Windows全局钩子实现方案回顾

最新推荐文章于 2024-09-27 00:18:42 发布
最新推荐文章于 2024-09-27 00:18:42 发布
阅读量1.8k 收藏 2
点赞数
文章标签: windows service hook null dll interface
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gjtian/article/details/7954036
版权
本文总结了如何在后台实现全局鼠标钩子,通过创建Windows服务并在设备插入/删除时动态加载DLL来设置和移除钩子。调试服务程序时,需关联进程进行调试。
摘要由CSDN通过智能技术生成

首先声明此文没有任何新的地方,俗话说阳光之下无原创。写下这个短文仅仅是对前几天做的一个小事情的总结,也许有可能对一些初学者起到一定的帮助作用,则善莫大焉。

先看任务要求:需要实现全局的鼠标钩子,但是是在后台运行的,希望安装程序之后在系统启动时自动启动,并且监视一个具体的设备,当该设备插入时,启动全局钩子;当该设备从系统删除时,撤销全局钩子。非常简单的一句话概括了任务。

再看解决方案:当拿到这个任务的时候,我们大概的解决思路和关键技术在于几个方面:1. 钩子技术的实现,包括钩子的创建和撤销,因为是鼠标钩子所以牵涉到动态连接库的实现和调用;2.后台运行的实现,直接想法应该是应用windows服务程序,这样的程序可以在系统启动是自动启动并且运行于后台。

钩子DLL没有什么难题,不进行详细解释。关于windows服务程序的实现,需要监视设备的插入/删除,另外这样的程序的调试也稍稍有点不同,就是在debug的菜单里面,关联process来进行调试。实现设备的监视关键代码如下:

