Win32k(4) 视窗钩子

最新推荐文章于 2022-06-13 22:32:17 发布
最新推荐文章于 2022-06-13 22:32:17 发布
阅读量1.1k 收藏
点赞数
分类专栏: 内核研究 文章标签: hook null thread keyboard table 图形
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7640216
版权

第五部分 视窗钩子

一、ROS下的流程

 

Win2000版本有人分析过了http://bbs.pediy.com/showthread.php?t=135702

 

消息钩子是一种官方支持钩子回调,可以拦截某一个窗口或者全局的消息。消息本应直接发到对应窗口的wndproc,现在要先发送到我们设定的消息回调,由我们的hook函数进行参数的收取、截获、过滤~

 

HHOOKSetWindowsHookEx(intidHook,
    HOOKPROC lpfn,
    HINSTANCE hMod,
    DWORD dwThreadId
);
HHOOKwin2k下是这样的
typedefstructtagHOOK{   /* hk */
    THRDESKHEAD     head;
structtagHOOK  *phkNext;            hook链表
intiHook;              //WH_xxx hook type
    DWORD           offPfn;
    UINT            flags;              //HF_xxx flags
intihmod;
    PTHREADINFO     ptiHooked;          // Threadhooked.
    PDESKTOP        rpdesk;             //Global hook pdesk. Only used when
//  hook is lockedand owner is destroyed
}HOOK, *PHOOK;


 

 

 

对应内核调用

 

HHOOK
APIENTRY
NtUserSetWindowsHookEx(HINSTANCE Mod,        //dll base
                        PUNICODE_STRINGUnsafeModuleName,
                        DWORD ThreadId,     //非0即针对某一函数的hook
intHookId,                  //hook类型比如WH_KEYBOARD_LL
                        HOOKPROC HookProc, //hook函数
                        BOOL Ansi)
{
//略去参数检查,在句柄表中加入hook对象
 
Hook= UserCreateObject(gHandleTable, NULL, &Handle, otHook, sizeof(HOOK));
 
    Hook->ihmod   = (INT)Mod; //Module Index from atom table, Do this for now.
    Hook->Thread  = Thread; /* SetThread, Null is Global. */
    Hook->HookId  =HookId;
    Hook->rpdesk  =ptiHook->rpdesk;
    Hook->phkNext = NULL; /* Dont use as a chain! Use link lists for chaining. */
    Hook->Proc    = HookProc;
    Hook->Ansi    = Ansi;
 
if (ThreadId)  /* Thread-localhook */
{
//插入到线程hook链中,threadInfo是线程信息win32Thread,
ptiHook->aphkStart是15种hook类型的链表
InsertHeadList(&ptiHook->aphkStart[HOOKID_TO_INDEX(HookId)],&Hook->Chain);
ptiHook->sphkCurrent= NULL;
       Hook->ptiHooked = ptiHook;
ptiHook->fsHooks|= HOOKID_TO_FLAG(HookId);
 
if(ptiHook->pClientInfo)
       {
if ( ptiHook->ppi== pti->ppi) /* 当前进程 */
          {
ptiHook->pClientInfo->fsHooks= ptiHook->fsHooks;
ptiHook->pClientInfo->phkCurrent= NULL;
 
          }
else
          {
                     //挂载到指定进程中去,pClientInfo貌似是一个用户空间的结构吧
KeAttachProcess(&ptiHook->ppi->peProcess->Pcb);
ptiHook->pClientInfo->fsHooks= ptiHook->fsHooks;
ptiHook->pClientInfo->phkCurrent= NULL;
KeDetachProcess();
          }
       }
    }
Else        //全局钩子
{
//桌面的链表
InsertHeadList(&ptiHook->rpdesk->pDeskInfo->aphkStart[HOOKID_TO_INDEX(HookId)],&Hook->Chain);
       Hook->ptiHooked = NULL;
ptiHook->rpdesk->pDeskInfo->fsHooks|= HOOKID_TO_FLAG(HookId);
ptiHook->sphkCurrent= NULL;
ptiHook->pClientInfo->phkCurrent= NULL;
}


