SetWinEventHook应用于进程注入

最新推荐文章于 2024-07-22 09:19:24 发布
最新推荐文章于 2024-07-22 09:19:24 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: HOOK技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzuim/article/details/103778119
版权

SetWinEventHook


函数原型: 

HWINEVENTHOOK SetWinEventHook(
  DWORD        eventMin,
  DWORD        eventMax,
  HMODULE      hmodWinEventProc,
  WINEVENTPROC pfnWinEventProc,
  DWORD        idProcess,
  DWORD        idThread,
  DWORD        dwFlags
);

引用微软开发文档:

This function allows clients to specify which processes and threads they are interested in.

If the idProcess parameter is nonzero and idThread is zero, the hook function receives the specified events from all threads in that process. If the idProcess parameter is zero and idThread is nonzero, the hook function receives the specified events only from the thread specified by idThread. If both are zero, the hook function receives the specified events from all threads and processes.

Clients can call SetWinEventHook multiple times if they want to register additional hook functions or listen for additional events.

The client thread that calls SetWinEventHook must have a message loop in order to receive events.

When you use SetWinEventHook to set a callback in managed code, you should use the GCHandle structure to avoid exceptions. This tells the garbage collector not to move the callback.

For out-of-context events, the event is delivered on the same thread that called SetWinEventHook. In some situations, even if you request WINEVENT_INCONTEXT events, the events will still be delivered out-of-context. These scenarios include events from console windows and events from processes that have a different bit-depth (64 bit versus 32 bits) than the caller.

While a hook function processes an event, additional events may be triggered, which may cause the hook function to reenter before the processing for the original event is finished. The problem with reentrancy in hook functions is that events are completed out of sequence unless the hook function handles this situation. For more information, see Guarding Against Reentrancy.

Windows Store app development If dwFlags is WINEVENT_INCONTEXT AND (idProcess = 0 | idThread = 0), then window hook DLLs are not loaded in-process for the Windows Store app processes and the Windows Runtime broker process unless they are installed by UIAccess processes (accessibility tools). The notification is delivered on the installer’s thread.

This behavior is similar to what happens when there is an architecture mismatch between the hook DLL and the target application process, for example, when the hook DLL is 32-bit and the application process 64-bit.

着重关注:调用SetWinEventHook的客户端线程必须具有消息循环才能接收事件。如果没有消息循环,则会发现SetWinEventHook成功,但是并没有任何事件进入回调!!!

The client thread that calls SetWinEventHook must have a message loop in order to receive events.

微软官方,同时也给处理调用示例:

// Global variable.在这里插入代码片
HWINEVENTHOOK g_hook;

// Initializes COM and sets up the event hook.
//
void InitializeMSAA()
{
    CoInitialize(NULL);
    g_hook = SetWinEventHook(
        EVENT_SYSTEM_MENUSTART, EVENT_SYSTEM_MENUEND,  // Range of events (4 to 5).
        NULL,                                          // Handle to DLL.
        HandleWinEvent,                                // The callback.
        0, 0,              // Process and thread IDs of interest (0 = all)
        WINEVENT_OUTOFCONTEXT | WINEVENT_SKIPOWNPROCESS); // Flags.
}

// Unhooks the event and shuts down COM.
//
void ShutdownMSAA()
{
    UnhookWinEvent(g_hook);
    CoUninitialize();
}

// Callback function that handles events.
//
void CALLBACK HandleWinEvent(HWINEVENTHOOK hook, DWORD event, HWND hwnd, 
                             LONG idObject, LONG idChild, 
                             DWORD dwEventThread, DWORD dwmsEventTime)
{
    IAccessible* pAcc = NULL;
    VARIANT varChild;
    HRESULT hr = AccessibleObjectFromEvent(hwnd, idObject, idChild, &pAcc, &varChild);  
    if ((hr == S_OK) && (pAcc != NULL))
    {
        BSTR bstrName;
        pAcc->get_accName(varChild, &bstrName);
        if (event == EVENT_SYSTEM_MENUSTART) 
        {
            printf("Begin: ");
        }
        else if (event == EVENT_SYSTEM_MENUEND)
        {
            printf("End:   ");
        }
        printf("%S\n", bstrName);
        SysFreeString(bstrName);
        pAcc->Release();
    }
}

通过以上官方说明,已经对事件钩子有了一定了解,我们此时只关注:怎么实现DLL注入到拥有某些事件的进程?微软对此函数参数说明中:

hmodWinEventProc

Type: HMODULE

Handle to the DLL that contains the hook function at lpfnWinEventProc, if the WINEVENT_INCONTEXT flag is specified in the dwFlags parameter. If the hook function is not located in a DLL, or if the WINEVENT_OUTOFCONTEXT flag is specified, this parameter is NULL.
直译:如果在dwFlags参数中指定了WINEVENT_INCONTEXT标志,则处理包含在lpfnWinEventProc上的钩子函数的DLL。 如果挂钩函数不在DLL中,或者指定了WINEVENT_OUTOFCONTEXT标志,则此参数为NULL。

