIMER,返回处理执行 5.如果没有到时的定时器,整理程序的资源、内存等等 6.如果以上都没有,GetMessage阻塞等待,PostMessage会返回FALS
GetWindowLong进程获取WndProc、DlgProc。。。
a1875566250的专栏
01-04 3124
在看雪提问,没人回答,只能自己折腾。。。 标题虽然写是GetWindowLong,其实并不是GetWindowLong,只是按照GetWindowLong的内部实现改了下而已。。 下面代码Win7及以上可用。。。要想XP用,XP下必需暴力搜索user32.gSharedInfo,搜索方法:user32的入口点往下看,CsrCononToServer那个函数下面。。。或者参照网上那个枚举全局Ho
MSDN中关于SetWindowLongPtr和GetWindowLongPtr函数的描述错误
smstong的成长轨迹
01-13 5247
MSDN中关于SetWindowLongPtr和GetWindowLongPtr函数的描述错误。
MFC扩展编程详解:Windows API、控件条与通信技术
第3章涉及的是应用程序与外界的通信,这涵盖了各种通信方式,如窗口消息、网络通信(LAN和Internet)、串行和并行端口、动态数据交换(DDE)、Windows挂钩以及管道。这部分内容将展示MFC如何提供方便的类和方法来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值