 

总之,pti->pDeskInfo->asphkStart[nFilterType+ 1]是全局的钩子链表

ptiThread->aphkStart[nFilterType+ 1]是某一线程的链表

fsHooks是标志位,标志这种类型的钩子是否有设置

 

 

 

二、Hook函数的调用部分

 

co_HOOK_CallHooks- co_IntCallHookProc–KeUserModeCallback跟call wndproc是类似的

三、枚举消息钩子

 

1.可以pti->pDeskInfo->asphkStart[nFilterType+ 1]来找HHOOK结构

 

2.百度到IS找user32里面的gShareInfo结构,HHOOK也是种图形对象,在句柄表中~遍历句柄表就找到了。具体可以跟一下zzzSetWindowsHookEx - HMAllocObject

Shevacoming
关注
专栏目录
Win64 驱动内核编程-28.枚举消息钩子
墨鱼菜鸡
12-18 299
枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,鼠标钩子可以...
Win32k(2) 报文驱动的通信机制
Returns' Station
06-06 1396
一.应用层的api int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, intnCmdShow) { WNDCLASSEXwcex; wcex.lpfnWndProc
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 500
在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
win32 hook相关模式
johnhuster的专栏
07-21 648
以下内容是有关win32  hook技术的一个总结性内容,属于内功型知识  观察模式 最为常用,像Windows提供的SetWindowHook就是典型地为这类应用准备的。而且这也是最普遍的用法。这个模式的特点是,在事情发生的时候,发出一个通知信息。观察者只可以查看过程中的信息,根据自己关心的内容处理自己的业务,但是不可以更改原来的流程。 如全局钩子中,经常使用的鼠标消息、键盘消息的监视等应
Win10蓝屏win32k power watchdog timeout 蓝屏代码0x0000019C
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-13 1万+
Win 10专业版 联想E14Win10蓝屏0x0000019C win32k power watchdog timeoutWIN32K_POWER_WATCHDOG_TIMEOUT bug 检查的值为0x0000019C, 这表示 Win32k.sys 未及时打开监视器,win32k.sys是Windows的多用户管理驱动文件1.强制关机重启电脑,进入系统2.更新显卡驱动重新3.cmd 输入sfc/scannow 重启计算机...
Win32 系统线程信息块(TIB)浅析
07-08 2535
<br />作者:Matt Pietrek<br /> 编译:VCKBASE <br />原文出处:May 1996 Under The Hood<br /><br />   Windows 操作系统各个版本之间虽然核心部分差异很大,但它们都共享一个关键的系统数据结构,许多程序员都没有加以关注。更精确地说,这种共享是针对此数据结构的某 些域。先不说差别,这个结构被广泛使用,甚至是被编译器产生的代码存取。没错,你的C++编译器产生代码
Windows内核驱动Hook入门
随心动,随风行
07-16 8225
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
KernelGDIDraw:该程序在钩住NtGdiDdDDIDImitCommand时在内核中使用win32k gdi函数进行绘制
04-23
通过使用Infinity钩子钩住NtGdiDdDDIDImitmit时,该程序通过调用win32k gdi函数进行绘制。 它与vmcall的dxgkrnl_hook非常相似。 该代码绝不是漂亮的。 也许有人会觉得这个有用,但是我不建议您使用它。 当我们挂接...
Windows 反消息钩子(2)
宋金时的专栏
07-31 3562
Windows消息钩子一般都很熟悉了。它的用处很多,耳熟能详的就有——利用键盘钩子获取目标进程的键盘输入,从而获得各类密码以达到不可告人的目的。朋友想让他的软件不被别人的全局钩子监视,有没有办法实现呢?答案是肯定的,不过缺陷也是有的。   一、全局钩子如何注入别的进程       消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了
windows 10更新之后进入睡眠唤醒蓝屏,在2020-12-24更新完20H2版本后已解决
Swingfall的博客
12-24 8186
2020年初下载某一个windows更新之后出现唤醒就蓝屏的情况, 在2020-12-24更新完20H2之后进入睡眠再唤醒没有蓝屏
RPDesktop (Polycom RealPresence Desktop) for WIN_3_9_1_70422.exe
07-07
RPDesktop (Polycom RealPresence Desktop) for WIN_3_9_1_70422.exe