通过此说明,想要实现DLL注入,必须指定hmodWinEventProc为当前DLL的HMODULE,并且dwFlags必须包含:WINEVENT_INCONTEXT 。dwFlags可组合有:

WINEVENT_INCONTEXT | WINEVENT_SKIPOWNPROCESS
WINEVENT_INCONTEXT | WINEVENT_SKIPOWNTHREAD
WINEVENT_OUTOFCONTEXT | WINEVENT_SKIPOWNPROCESS
WINEVENT_OUTOFCONTEXT | WINEVENT_SKIPOWNTHREAD

SetWinEventHook实现DLL注入,则需要调用此接口为DLL项目,并且SetWinEventHook参数需指定类似为:

SetWinEventHook(EVENT_OBJECT_FOCUS, EVENT_OBJECT_VALUECHANGE, (HMODULE)m_hInstance, s_WinEventProc, 0, 0, WINEVENT_INCONTEXT | WINEVENT_SKIPOWNPROCESS);

m_hInstance:值为DllMain传入的hModule。
以上调用,安装事件钩子成功后,只要进程拥有GUI属性,基本都能捕获并且注入。

SetWindowsHookExW与SetWinEventHook
老姜大叔的小黑屋
08-15 3736
今天用消息钩子和事件钩子完成了对鼠标按下弹起消息和窗体移动事件的捕获。
SetWinEventHook检测外部程序关闭
11-29
SetWinEventHook 检测程序关闭
SetWinEventHook 事件钩子
热门推荐
magictong的专栏
11-01 1万+
      相信消息钩子大家听的比较多,消息钩子能够在应用程序处理系统消息之前将其截获,提前处理并可以决定是否继续将消息往下传送,有些windows事件并没有消息对应,譬如弹出菜单,切换窗口,获得焦点,滚动条滚动等等,要截获这些事件可以使用SetWinEventHook,它的原型如下:HWINEVENTHOOK WINAPI SetWinEventHook(  __in  UINT event
应用SetWinEventHook截获Windows事件
liuyukuan的专栏
06-21 2484
应用SetWinEventHook截获Windows事件 用SetWindowsHookEx可以截获Windows中的消息,然而对于更高级一点的Windows事件(如:弹出菜单事件、ATL+TAB切换事件等等),可以用SetWinEventHook来截获. SetWinEventHook创建的钩子也分为进程内和进程外两种,进程内钩子效率高但必须以DLL形式存在,因为其须映射到别的进程中.在这个Demo中我采用进程外钩子来截获所有事件。 钩子例程如下所示: VOIDCALL...
SetWinEventHook和SetWindowsHookEx的异同
weixin_30667649的博客
07-12 355
SetWinEventHook 和 SetWindowsHookEx 都可以指定钩子函数(hook function)来截取别的进程中的消息,但是他们之间有一些不同。 SetWindowsHookEx 有两种钩子函数,一种是全局钩子(global hook),另一种是线程钩子(thread hook)。全局钩子能够截取所有线程的消息,但是全局钩子函数必...
0.ring3-SetWinEventHook和SetWindowsHookEx
hgy413的专栏
11-25 2367
SetWinEventHook和SetWindowsHookEx都可以指定钩子函数(hook function)来截取别的进程中的消息 1.SetWindowsHookEx有两种钩子函数,一种是全局钩子(global hook),另一种是线程钩子(thread hook)。 SetWindowsHookEx 和SetWinEventHook两种方法截取的消息的类型不一样。 SetWind
GlobalCaretPosition:使用 Windows 系统事件获取全局插入符号位置 (SetWinEventHook)
06-18
这个函数需要三个主要参数:事件类型(例如,EVENT_SYSTEM_CARET),钩子的处理程序(一个回调函数),以及钩子的运行范围(是当前进程、所有进程,还是特定线程)。当指定的事件发生时,Windows会调用我们提供的回...
C#获取任务栏显示进程的方法
09-03
4. `if (MyProcess.MainWindowTitle.Length > 0)` 判断进程是否有主窗口标题,因为任务栏通常显示的是有窗口的应用程序。 5. 接下来,`Minfo`数组被填充上进程的相关信息,并通过`Console.WriteLine()`打印出来,...
利用SetWinEventHook实现全局插入符号位置捕获
资源摘要信息:"GlobalCaretPosition是利用Windows API中的SetWinEventHook函数来获取全局插入符号位置的一个概念或功能。在这个上下文中,'插入符号'通常指的是文本输入时的光标位置。全局插入符号位置意味着无论...
如何在 python 中使用 winapi SetWinEventHook
