hook IE 总结

请教下hook浏览器修改页面的方案



最近在搞hook浏览器修改页面的东西,就是在网页上加点东西,试了下hook wininet的InternetReadFile
修改普通的山寨浏览器还行,IE8就不行了,
不知道大侠们有没有什么好的思路。 


ie8这样的有多个进程,每个进程都得做手脚 


每个我都注入了,第一次能半成功吧,第二次又正常了
这是修改hao123为hao345的图片


缓存。。。 


关键是改命令行,自己悟吧~我使用sys 注册回调,shellcode注入浏览器,修改命令行,所有浏览器通杀,楼上说的对,ie需要清理缓存,其他的不用~ 


hook wininet的InternetReadFile
ie内核的 有部分数据是直接从本地拿的(chrome貌似更多)
也就是缓存机制
这时候不能光InternetReadFile
建议还是BHO吧


dll 都注入了,还用bho么,枚举框架 IEFRAME 找到框架,然后获得 webbrowser 对象,得到 比如 IDocument对象指针可以改html内容,比如 改广告,还有 IHtmlxxxx指针可以改navite等,,,,我这么写的。。 


BOOL CALLBACK EnumProc1(HWND hWnd, LPARAM lParam)
{
  CHAR sClass[256];
  GetClassName(hWnd, sClass, sizeof(sClass));
  if (!strcmp(sClass, "Edit"))
  {
    *(HWND *)lParam = hWnd;
    return FALSE;
  }
  return TRUE;
}
BOOL LockURL(LPCSTR lpURL)
{
  DWORD dwCurrentPId = GetCurrentProcessId();
  HWND hWnd = FindWindowEx(NULL, NULL, "IEFrame", NULL);
  while (hWnd)
  {
    DWORD dwPId;
    GetWindowThreadProcessId(hWnd, &dwPId);
    if (dwPId == dwCurrentPId)
    {
      HWND hEdit = NULL;
      EnumChildWindows(hWnd, EnumProc1, (LPARAM)&hEdit);
      if (hEdit)
      {
        SendMessage(hEdit, WM_SETTEXT, 0, (LPARAM)lpURL);
        dbgprintf(("set url '%s' to Edit 0x%08X\n", lpURL, hEdit));
        return TRUE;
      }
    }
    hWnd = FindWindowEx(NULL, hWnd, "IEFrame", NULL);
  }
  return FALSE;
}




///
// 连接WebBrowser调用Navigate的线程
///
BOOL CALLBACK EnumProc(HWND hWnd, LPARAM lParam)
{
  CHAR sClass[256];
  GetClassName(hWnd, sClass, sizeof(sClass));
  if (!strcmp(sClass, "Internet Explorer_Server"))
  {
    *(HWND *)lParam = hWnd;
    return FALSE;
  }
  return TRUE;
}
DWORD CALLBACK ThreadProc(LPVOID lpVoid)
{
  CoInitialize(NULL);
  HWND hWnd = (HWND)lpVoid;
  while (IsWindow(hWnd))
  {
    HWND hIEWnd = NULL;
    EnumChildWindows(hWnd, EnumProc, (LPARAM)&hIEWnd);
    if (hIEWnd)
    {
      dbgprintf(("IE_Server found 0x%08X.\n", hIEWnd));  
      IHTMLDocument2 *pdoc = NULL;
      IHTMLWindow2 *pwnd = NULL;
      DWORD res = 0;
      HRESULT hr;
      SendMessageTimeout(hIEWnd, RegisterWindowMessage("WM_HTML_GETOBJECT"), 0, 0, SMTO_ABORTIFHUNG, 1000, &res);
      if (res)
      {
        hr = ObjectFromLresult(res, IID_IHTMLDocument2, 0, (void**)&pdoc);
        if (pdoc)
        {
          dbgprintf(("IHTMLDocument2 got 0x%08X.\n", pdoc));
          hr = pdoc->get_parentWindow(&pwnd);
          if (pwnd)
          {
            dbgprintf(("IHTMLWindow2 got 0x%08X.\n", pwnd));
            