RPDesktop(Polycom RealPresence Desktop) for MAC OSX-宝利通2019年最新版本+Release notes
05-05
Polycom RealPresence 桌面是一个易于使用的视频协作应用程序, 为 PC 用户提供高清质量的音频, 视频和内容共享。与类似的专有应用程序不同, RealPresence 桌面是基于标准的, 并扩展了组织现有的视频启用网络, 使最终用户能够在办公室内或在路上使用相同的高质量体验。 Polycom RealPresence Desktop is an easy-to-use video collaboration app that provides HD quality audio, video and content sharing for PC users. Unlike similar proprietary applications, RealPresence Desktop is standards based and extends your organization's existing video-enabled network, giving end users the same high quality experience from within the office or while on the road.
RPDesktop(Polycom RealPresence Desktop) for WIN-宝利通2019年最新版本+Release notes
05-05
Polycom RealPresence 桌面是一个易于使用的视频协作应用程序, 为 PC 用户提供高清质量的音频, 视频和内容共享。与类似的专有应用程序不同, RealPresence 桌面是基于标准的, 并扩展了组织现有的视频启用网络, 使最终用户能够在办公室内或在路上使用相同的高质量体验。 Polycom RealPresence Desktop is an easy-to-use video collaboration app that provides HD quality audio, video and content sharing for PC users. Unlike similar proprietary applications, RealPresence Desktop is standards based and extends your organization's existing video-enabled network, giving end users the same high quality experience from within the office or while on the road.
SetWindowsHookEx 的资料整理 与 内部机理 的深入分析
05-17 378
问题: 在使用Hook的过程中,经常会遇到SetWindowsHookEx返回NULL的情况,GetLastError或者在监视窗口$err,hr后可以看到错误代码及解释,例如87号参数错误,但是参数错误又分好多种情况,到底我们在哪一步出错了很难知道,比如之前我通过CreateProcess创建了一个子进程,然后使用返回的线程Id传入SetWindowsHookEx,一直返回的错...
Win32k(4) 视窗钩子
weixin_30832405的博客
03-26 93
第五部分视窗钩子一、ROS下的流程Win2000版本有人分析过了http://bbs.pediy.com/showthread.php?t=135702消息钩子是一种官方支持钩子回调,可以拦截某一个窗口或者全局的消息。消息本应直接发到对应窗口的wndproc,现在要先发送到我们设定的消息回调,由我们的hook函数进行参数的收取、截获、过滤~HHOOKSetWindowsHo...
windows 线程
byte4096的专栏
06-29 627
一、线程 二、
膜拜菊苣的LM2
a1875566250的专栏
01-10 2150
胡言乱语而已。 光那个Loader就看得我瞎眼了。那个LocaleEmulator.dll更搞得狗眼都睁不开了啊。。。 Loader就不多说了,也是改远程进程的EIP调用LdrLoadDll来载入LocaleEmulator.dll的,虽然我不懂为什么用上了Dbg相关的API,而且CreateProcess是用带有DBG标志来创建的。。 这个新的LM应该是不支持Win7以下系统的。 L
分析了一下360安全卫士的 HOOK(二)——架构与实现(zt)
lionzl的专栏
07-11 3391
上一篇的分析中漏掉了三个函数,现补上: NtSetSystemInformation    0×24 ProcessNotify        0×45 //这个并非Hook,只是HookPort安装的一个Notify KeUserModeCallback      0×4B 这样一共是从0到0×4B,共0×4C个过滤函数,齐了~~ 上次先列出了360所hook的系统服务,让大家对它做了
提升Windows操作技巧:内存优化、服务管理与Win32k.sys详解
最后,文档针对Win32k.sys文件提出了疑问,这是一个在Windows XP中至关重要的系统驱动文件,与多用户管理和系统核心功能紧密相关。该文件通常存在于Windows\System32\Dllcache中,如果误删除可能导致系统不稳定。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值