HOOK 钩子编程

最新推荐文章于 2018-09-19 17:42:04 发布
最新推荐文章于 2018-09-19 17:42:04 发布
阅读量953 收藏 1
点赞数
分类专栏: C++ 文章标签: HOOK 钩子编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanyujianke/article/details/8635006
版权

所谓钩子函数就是对windows下的如(键盘或鼠标)等消息的过滤处理,通过钩子回调函数来进行截留处理。

 

 

 

 

 

 

 

 

 

一共有两种类型的 钩子:局部的和远程的。
局部 钩子仅钩挂您自己进程的事件。
远程的 钩子还可以将钩挂其它进程发生的事件。
远程的 钩子又有两种:
钩子分两种, 一种是系统级的全局钩子; 一种是线程级的钩子.全局钩子函数需要定义在 DLL 中, 线程级的钩子开始比较简单.
其实钩子函数就三个:
设置钩子: SetWindowsHookEx
释放钩子: UnhookWindowsHookEx
继续钩子: CallNextHookEx
在线程级的钩子中经常用到 GetCurrentThreadID 函数来获取当前线程的 ID
 
 
SetWindowsHookEx( __in int idHook, __in HOOKPROC lpfn, __in_opt HINSTANCE hmod, __in DWORD dwThreadId);
idHook是钩子的类型
类型如下:
lpfn是钩子回调函数,也是过滤函数。
 
 
当为局部钩子时,第三个参数一般为null,第四个线程idGetCurrentThreadId()
当为全局钩子时,第三个参数为dll实例句柄,第四个参数为0
 
 
 
局部钩子实例如下:取消键盘退出键消息
WPARAM为产生的虚拟键值
g_hook = SetWindowsHookEx( WH_KEYBOARD, hookproc, NULL, GetCurrentThreadId() )
LRESULT CALLBACK hookproc(int code, WPARAM wParam, LPARAM lParam)
{
 if( wParam == VK_ESCAPE )
 return 1;
 else
 {
  return
   CallNextHookEx( g_hook, code, wParam, lParam );
 }
 
CallNextHookEx( g_hook, code, wParam, lParam );为调用下一个钩子函数
 
全局钩子:需要创建动态库dll,实例如下   取消键盘消息

HHOOK g_hook = NULL;
LRESULT CALLBACK hookdl( int code, WPARAM wparm, LPARAM lparm );
HOOK_API void  SetHook()
{
   g_hook = SetWindowsHookEx( WH_KEYBOARD, hookdl, GetModuleHandle("hook") , 0);
}
LRESULT CALLBACK hookdl( int code, WPARAM wparm, LPARAM lparm )
{
 return 1;


}

 
 
UnhookWindowsHookEx() 为移除钩子句柄,从钩子连中移走一个已安装的钩子
当您创建一个 钩子时,WINDOWS会先在内存中创建一个 数据结构,该数据结构包含了钩子的相关信息,然后把该 结构体加到已经存在的钩子链表中去。新的 钩子将加到老的前面。当一个事件发生时,如果您安装的是一个局部 钩子,您进程中的钩子函数将被调用。如果是一个远程 钩子,系统就必须把钩子函数插入到其它进程的 地址空间,要做到这一点要求钩子函数必须在一个 动态链接库中,所以如果您想要使用远程钩子,就必须把该钩子函数放到动态链接库中去。

 