            BSTR pURL = SysAllocString(urlW);
            hr = pwnd->navigate(pURL);
            SysFreeString(pURL);
            if (hr == S_OK)
            {
              LockURL(url);
              dbgprintf(("final navigate\n"));
            }
            /*
            IWebBrowser *pwb = NULL;
            hr = psp->QueryService(IID_IWebBrowserApp, IID_IWebBrowser2, (void **)pwb);
            if (pwb)
            {
              dbgprintf(("IWebBrowser got 0x%08X.\n", pwb));
              pwb->Release();
              return 0;
            }
            */
            pwnd->Release();
            return 0;
          }
          pdoc->Release();
        }
      }
    }
    Sleep(200);
  }
  return 0;



========

我想Hook IE浏览器

我想要Hook IE,其实就是想看某个IE浏览器访问的什么文件,发了什么包。
看网上说可以挂勾Socket的send、recv函数,但是在我开启一个IE进程后,根本就没在导入表中见到有诸如WS2_32.dll之类的Socket链接库,更不用说send函数了。请问是不是我的方法不对,还是改IAT的方法不太靠谱呀?
我是新人,之前没有Hook的经验,所以想像各位高人求助一下。


补充一下,我是通过CreateRemoteThread的方法让LoadLibraryW加载一个我自己写的Dll实现上述工作的。
也从网上看到有说Dll的动态加载问题,但是我Hook了LoadLibraryW,什么反应也没有。
用LordPE看那个IE的进程,有好多Dll,但是我在导入表中却几乎谁也没看见。


ie的进程里面有ws2_32.dll


那我应该怎么找到这个ws2_32.dll呢?我现在还只会在进程的PE头中,通过匹配导出表IMAGE_IMPORT_DESCRIPTOR的Name项,比对Dll的名字呢。除此之外,还有什么方法找出它来?
另外,如果我找到了ws2_32.dll我需要做什么?修改IE进程的这个链接库的导出表吗?还是不需要修改里面的函数了?


CreateToolHelp32Snapshot Module32First Module32Next可以枚举模块


非常感谢您的指导,我这么做了之后确实发现了不少的ws2_32.dll,可是居然就是找不到send和recv。
准确的说是没有WSASend,只有WSARecv。最可怕的是我将仅有的几个WSRecv挂上钩之后,IE就上不了网了。
其实我也没干什么,就是在这个函数被调用之后,向文件写一个这个函数被调用了,然后就顺序压栈再调这正的函数去了,结果调用完后的返回值总是0xffffffff,开网页也不行了,是不是这种函数不方便用修改IAT的方式呀?


ie通过wininet调用winsock,你应该使用inline hook


如果你只关心数据包的话可以用抓包软件来分析


ie通过wininet调用winsock,你应该使用inline hook
非常感谢您,终于试成功了
========

Hook IE浏览器alert弹窗



需要拦截并获取到浏览器中alert的信息。实际上就是Hook IHTMLWindow2.alert 接口 .
首先在引入Mshtml.h前,需要定义#define CINTERFACE,强制使用C类型的COM接口。


[cpp] view plain copy print?
#define CINTERFACE  
#include <MsHTML.h>  
#include <exdispid.h>  
#include <mshtmcid.h> // CMDSETID_Forms3 definition  
#include <mshtmhst.h> // IDM_menu item definitions  




我比较偷懒,直接使用detours来hook COM.
[cpp] view plain copy print?
#include <detours.h>  
#pragma comment(lib, "detours.lib")   


对COM接口的hook, 在detours中和 API hook非常近似。首先定义函数指针原型。
[cpp] view plain copy print?
typedef HRESULT (STDMETHODCALLTYPE *PFN_IHTMLWindow2_alert)(IHTMLWindow2 * This, BSTR message);  


然后弄一个替代函数
[cpp] view plain copy print?
// static  
HRESULT STDMETHODCALLTYPE CWebBrowser::IHTMLWindow2_alert(IHTMLWindow2 * This, BSTR message)  
{  
  
    return S_OK;  
}  
[cpp] view plain copy print?
IHTMLWindow2 * pWnd2 = ...  
  