ServiceMain(DWORD dwArgc, PWSTR *pszArgv)
{
	Sleep(3000);
    // Register the handler function for the service
    RegisterServiceCtrlHandlerEx(
        s_service->m_name,(LPHANDLER_FUNCTION_EX)ServiceCtrlHandler, 0);
    if (s_service->m_statusHandle == NULL)
    {
        throw GetLastError();
最低0.47元/天 解锁文章
gjtian
关注
drf安装及使用,web开发模式,api接口,postman使用,cbv源码回顾
yikenaoguazi的博客
11-03 510
day82一.回顾内容二.今日内容1drf内容概况2.web开发模式3 api接口4 postman的使用5 drf的安装和使用6 cbv源码回顾 一.回顾内容 1 web应用 -桌面应用(GUI),Tkinter,pyqt(qt平台) 单机版(文件,sqlite,mysql) -C/S架构:socket,Http -B/S架构:http协议 2 Http协议:面试重点(请求头,响应头里有什么,http版本的区别) 3 web框架:任何语言都会有自己的web框架 -Java中: -jdk(Jav
Python 高性能编程
GitChat
04-13 4765
你将获得 通过阅读本书,你将能够: 更好地掌握 numpy、Cython 和剖析器; 了解 Python 如何抽象化底层的计算机架构; 使用剖析手段来寻找 CPU 时间和内存使用的瓶颈; 通过选择合适的数据结构来编写高效的程序; 加速矩阵和矢量计算; 使用工具把 Python 编译成机器代码; 管理并发的多 I O 和计算操作; 把多进程代码转换到在本地或者远程集群上运行; 用更少的内存...
全局钩子(win+D DEMO)
04-15
封装了全局钩子,里面有全局钩子dell,外带win+d截获代码。
Windows下的钩子
wodamazi
09-21 215
Windows下的钩子 2011-9-9 API钩子应用程序将kernel32.dll加载到自己的私有空间0x0001000~0x7FFE0000之间,所以本地进程只要能访问目标进程的地址空间,就可以直接重写kernel32.dll中或应用程序导入表中的任何函数。通过利用机器码重写DLL文件中特定的文件或重写目标应用程序中的导入表,使其指向自己想要的函数。利用这种方式,可以完成隐藏进程,隐藏网...
C++ Windows Hook 消息钩子 详解
最新发布
2401_87429224的博客
09-27 945
C++ Windows Hook 消息钩子 详解
Windows全局钩子dll(键盘)
一步一步
04-22 3218
// dllHookkb.cpp : Defines the entry point for the DLL application.//#include "stdafx.h"#include "dllHookkb.h"#ifdef _MANAGED#pragma managed(push, off)#endif#pragma data_seg("YCIShared
WINDOWS钩子函数(HOOK)
shailen126的专栏
07-24 949
   WINDOWS钩子函数的功能非常强大,      有了它您可以探测其它进程并且改变其它进程的行为。  理论:  WINDOWS钩子函数可以认为是WINDOWS的主要特性之一。利用它们,您可以捕捉您自己进程或其它进程发生的事件。 通过“挂钩”,您可以给WINDOWS一个处理或过滤事件的回调函数,该函数也叫做“钩子函数”,当每次发生您感兴趣的事件时,WINDOWS
C实现Windows全局钩子
www.17xinwen.com
11-05 205
[b]KbHook.dll 源代码[/b] [code="C"] #include #include HHOOK g_hkeyboard=NULL; FILE *fp=NULL; // 键盘钩子过程 LRESULT CALLBACK KeyboardProc(int code, WPARAM wParam, LPARAM lParam) { // 将键盘值写入文件...
用C++实现跨平台游戏引擎开发
skyremember的专栏
10-29 1万+
游戏开发系列 用C++实现跨平台游戏引擎开发   你是否梦想写一部格斗游戏但却无从着手呢?是否你只因游戏开发好玩而对之感兴趣?本文我们将分析一个通用的跨平台游戏引擎,每个游戏开发新手都可以自由地使用它。  1. 3D游戏引擎的简短历史  在游戏开发中,从一开始就确定正确的开发平台是很重要的。是否你的游戏支持Windows,Linux和OSX
Postman:提升接口测试效率的关键工具
2. 参数化测试:可以使用环境变量或全局变量实现参数的动态替换。 3. 环境管理:允许用户创建、保存和切换不同的环境配置,以应对多环境下的接口测试需求。 4. 请求预览与调整:提供请求构建器,方便用户修改请求的...
Windows钩子的使用
热门推荐
其疾如风 其徐如林 侵略如火 不动如山
08-08 1万+
我们知道Windows中的窗口程序是基于消息,由事件驱动的,在某些情况下可能需要捕获或者修改消息,从而完成一些特殊的功能(MFC框架就利用Windows钩子对消息进行引导)。对于捕获消息而言,无法使用IAT或Inline Hook之类的方式去进行捕获,这就要用到接下来要介绍的Windows提供的专门用于处理消息的钩子函数。 1. 挂钩原理 Windows下的应用程序大部分都是基于消息机
windows钩子
01-30
有关windows钩子的工程文件,包括实现全局windows钩子dll工程和windows钩子的应用实例工程两部分,windows钩子工程同时实现了鼠标和键盘钩子,本工程可以作为windows钩子应用的框架,加以改造后就可以实现不同的功能。
Windows钩子教程
10-23
windows钩子入门教程,适合新手。 来源:一路采撷 Blog:http://blog.csdn.net/MaybeHelios/
鼠标键盘全局钩子以及windows api hook代码
07-22
鼠标键盘全局钩子以及windows api hook代码, 鼠标键盘全局钩子以及windows api hook代码 vs2013 工程
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
C#使用Windows全局钩子(Winform) SetWindowsHookEx
WOLWW的博客
04-28 1898
winform使用全局钩子 Hook
windows 键盘全局钩子
weixin_30784501的博客
06-24 79
// HookapiTest.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #include <iostream> using namespace std; HHOOK keyboardHook = 0; LRESULT CALLBACK Hook...
Windows 钩子
autumn20080101的专栏
12-18 661
Ⅰ. Windows 钩子 示例程序:HookSpy 和 HookInjEx Windows 钩子的主要作用就是监视某个线程的消息流动。一般可分为: 1. 局部钩子,只监视你自己进程中某个线程的消息流动。 2. 远程钩子,又可以分为: a. 特定线程的,监视别的进程中某个线程的消息; b. 系统级的,监视整个系统中正在运行的所有线程的消息。 如果被挂钩(监视)的线程属于别的进程(情况
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值