Windows 钩子

最新推荐文章于 2024-02-27 20:44:52 发布
最新推荐文章于 2024-02-27 20:44:52 发布
阅读量647 收藏
点赞数
分类专栏: 核心编程
Ⅰ. Windows 钩子
示例程序:HookSpy 和 HookInjEx
Windows 钩子的主要作用就是监视某个线程的消息流动。一般可分为:
1. 局部钩子,只监视你自己进程中某个线程的消息流动。
2. 远程钩子,又可以分为:
a. 特定线程的,监视别的进程中某个线程的消息;
b. 系统级的,监视整个系统中正在运行的所有线程的消息。
如果被挂钩(监视)的线程属于别的进程(情况2a 和2b),你的钩子过程(hook
procedure)必须放在一个动态连接库(DLL)中。系统把这包含了钩子过程的
DLL 映射到被挂钩的线程的地址空间。Windows 会映射整个 DLL 而不仅仅是你的
钩子过程。这就是为什么windows 钩子可以用来向其他线程的地址空间注入代码
的原因了。
在这里我不想深入讨论钩子的问题(请看MSDN 中对SetWindowsHookEx 的说明),
让我再告诉你两个文档中找不到的诀窍,可能会有用:
1. 当SetWindowHookEx 调用成功后,系统会自动映射这个DLL 到被挂钩的线程,
但并不是立即映射。因为所有的Windows 钩子都是基于消息的,直到一个适当的
事件发生后这个DLL 才被映射。比如:
如果你安装了一个监视所有未排队的( nonqueued ) 的消息的钩子
(WH_CALLWNDPROC),只有一个消息发送到被挂钩线程(的某个窗口)后这个DLL
才被映射。也就是说, 如果在消息发送到被挂钩线程之前调用了
UnhookWindowsHookEx 那么这个DLL 就永远不会被映射到该线程( 虽然
SetWindowsHookEx 调用成功了)。为了强制映射,可以在调用SetWindowsHookEx
后立即发送一个适当的消息到那个线程。
同理,调用UnhookWindowsHookEx 之后,只有特定的事件发生后DLL 才真正地从
被挂钩线程卸载。
2. 当你安装了钩子后,系统的性能会受到影响(特别是系统级的钩子)。然而
Hustudent20080101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ —— 编写Windows钩子,完成屏蔽系统win+d显示/隐藏窗口功能(win功能不影响)。(附完整源码)
wx微信公众号“码农总动员”,获取更多编程知识
09-07 651
C++ —— 编写Windows钩子,完成屏蔽系统win+d显示/隐藏窗口功能(win功能不影响)。(附源码)
Windows钩子机制详解
12-31
一、概述: 了解windows程序设计的人都知道,Windows系统程序的运行是建立在消息传递机制的基础之上的,几乎所有的程序活动都由消息来驱动。钩子机制可以看作是一个消息的中转站,控制系统发出消息的处理和传递。利用钩子,我们可以截获系统发给应用程序的消息,并且在经过处理后决定是否将消息再发给下一个应用程序。利用钩子的这一特性,我们可以创建一个监控程序,收集和控制系统发出的消息。 二、Windows钩子程序的编制 编制Windows钩子程序,需要用到几个SDK中的API函数。下面列出这几个函数的原型及说明: HHOOK SetWindowsHookEx( int idHook, HOOK_
子线程设置的钩子(HOOK)为什么钩不到消息?
04-30 4602
其实无论在子线程还是主线程中,设置的钩子都是一样的。但是,如果只是像在主线程中那样调用完SetWindowsHookEx函数就以为没事了,那你有可能什么也钩不到。如果你设置的是鼠标钩子,你还会看到鼠标反应迟顿。这是为什么呢?前些日子我就遇到过这事,在网上搜了半天也没找到解决方案。无奈,自己仔细研究,找到原因了,非常简单,与大家分享。答案就是,调用完SetWindowsHookEx后,子
windows钩子
01-30
有关windows钩子的工程文件,包括实现全局windows钩子的dll工程和windows钩子的应用实例工程两部分,windows钩子工程同时实现了鼠标和键盘钩子,本工程可以作为windows钩子应用的框架,加以改造后就可以实现不同的...
9.2 Windows钩子
09-27
1. **钩子类型**:Windows钩子有多种类型,包括键盘钩子(WH_KEYBOARD)、鼠标钩子(WH_MOUSE)、消息队列钩子(WH_GETMESSAGE)、发送消息钩子(WH_SNDMSG)等。每个类型的钩子关注的是不同种类的系统事件或消息。 ...
Windows钩子教程
10-23
Windows钩子教程】 Windows钩子Windows操作系统提供的一种机制,允许程序监视并处理系统中的特定事件。通过安装钩子,程序可以捕获并处理来自其他应用程序或系统进程的特定消息,例如键盘输入、鼠标点击等。这...
Windows钩子实例
01-25
Windows钩子机制是Windows API提供的一种回调机制,使得应用程序可以在其他进程的上下文中执行代码。下面将详细探讨Windows钩子的工作原理、类型以及如何使用。 一、Windows钩子概述 钩子是一种插入到系统消息队列...
著名的filemon,使用钩子截获控制windows下文件操作的不错源码
11-19
著名的filemon,使用钩子截获控制windows下文件操作的不错源码!!有助于我们详细了解hook 钩子的源码!钩子截获的全过程源码!
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
服务-钩子-权限
hzy694358的专栏
11-22 1770
一、 服务程序,要同桌面程序交换,程序属性必须设置:SERVICE_INTERACTIVE_PROCESS SC_HANDLE hService = ::CreateService( hSCM, szServiceName, szServiceName, SERVICE_ALL_ACCESS, SERVICE_WIN32_OWN_PROCESS|SERVI
windows钩子、SetWindowsHookEx函数的使用
zyq031010的博客
02-20 2566
Windows 钩子技术相关
Windows C++键盘钩子的实现流程以及源码实现
2403_83063732的博客
02-27 660
Windows C++ 使用键盘钩子拦截键盘按键信息
Windows钩子
ypy_datou的专栏
02-15 504
一、钩子 为了监视或控制windows的系统事件,windows提供钩子技术。Windows应用可以安装一个子进程来监控windows中消息的往来,还能把消息到达目的窗口过程之前处理某种类型的消息。 Windows系统为每种类型的钩子管理一个独立的钩子链。钩子链是Windows应用程序定义回调函数的指针列表。Windows会把该消息一个接着一个传给每一个钩子链的钩子过程(回调函数)。有些类型钩子过程只能监控消息。有些类型钩子过程能够禁止消息到达下一个钩子过程或目的窗口。 二、钩子过程 ...
『网络安全科普』Windows安全之HOOK技术机制
Galaxy_0的博客
12-29 3373
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
防御windows钩子
最新发布
04-19
防御Windows钩子是一种保护计算机系统安全的措施,钩子是一种机制,允许应用程序拦截和监视系统级别的事件。恶意软件或攻击者可能会利用钩子来窃取敏感信息、修改系统行为或者进行其他恶意活动。以下是一些防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值