// hook IHTMLWindow2.alert  
if( pWnd2 )  
{  
    PFN_IHTMLWindow2_alert pfnRealAlert = pWnd2->lpVtbl->alert;  
    DetourTransactionBegin();  
    DetourUpdateThread(GetCurrentThread());  
    DetourAttach(&(PVOID&)pfnRealAlert, IHTMLWindow2_alert);  
    DetourTransactionCommit();  
}  


大功告成
========


IE劫持原理 BHO

为什么“浏览器劫持”能够如此猖狂呢?放眼众多论坛的求助贴,我们不时可以看到诸如“我的IE被主页被改了,我用杀毒工具扫了一遍都没发现病毒,我把主页改回自己的地址,可是一重启它又回来了!”、“我的系统一开机就跳出一个广告,我明明用了最新版的杀毒软件的啊!”等这类关于IE异常问题的求助,80%的提问者都表示纳闷,他们已经安装了杀毒软件,可是IE仍然被“黑”了,这又是为什么?
其实这些都是典型的“浏览器劫持”现象,但是受害者不是已经安装了杀毒软件吗?为什么浏览器依然躲不过这只黑手?许多用户对这个领域都存在一种误区心理:浏览器劫持?我有最新的杀毒软件,我不怕!
于是,当他们遭遇“浏览器劫持”时,惊讶了。
要知道,杀毒软件自身也只是一种辅助工具,它不可能完全保护系统的安全,更何况,杀毒软件用户必须知道一个事实:“浏览器劫持”的攻击手段是可以通过被系统认可的“合法途径”来进行的!杀毒软件只能通过“特征码”的形式来判断程序是否合法,但这是建立在人为定义以后的,而实施“浏览器劫持”的程序可以有很多,防不胜防。
为什么说“浏览器劫持”可以说是合法的呢?因为大部分浏览器劫持的发起者,都是通过一种被称为“BHO”(Browser Helper Object,浏览器辅助对象)的技术手段植入系统的。
BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”(INTERACTIVED Interface)。通过BHO接口,第三方程序员可以自己编写代码获取浏览器的一些行为(Action)和事件通知(Event),如“后退”、“前进”、“当前页面”等,甚至可以获取浏览器的各个组件信息,像菜单、工具栏、坐标等。由于BHO的交互特性,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作,而这些操作都被视为“合法”的,这就是一切罪恶根源的开始。
BHO的出现帮助程序员更好的打造个性化浏览器或者为自己的程序实现了方便简洁的交互功能,可以说,如果没有BHO接口的诞生,我们今天就不能用一些工具实现个性化IE的功能了。从某一方面来看,BHO的确是各种缤纷网络互动功能的幕后功臣,但是一切事物都是有两面性的,这个恒古不变的真理同样对BHO有效,于是就有了今天让安全界头痛的“浏览器劫持”的攻击手段诞生。
看看前面我提到的BHO接口特性,你想到了什么?BHO可以获知和实现浏览器的大部分事件和功能,也就是说,它可以利用少量的代码控制浏览器行为。程序员可以设计出一个BHO按钮以实现用户点击时通知浏览器跳转到某个页面完成交互功能,当然就可以进一步写出控制浏览器跳转到他想让用户去的页面,这就是最初的“浏览器劫持”的成因:BHO劫持。
在描述BHO劫持之前,我们先要对BHO接口的启动做个简单介绍:符合BHO接口标准的程序代码被写为DLL动态链接库形式在注册表里注册为COM对象,还要在BHO接口的注册表入口处进行组件注册,以后每次IE启动时都会通过这里描述的注册信息调用加载这个DLL文件,而这个DLL文件就因此成为IE的一个模块(BHO组件),与IE共享一个运行周期,直到IE被关闭。
IE启动时,会加载任何BHO组件,这些组件直接进入IE领域,而IE则成为它们的父进程和载体,从此IE的每一个事件都会通过IUnknown接口传递到BHO用以提供交互的IObjectWithSite接口里,这是BHO实现与IE交互的入口函数。
BHO接收到IE接口传递来的参数后开始判断IE正在做什么,理论上BHO可以获取IE的大部分事件,然后根据程序员编写的代码,BHO持有对特定事件做出反应的决定权,例如一个可以实现“中文网址”的BHO,就是通过GetSite方法获取到IE当前打开的站点URL(或通过IURLSearchHook接口来获知),如果BHO发现获取到的URL和内置的判断条件匹配,该BHO就会启用SetSite方法强制IE跳转到程序员设定的页面去,这个过程就是利用about:blank篡改主页的“浏览器劫持”方法之一,它的实现原理其实很简单,程序员编写一个恶意BHO组件,当它获取到IE窗口的当前站点为“about:blank”时就强制IE内部跳转到指定的广告页面,于是闹出了不久之前沸沸扬扬的“IE空白页劫持事件”。