米乐-miller
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hook(钩子)编程源码
08-26
关于钩子(hook)编程的源码,方方面面都有介绍,各种钩子,全局钩子,鼠标钩子等等 关于钩子的原理,在本人博客有详细介绍: http://blog.cdsn.net/mingojiang
钩子(hook)编程
xringm的博客
03-28 1200
钩子(hook)编程     一、钩子介绍      1.1钩子的实现机制 钩子英文名叫Hook,是一种截获windows系统中某应用程序或者所有进程的消息的一种技术。下图是windows应用程序传递消息的过程: 如在键盘中按下一键,操作系统将收到键按下消息,把消息放入消息队列,然后消息队列对消息进行派发,发给相应的应用程序,经过应用程序处理后发给操作系统,操作系统再调用相应的应
Hook钩子编程知识
wangyjfrecky的博客
09-19 601
一、基本概念 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦...
HOOK API (一)——HOOK基础+一个鼠标钩子实例
weixin_30865427的博客
06-22 1885
HOOK API (一)——HOOK基础+一个鼠标钩子实例 原文出处:http://www.cnblogs.com/fanling999/p/4592740.html code:https://github.com/hfl15/windows_kernel_development/tree/master/demo_source_code/MouseHook 0x00 起因 最近在做毕...
基于Visual C++钩子编程技巧
08-11 3027
钩子概述  钩子Hook)是Windows消息处理机制的一个要点(Point)。应用程序可以通过钩子机制截获处理Window消息或是其他一些特定事件。同DOS中断截获处理机制类似,应用程序可以在钩子上设置多个钩子函数,由其组成一个与钩子相关联的指向钩子函数的指针列表(钩子链表)。当钩子所监视的消息出现时,Windows首先将其送到调用链表中所指向的第一个钩子函数中,钩子函数将根据其各自的功能
Hook钩子编程
01-23
这是一个用钩子实现的鼠标和键盘屏蔽程序,请谨慎使用,退出键是F2
Mirager一个通用APIHOOK钩子编程工具.zip
04-04
Mirager一个通用APIHOOK钩子编程工具.zip
ApiHook.zip_APIHOOK_钩子编程
09-24
学习钩子编程必备的源码,分享出来给大家...
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
钩子编程例子
06-25
Windows窗体(Form,形状/表单)原来是Visual Basic程序的用户界面,后来成为.NET程序的GUI,被Visual Studio中的C#、Visual Basic、F#、MC++C++/CLI等开发语言工具所使用,后来又从Visual C++ 2005起被引入到MFC编程
VB编程钩子的实现及应用
xiaozao的专栏
01-21 4018
  Windows系统中钩子具有相当强大的功能,通过这种技术可以对几乎所有的Windows 系统中的消息进行拦截、监视、处理。这种技术可以广泛应用于各种软件,尤其是需要有监控、自动记录等对系统进行监测功能的软件。本文针对这个专题进行了探讨,希望可以为读者朋友们起到抛砖引玉的作用。  一、钩子的机制及类型  Windows的应用程序都是基于消息驱动的,应用程序的操作都依赖于它所得
钩子编程HOOK) 安装系统全局钩子 (3)
机器学习
05-15 1万+
[钩子编程HOOK) 安装系统全局钩子]全局钩子钩子一词多用于计算机编程中,英文叫hook,指利用api来提前拦截并处理windows消息的一种技术。如键盘钩子,许多木马都有这东西,监视你的键盘操作。全局钩子是系统钩子的一种,当指定的一些消息被系统中任何应用程序所处理时,这个钩子就被调用。
SendMessage函数完全使用手册 (转)
weixin_30561425的博客
04-06 176
SendMessage函数完全使用手册首先 我们了解一下Windows的消息机制。Windows是一个消息驱动式系统,Windows消息提供应用程序与应用程序之间,应用程序与Windows 系统之间进行通信的手段。举个例子,打开记事本程序,该程序有一个 “文件“菜单。 那么,在运行该程序的时候,如果用户单击“文件菜单“里的“新建“命令, 这个动作将被Windows所捕捉,Windows经过分...
HOOK实例之一:实现键盘钩子截获密码等键盘输入(vs2013详细流程)
Childe_Mu的博客
01-29 1万+
最近因业务需求,做一款银行安全控件,其中需要用到HOOK,网上查了很多资料,但是很多demo经过测试都用不了(可能是个人技术水平等原因),百般曲折之后,了解HOOK的皮毛,所以决定分享出来,希望可以帮到其他萌新。 1.创建一个MFC应用程序解决方案——KeyboardHook(用MFC是因为MFC有页面,更直观),中间选应用程序类型选基于对话框,其他一直下一步,最后点击完成。
VC++消息钩子编程
热门推荐
尹成的技术博客
10-23 1万+
一、消息钩子的概念 1、基本概念    Windows应用程序是基于消息驱动的,任何线程只要注册窗口类都会有一个消息队列用于接收用户输入的消息和系统消息。为了拦截消息,Windows提出了钩子的概念。钩子Hook)是Windows消息处理机制中的一个监视点,钩子提供一个回调函数。当在某个程序中安装钩子后,它将监视该程序的消息,在指定消息还没到达窗口之前钩子程序先捕获这个消息。这样就有机会对此
MFC的SendMessage函数详解
数据库天地
03-19 1183
SendMessage函数功能:该函数将指定的消息发送到一个或多个窗口。此函数为指定的窗口调用窗口程序,直到窗口程序处理完消息再返回。而函数PostMessage不同,将一个消息寄送到一个线程的消息队列后立即返回。 函数原型 : LRESULT SendMessage(HWND hWnd,UINT wMsg,WPARAM wParam,LPARAM IParam); 参数:   h...
WPARAM 和 LPARAM 的区别(表示的含义)
zhangyulin54321的专栏
11-07 1575
WPARAM 和 LPARAM 本质上没有什么区别:都是32位数 WPARAM常常代表一些控件的ID或者高位底位组合起来分别表示鼠标的位置,如果消息的发送者需要将某种结构的指针或者是某种类型的句柄时,习惯上用LPARAM来传递,可以参考各种控件的通知消息:可以查看:EN_CHANGE (EDIT控件的一个通知消息),CBEM_INSERTITEM(可扩展组合框的可接受消息)等等来加以领会 比如
hook钩子 K歌
最新发布
08-26
钩子Hook)是一种编程技术,它允许开发者在软件的特定事件或操作发生时插入自定义代码。通过使用钩子,开发者可以拦截、修改或扩展软件的行为。钩子常用于实现事件监听、键盘鼠标输入的拦截和处理、窗口消息的处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值