Win32k(4) 视窗钩子

最新推荐文章于 2020-12-24 15:45:20 发布
最新推荐文章于 2020-12-24 15:45:20 发布
阅读量1.1k 收藏
点赞数
分类专栏: 内核研究 文章标签: hook null thread keyboard table 图形
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7640216
版权

第五部分 视窗钩子

一、ROS下的流程

 

Win2000版本有人分析过了http://bbs.pediy.com/showthread.php?t=135702

 

消息钩子是一种官方支持钩子回调,可以拦截某一个窗口或者全局的消息。消息本应直接发到对应窗口的wndproc,现在要先发送到我们设定的消息回调,由我们的hook函数进行参数的收取、截获、过滤~

 

HHOOKSetWindowsHookEx(intidHook,
    HOOKPROC lpfn,
    HINSTANCE hMod,
    DWORD dwThreadId
);
HHOOKwin2k下是这样的
typedefstructtagHOOK{   /* hk */
    THRDESKHEAD     head;
structtagHOOK  *phkNext;            hook链表
intiHook;              //WH_xxx hook type
    DWORD           offPfn;
    UINT            flags;              //HF_xxx flags
intihmod;
    PTHREADINFO     ptiHooked;          // Threadhooked.
    PDESKTOP        rpdesk;             //Global hook pdesk. Only used when
//  hook is lockedand owner is destroyed
}HOOK, *PHOOK;


 

 

 

对应内核调用

 

HHOOK
APIENTRY
NtUserSetWindowsHookEx(HINSTANCE Mod,        //dll base
                        PUNICODE_STRINGUnsafeModuleName,
                        DWORD ThreadId,     //非0即针对某一函数的hook
intHookId,                  //hook类型比如WH_KEYBOARD_LL
                        HOOKPROC HookProc, //hook函数
                        BOOL Ansi)
{
//略去参数检查,在句柄表中加入hook对象
 
Hook= UserCreateObject(gHandleTable, NULL, &Handle, otHook, sizeof(HOOK));
 
    Hook->ihmod   = (INT)Mod; //Module Index from atom table, Do this for now.
    Hook->Thread  = Thread; /* SetThread, Null is Global. */
    Hook->HookId  =HookId;
    Hook->rpdesk  =ptiHook->rpdesk;
    Hook->phkNext = NULL; /* Dont use as a chain! Use link lists for chaining. */
    Hook->Proc    = HookProc;
    Hook->Ansi    = Ansi;
 
if (ThreadId)  /* Thread-localhook */
{
//插入到线程hook链中,threadInfo是线程信息win32Thread,
ptiHook->aphkStart是15种hook类型的链表
InsertHeadList(&ptiHook->aphkStart[HOOKID_TO_INDEX(HookId)],&Hook->Chain);
ptiHook->sphkCurrent= NULL;
       Hook->ptiHooked = ptiHook;
ptiHook->fsHooks|= HOOKID_TO_FLAG(HookId);
 
if(ptiHook->pClientInfo)
       {
if ( ptiHook->ppi== pti->ppi) /* 当前进程 */
          {
ptiHook->pClientInfo->fsHooks= ptiHook->fsHooks;
ptiHook->pClientInfo->phkCurrent= NULL;
 
          }
else
          {
                     //挂载到指定进程中去,pClientInfo貌似是一个用户空间的结构吧
KeAttachProcess(&ptiHook->ppi->peProcess->Pcb);
ptiHook->pClientInfo->fsHooks= ptiHook->fsHooks;
ptiHook->pClientInfo->phkCurrent= NULL;
KeDetachProcess();
          }
       }
    }
Else        //全局钩子
{
//桌面的链表
InsertHeadList(&ptiHook->rpdesk->pDeskInfo->aphkStart[HOOKID_TO_INDEX(HookId)],&Hook->Chain);
       Hook->ptiHooked = NULL;
ptiHook->rpdesk->pDeskInfo->fsHooks|= HOOKID_TO_FLAG(HookId);
ptiHook->sphkCurrent= NULL;
ptiHook->pClientInfo->phkCurrent= NULL;
}


 

总之,pti->pDeskInfo->asphkStart[nFilterType+ 1]是全局的钩子链表

ptiThread->aphkStart[nFilterType+ 1]是某一线程的链表

fsHooks是标志位,标志这种类型的钩子是否有设置

 

 

 

二、Hook函数的调用部分

 

co_HOOK_CallHooks- co_IntCallHookProc–KeUserModeCallback跟call wndproc是类似的

三、枚举消息钩子

 

1.可以pti->pDeskInfo->asphkStart[nFilterType+ 1]来找HHOOK结构

 

2.百度到IS找user32里面的gShareInfo结构,HHOOK也是种图形对象,在句柄表中~遍历句柄表就找到了。具体可以跟一下zzzSetWindowsHookEx - HMAllocObject