了解了这种类似恶作剧的作案手段,要解决它就容易了,只要找到并删除这个隐藏在系统里的BHO程序即可。
除了这类“广告软件”性质的BHO,还有一种利用IURLSearchHook接口实现的另一类更隐蔽的BHO,这种BHO从某些方面来说大概不算BHO,因为它并不是响应IUnknown,而是等待IE创建IURLSearchHook来启动。IURLSearchHook被浏览器用来转换一个未知的URL协议地址,当浏览器企图去打开一个未知协议的URL地址时,浏览器首先尝试从这个地址得到当前的协议,如果不成功,浏览器将寻找系统里所有注册为“URL Search Hook”(资源搜索钩子,USH)的对象并把这个IE不能理解的地址发送过去,如果某个USH对象“认识”这个地址,它就返回一个特定的标识告诉IE它知道怎么打开这个地址,然后IE就根据约定的方法调用它,最终打开这个地址。其实USH对象并不陌生,我们一些偷懒的用户就经常为了省事而不输入“http://”,但是IE最终还是能认出并打开某个地址,就是USH的功劳,但是这一点又被恶意程序员拿来磨刀了,通过创建自己的USH对象,恶意程序员能够命令IE在找不到一些网站时自动跳转到事先设置的站点里,如果这个站点带毒或者挂马,用户就完了。
这类BHO的解决方法和前面一样,只是它比较隐蔽,除非用户经常偷懒,否则可能直到系统崩溃也不会知道自己已经感染了这种东西。也许你会说,只要用户的输入永远不会让IE无法识别,这种渗透不就白费了?但是事实不容乐观,我们无法得知BHO作者还会不会通过其他方法拦截IE,说不定每隔一段时间就让IE弹出一个广告呢?
上面说了这么多BHO和IE合作搞破坏的事例,可能会给读者造成一种“BHO必须在IE传递数据后才能行动”的误解,然而事实并非如此,浏览器自身也是一个标准的可执行程序,而BHO只是借用这个程序进程启动的DLL,它并非API那种要用的时候就让你过来忙活,忙活完了就一脚踹开的奴隶形态DLL,前面说过了,BHO是一种在浏览器加载时一同启动的例程,它相当于一种自身运行逻辑不太明确的子进程(里面都是对IE事件的响应和操作代码),这个特性就造成了BHO DLL和API DLL本质的区别,BHO并不需要所有事件都必须依赖这个大家伙,它可以有自己决定的权利,只要适当的修改,就能用BHO实现类似DLL木马的功能,当然,这并不是说我们就能在IE眼皮下公然的肆无忌弹干坏事的,由于BHO自身是作为IE子进程启动的,它就必须受到一些限制,例如程序员不能在里面自己创建网络连接,这样会导致IE报错崩溃并供出你写的DLL,害怕BHO成为另一种后门的用户可以松口气了,要在BHO里实现Winsock大概只能在IE休息的时候才可以,但是会有哪个用户开着个开空IE什么事情都不做呢?
但这并不是说BHO就一定能无害了,虽然用它不能做到远程控制,但是别忘记,BHO能看到IE的所有东西,也就能任意的访问用户文件和注册表,在这个条件成立的前提下,入侵者可以编写代码查找用户隐私,然后在适当时候通过SetSite提交出去——谁叫现在Webmail这么流行呢?这就是为什么许多厂商发布诸如“中文网址”、“网络搜索”、“IE定制”、“IE监视”这些功能的BHO的同时都保证“不搜集用户隐私”的原因,只要你想要,BHO就能得到一切。
有些人也许会想,既然BHO是微软浏览器的权利,那我不用IE了,我用Opera、Firefox不行?对于这点固然无可厚非,但是你用不用Windows?用不用共享软件?如果你用Windows,那么,你仍然可能处于被BHO接触到的世界,因为Windows本身就是和IE紧密结合的,这就把“IE进程”的范围给扩大了,细心的用户大概会发现,IE里能直接访问“我的电脑”,“我的电脑”窗口也能迅速变成IE,因为它们实质都是依赖于IE内核的,正因为这个原因,BHO可以在你打开一个文件夹时跟着偷偷启动。同时,现在的网络正处于一种“共享软件捆绑战略”大肆实施的时代,你再小心也不能避免某些共享软件固定捆绑了BHO的行为,安装后你才会发现文件夹上又多了个什么“助手”、“搜索”了。要想彻底逃开BHO的围困,大概只能放弃使用Windows了。
Hook,你钩住浏览器了
正如《侏》里的这句话一样,入侵者也在不断寻找他们的新出路,虽然上面我说了这么多BHO的负面事例,但是真正的危机并不是只有BHO的,在一些使用BHO行不通的场合里,入侵者开始投掷他们的钩子。
什么是钩子?让我们先看看它的官方定义:
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。


钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
可能上面的官方定义对一部分读者理解有点困难,其实,钩子就像是一切程序的“先知”,一个实现了钩子的程序自身虽然也是普通程序,但是它总能在别的程序得到数据之前就已经知道了一切,这是为什么呢?对Windows系统有一定了解的读者应该知道,Windows系统是一个通过“信息处理机制”运作的系统,在这个系统里传递的数据都是通过“消息”(Message)的形式发送的,各个消息都遵循了官方的约定,否则就不能让系统产生回应。而且这个传递步骤是颠倒的,例如我们关闭了某个程序,我们可能会认为是程序自己关闭后通知系统的,其实不然,当用户点击关闭按钮的时候,Windows就会把一个叫做WM_CLOSE的消息传递给这个程序,程序接收到消息后就执行卸载自身例程的操作。理解了这点,就能知道钩子的原理了,所谓钩子程序,就是利用了系统提供的Hook API,让自己比每一个程序都提前接收到系统消息,然后做出处理,如果一个钩子拦截了系统给某个程序的WM_CLOSE消息,那么这个程序就会因为接收不到关闭消息而无法关闭自身。除了消息以外,钩子还可以拦截API,像我们都熟悉的屏幕翻译软件就是Hook了一些文本输出函数如TextOutA而达到了目的。
技术让编程人员可以轻松获取其他程序的一些有用数据或传递相关数据,像现在常见的一些游戏外挂,它们就是利用Hook技术钩住了游戏窗体,然后就可以识别游戏里面的行为和模拟发送按键鼠标消息,最终实现电脑自己玩游戏的功能。把这个技术应用到浏览器上面,就成了另一种控制浏览器行为的方法。
钩子有两种,本地钩子(Local Hook)和全局钩子(Global Hook),本地钩子只在本进程里起作用,故不属于讨论范围;全局钩子代码必须以DLL形式编写,以便在钩子生效时被其它进程所加载调用,因此我们看到的大部分Hook程序都是DLL形式的。
其实之前提到的BHO也可以视为一种针对IE的钩子,它钩的是IE的事件,这就是IE与BHO交互的起点,但是对于再复杂一点的操作,例如判断IE下载的是GIF图片还是JPEG图片,BHO无能为力,因为它仅仅知道IE的事件为DownloadBegin和DownloadComplete,对于具体内容,IE本身是不会告诉它的,否则IE岂不是要忙死了?至少我也没见过哪个领导还需要向秘书汇报中午吃了鸡肉还是鸭肉的吧,BHO可不是IE的老婆,或者说IE没有气管炎。
所以,为了得到IE的更多数据,程序员开始钩IE了。与BHO不同,钩子不需要被动的等待IE事件,它直接和IE形成上司对下属的关系,这次轮到IE要做什么都得经过它批准了。Hook形式的控制不需要DLL文件必须与IE的注册表入口产生组件关系,它可以是一个独立的DLL,通过Rundll32.exe或自带的Loader EXE启动,而且由于它属于Hook形式,在钩子有效的情况下会被系统自动插入其他程序的进程中,是不是有点像DLL木马呢?