weixin_35755823的博客
01-16 279
首先,需要导入ctypes库来调用Windows API。然后,使用ctypes.windll.user32.SetWinEventHook函数设置事件钩子。参数包括事件类型、回调函数、进程句柄、线程句柄、窗口类型、窗口句柄范围等。回调函数将在相应事件发生时被调用,并可以处理相应的事件。最后,使用ctypes.windll.user32.UnhookWinEvent来取消钩子。 示例代码: imp...
.NET C# 使用 SetWindowsHookEx 监听鼠标或键盘消息以及此方法的坑
walterlv - 吕毅
05-23 4436
一般来说,大家在需要监听全局消息的时候会考虑 SetWindowsHookEx 这个 API。或者需要处理一些非自己编写的窗口的消息循环的时候,也会考虑使用它。 如果要知道如何使用这个 API,你可以在网上搜到大量这样的文章/博客/教程/文档,然而大多不会提及使用此 API 时遇到的一些坑。阅读本文,你当然也可以知道应该如何使用这个 API,但同时也能了解如何正确使用以避免一些奇怪的问题。 @T...
Windows监听进程的两个函数
MusicMan
10-24 831
首先是SetWindowHookEx() HHOOK WINAPI SetWindowsHookExW( __in int idHook, __in HOOKPROC lpfn, __in_opt HINSTANCE hmod, __in DWORD dwThreadId); #ifdef UNICODE #define SetWindowsHookEx Se...
HOOK与注入
weixin_43781139的博客
07-21 5092
HOOK和注入技术经常被恶意代码使用。利用HOOK和注入技术,恶意代码提高了执行隐蔽性,增加了恶意代码分析难度,在某些情况下还能实现权限提升和内存常驻。 HOOK技术 挂钩(HOOK)就是在来往信息间安装“钩子”,钩取来往信息。 在用户层,常见的Hook技术有: ①消息钩子 ②Inline Hook ③IAT Hook 消息钩子 原理: 用户对应用程序的各种操作(eg:键盘输入、点击、移动等)都会产生事件;发生事件时,操作系统会把该事件对应的消息发送给相应的应用程序,应用程序分析收到的信息后执行相应的动作。
应用分享相关功能+代码片段
刘国元的专栏
08-13 1419
获取窗口是否是最小/大化的: WINDOWPLACEMENT wp = { sizeof(WINDOWPLACEMENT) }; for (auto wnd : wnds) { if (wnd == captured_wnd_) { continue; } if (GetWindowPlacement(wnd, &wp) && wp.showCmd != SW_HIDE && wp.showCmd != SW_MINIMIZE) { wn
UI 自动化和主动辅助功能
顺其自然~专栏
06-23 2148
Microsoft Active Accessibility 是 Windows 95 中引入的旧 API,旨在使 Windows 应用程序可访问。Microsoft UI 自动化是 Windows 的新辅助功能模型,旨在满足辅助技术产品和自动化测试工具的需求。UI 自动化提供了对 Microsoft Active Accessibility 的许多改进。本主题解释了这两种技术之间的差异。 编程语言 Microsoft Active Accessibility 基于组件对象模型 (COM),支持双接口,
《Windows核心编程》之“Windows挂钩”(三)
Sagittarius_Warrior的博客
08-12 1495
本文主要结合之前两篇介绍的“Windows挂钩”知识,讲解《Windows核心编程》一书中的“DIPS"示例程序和我的调试经验。 一、程序功能介绍 1,功能需求     DIPS.exe应用程序使用了Windows Hook来将一个DLL注入到Explorer.exe的地址空间中,并在内部给桌面的ListView控件发送LVM_GETITEM和LVM_GETITEMPOSITON消息
[AHK V2]WinEvent - 简单的检测窗口打开关闭、移动、最大化、最小化等
liuyukuan的专栏
05-06 1351
用ahk v2 实现窗口的事件钩子,可以监视窗口的创建、关闭、激活、移动、最大化、还原、最小化等
什么是事件对象(Event Object)?如何使用它获取事件信息?
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-22 1267
基本概念和作用说明示例一:监听click事件示例二:访问事件对象的属性示例三:阻止默认行为示例四:取消事件冒泡示例五:键盘事件使用技巧和分析在前端开发中,事件处理是构建交互式用户界面的核心。每当用户与网页进行互动,如点击按钮、滚动页面或输入文本时,浏览器都会触发一个事件。为了响应这些事件,JavaScript 提供了Event对象,它封装了所有关于事件的信息。本文将深入探讨Event对象的基本概念、属性和方法,并通过多个示例展示如何利用这些功能来增强网站的用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值