Shevacoming
关注
专栏目录
BSOD_8E_WIN32K
09-13
用于蓝屏8E错误 WIN32K.SYS相关 的补丁
Win10蓝屏win32k power watchdog timeout 蓝屏代码0x0000019C
热门推荐
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-13 1万+
Win 10专业版 联想E14Win10蓝屏0x0000019C win32k power watchdog timeoutWIN32K_POWER_WATCHDOG_TIMEOUT bug 检查的值为0x0000019C, 这表示 Win32k.sys 未及时打开监视器,win32k.sys是Windows的多用户管理驱动文件1.强制关机重启电脑,进入系统2.更新显卡驱动重新3.cmd 输入sfc/scannow 重启计算机...
Win32 系统线程信息块(TIB)浅析
07-08 2546
<br />作者:Matt Pietrek<br /> 编译:VCKBASE <br />原文出处:May 1996 Under The Hood<br /><br />   Windows 操作系统各个版本之间虽然核心部分差异很大,但它们都共享一个关键的系统数据结构,许多程序员都没有加以关注。更精确地说,这种共享是针对此数据结构的某 些域。先不说差别,这个结构被广泛使用,甚至是被编译器产生的代码存取。没错,你的C++编译器产生代码
Windows内核驱动Hook入门
随心动,随风行
07-16 8250
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
windows 10更新之后进入睡眠唤醒蓝屏,在2020-12-24更新完20H2版本后已解决
Swingfall的博客
12-24 8201
2020年初下载某一个windows更新之后出现唤醒就蓝屏的情况, 在2020-12-24更新完20H2之后进入睡眠再唤醒没有蓝屏
SetWindowsHookEx 的资料整理 与 内部机理 的深入分析
05-17 380
问题: 在使用Hook的过程中,经常会遇到SetWindowsHookEx返回NULL的情况,GetLastError或者在监视窗口$err,hr后可以看到错误代码及解释,例如87号参数错误,但是参数错误又分好多种情况,到底我们在哪一步出错了很难知道,比如之前我通过CreateProcess创建了一个子进程,然后使用返回的线程Id传入SetWindowsHookEx,一直返回的错...
win32k.sys系统文件
10-20
4. **内存管理**:`win32k.sys`还参与内存管理,为应用程序分配和管理内存,优化系统资源使用。 5. **安全与权限**:`win32k.sys`处理窗口的安全性和访问控制,限制未经授权的访问和操作,保护系统稳定。 **可能...
Windows Kernel Internals Win32K.sys
09-10
《Windows内核内部机制:Win32K.sys详解》 Win32K.sys是Windows操作系统内核的关键组成部分,它构成了Windows子系统的核心,是图形用户界面(GUI)基础设施的基石。Win32K包含了窗口管理器(USER)、图形设备接口...
CVE-2020-0624:Win32k使用后释放POC
03-20
CVE-2020-0624 Win32k使用后释放POC
GPT-4-32K:再一次刷新你的认知
04-27
2023 年 3 月 GPT-4 的发布表明,ChatGPT 提出的只是一个开始。...试过的人说“GPT-4 32K让普通版的GPT-4看起来像个玩具”。它提供的选项要多得多,尤其是在处理长文档时。一个明显的例子是总结这些文件并回
RPDesktop(Polycom RealPresence Desktop) for MAC OSX-宝利通2019年最新版本+Release notes
05-05
Polycom RealPresence 桌面是一个易于使用的视频协作应用程序, 为 PC 用户提供高清质量的音频, 视频和内容共享。与类似的专有应用程序不同, RealPresence 桌面是基于标准的, 并扩展了组织现有的视频启用网络, 使最终用户能够在办公室内或在路上使用相同的高质量体验。 Polycom RealPresence Desktop is an easy-to-use video collaboration app that provides HD quality audio, video and content sharing for PC users. Unlike similar proprietary applications, RealPresence Desktop is standards based and extends your organization's existing video-enabled network, giving end users the same high quality experience from within the office or while on the road.
RPDesktop (Polycom RealPresence Desktop) for WIN_3_9_1_70422.exe
07-07
RPDesktop (Polycom RealPresence Desktop) for WIN_3_9_1_70422.exe
RPDesktop(Polycom RealPresence Desktop) for WIN-宝利通2019年最新版本+Release notes
05-05
Polycom RealPresence 桌面是一个易于使用的视频协作应用程序, 为 PC 用户提供高清质量的音频, 视频和内容共享。与类似的专有应用程序不同, RealPresence 桌面是基于标准的, 并扩展了组织现有的视频启用网络, 使最终用户能够在办公室内或在路上使用相同的高质量体验。 Polycom RealPresence Desktop is an easy-to-use video collaboration app that provides HD quality audio, video and content sharing for PC users. Unlike similar proprietary applications, RealPresence Desktop is standards based and extends your organization's existing video-enabled network, giving end users the same high quality experience from within the office or while on the road.
CVE-2015-1701:APT攻击中使用的Win32k LPE漏洞
01-30
**CVE-2015-1701:APT攻击中的Win32k Local Privilege Escalation漏洞详解** 在2015年,安全研究人员发现了一个严重的问题,即CVE-2015-1701,这是一个针对Windows系统的本地权限提升(Local Privilege Escalation,...
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 500
在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
加载您的驱动程序,如win32k.sys_C++_C_下载
09-02
CallMeWin32kDriver\n加载您的驱动程序,如 win32k.sys\n动机\n该功能是从某PUBG作弊驱动中分析出来的。\n它可以做什么?\n通过 Anti-Rootkit 工具防止直接转储\n绕过 MmCopyMemory\n隐藏世界不触发PG\n如何检测?\n...
EEEPROM_usage_EEPROMs32k144_
10-01
标题中的“EEPROM_usage_EEPROMs32k144_”表明了本文档主要讨论的是关于EEPROM的使用,特别是针对容量为32K x 144位的EEPROM型号。EEPROM(Electrically Erasable Programmable Read-Only Memory)是一种可电子擦除...
海信电视刷机数据 LED32K3100(0001)BOM2通用LED32K3100(0001)BOM2 生产用软件数据 强制刷机
最新发布
05-20
机型:LED32K3100 BOM:2 编号:LED32K3100(0001)BOM2_C007 方案:MTK5507 版本号:G1124 U盘升级方法 自动升级:正常开机后,将升级文件文件TargetHis拷贝到到U盘根目录,将U盘插到电视机下面的USB接口,会提示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值