IE钩子程序载入进程后便能获知所有的消息类型、API和内容,一旦发现某个符合要求的消息,如IE执行了某个事件,或者用户输入了特定内容,钩子的处理代码就开始工作了,它先拦截系统发送给IE的消息,然后分析消息内容,根据不同消息内容作出修改后再发给IE,就完成了一次Hook篡改过程。用著名的3721实名搜索做例子,一些人会以为它是采用了BHO或者IURLSearchHook完成中文域名的识别跳转的,其实它是用了能够第一个得到Windows消息的Hook技术,这样一来就可以避免被其他的竞争对手抢先解析域名了:3721的主程序就是一个Hook DLL,它监视IE地址栏的消息,一旦用户输入的是中文,它便在其他BHO类插件工作之前拦截了这个消息,并调用自身代码完成中文域名到英文URL的转换工作,然后返回(也可能与自己的BHO DLL配合)一个让IE跳转到英文URL的消息,完成域名的翻译任务。
IE钩子能帮助程序员用少量代码完成更多的IE交互工作,但是一旦这个钩子被用于犯罪,其后果也是严重的,恶意程序员可以写一个拦截IE输入的键盘钩子,达到窃取密码的作用,这样无论你是用HTTP明文协议还是SecurityHTTP加密协议都不能逃避密码被盗的下场了,因为它抓的是你在IE里的输入,后面的数据传输已经不重要了。
Winsock LSP
全称为“Windows Socket Layered Service Provider”(分层服务提供商),这是Winsock 2.0才有的功能,它需要Winsock支持服务提供商接口(Service Provider Interface,SPI)才能实现,SPI是一种不能独立工作的技术,它依赖于系统商已经存在的基本协议提供商,如TCP/IP协议等,在这些协议上派分出的子协议即为“分层协议”,如SSL等,它们必须通过一定的接口函数调用,LSP就是这些协议的接口。
通过LSP,我们可以比分析基本协议更简单的得到我们想要的数据内容,如直接得到系统上运行的浏览器当前正在进行传输的地址和内容,不管这个浏览器是IE,还是Opera或Firefox,因为LSP是直接从Winsock获取信息的,即使不用微软生产的汽车,至少你这辆汽车一直是在微软建造的公路上跑的吧。
LSP用在正途上可以方便程序员们编写监视系统网络通讯情况的Sniffer,可是现在常见的LSP都被用于浏览器劫持,使用户又多了个噩梦。
亡羊补牢,还是居安思危?
也许大部分家庭用户都是在经历过一次入侵或中毒事件后才知道安全防范的重要性的,能亡羊补牢当然是好事,但是如果能对自己的要求提高一点,做到未雨绸缪岂不是更好?我们总是依赖于别人的技术,依赖于模式化的杀毒手段,但那些始终都是别人的东西,控制权不能掌握在自己手上,这并不是很好的事情,也许,该是暂时放弃游戏挂级、搜集明星电影,好好研读一下安全方面和系统原理书籍的时候了,否则在这个不安全的网络中,我们随时可能会迷失自己。
可能有人会想,又在发感慨了。也许是的,因为清除“浏览器劫持”一般都需要手工进行,虽然现在已经有了多个检测浏览器劫持的工具如HijackThis、Browser Hijack Recover等软件面世,但是如果你抱着和以往使用杀毒工具那样“一开扫描就安枕无忧”想法的话,你会发现自己真的会迷失了,由于BHO的特殊性(别忘记,它是合法的),这些工具只会把系统的进程、BHO项目、启动项、LSP等需要有一定技术基础方能理解的东西显示给你,然后由你自己决定IE的明天,如果你不曾重视过安全技术,那么就会觉得这些工具如同另一种折磨你的病毒了。
学,还是不学?这是个必须考虑的问题……


网页插件 BHO启动,查找.删除


查找BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
可以找到所有的BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
中可以找到BHO对应的注册项
其中的InprocServer32的默认值为BHO所对应的dll文件.


删除BHO


关闭IE浏览器.
运行regsvr32 /u XXX.dll
删除对应的dll文件


BHO原理:


BHO就是Browser Helper Object(浏览器辅助对象)


BHO关联原理 (BHO关联的是SHDOCVW,也就是说不只关联IE,下面全部用IE来说明)


1.IE的窗口打开时,先寻找HKLM下的SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ 里的CLSID,这些CLSID,都对应着相应的BHO插件,然后根据这个CLSID到HKCR下的CLSIDs里找到此插件的信息,包括文件位置等。
2.IE根据找到的CLSID信息创建 BHO 对象,并且查找 IObjectWithSite 接口. (这个接口非常简单,只有SetSite和GetSite两个方法)


3.IE把IWebBrowser2(浏览器插件)传到 BHO 的 SetSite 方法,用户在此方法中可挂载自己的事件处理方法。


4.窗口关闭时,IE把 null 传到 BHO 的 SetSite 方法,此方法用来去掉挂载的事件处理方法。


编写BHO流程
1、创建IObjectWithSite显式接口,创建 COM 类型,实现继承IObjectWithSite接口
2、实现此接口并在SetSite方法里加上所要挂载的事件
3、处理事件
4、注册此BHO到注册表中HKLM下的Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects;(HKCR下的CLSIDs是根据上面的路径自动注册的)
5、.net 下须设置此BHO项目的 配置属性_>生成 中为Interop注册为True,这样才能将.net 类库文件注册到COM

========


  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
众所周知,人工智能是当前最热门的话题之一, 计算机技术与互联网技术的快速发展更是将对人工智能的研究推向一个新的高潮。 人工智能是研究模拟和扩展人类智能的理论与方法及其应用的一门新兴技术科学。 作为人工智能核心研究领域之一的机器学习, 其研究动机是为了使计算机系统具有人的学习能力以实现人工智能。 那么, 什么是机器学习呢? 机器学习 (Machine Learning) 是对研究问题进行模型假设,利用计算机从训练数据中学习得到模型参数,并最终对数据进行预测和分析的一门学科。 机器学习的用途 机器学习是一种通用的数据处理技术,其包含了大量的学习算法。不同的学习算法在不同的行业及应用中能够表现出不同的性能和优势。目前,机器学习已成功地应用于下列领域: 互联网领域----语音识别、搜索引擎、语言翻译、垃圾邮件过滤、自然语言处理等 生物领域----基因序列分析、DNA 序列预测、蛋白质结构预测等 自动化领域----人脸识别、无人驾驶技术、图像处理、信号处理等 金融领域----证券市场分析、信用卡欺诈检测等 医学领域----疾病鉴别/诊断、流行病爆发预测等 刑侦领域----潜在犯罪识别与预测、模拟人工智能侦探等 新闻领域----新闻推荐系统等 游戏领域----游戏战略规划等 从上述所列举的应用可知,机器学习正在成为各行各业都会经常使用到的分析工具,尤其是在各领域数据量爆炸的今天,各行业都希望通过数据处理与分析手段,得到数据中有价值的信息,以便明确客户的需求和指引企业的发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值