WINVNC源码分析(四)-vnchooks

 

VNCHOOKS是一个设置全局钩子的动态链接库。

先看入口函数

BOOL WINAPI DllMain (HANDLE hInst, ULONG ul_reason_for_call, LPVOID lpReserved) { // Find out why we're being called switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: _RPT0(_CRT_WARN, "vncHooks : Hook DLL loaded/n"); // Save the instance handle hInstance = (HINSTANCE)hInst; // Call the initialisation function appHookedOK = InitInstance(); // ALWAYS return TRUE to avoid breaking unhookable applications!!! return TRUE; case DLL_PROCESS_DETACH: _RPT0(_CRT_WARN, "vncHooks : Hook DLL unloaded/n"); // Call the exit function // If the app failed to hook OK, ExitInstance will still operate OK (hopefully...) ExitInstance(); return TRUE; default: return TRUE; } } 

 

BOOL WINAPI DllMain (HANDLE hInst, ULONG ul_reason_for_call, LPVOID lpReserved)

当VNCHOOKS.dll被加载的时候，首先惯例保留自己的句柄hInst，然后进入

BOOL InitInstance() 函数

BOOL InitInstance() { // Create the global atoms VNC_POPUPSELN_ATOM = GlobalAddAtom(VNC_POPUPSELN_ATOMNAME); // 请求一个原子变量 if (VNC_POPUPSELN_ATOM == NULL) return FALSE; // Get the module name char proc_name[_MAX_PATH]; DWORD size; // Attempt to get the program/module name if ((size = GetModuleFileName( GetModuleHandle(NULL), //If this parameter is NULL, GetModuleHandle returns a handle to the file used to create the calling process (.exe file). //返回当前进程可执行文件的句柄 (char *) &proc_name, _MAX_PATH )) == 0) return FALSE; // Get the default system key for the module // HKEY_LOCAL_MACHINE/Software/ORL/VNCHooks/Application_Prefs/excute.exe(或者带文件全路径) //ORL是啥缩写。。 hModuleKey = GetModuleKey(HKEY_LOCAL_MACHINE, proc_name, false, false); if (hModuleKey != NULL) { _RPT0(_CRT_WARN, "vncHooks : loading machine prefs/n"); ReadSettings(); RegCloseKey(hModuleKey); hModuleKey = NULL; } // Get the key for the module hModuleKey = GetModuleKey(HKEY_CURRENT_USER, proc_name, false, false); // HKEY_CURRENT_USER/Software/ORL/VNCHooks/Application_Prefs/excute.exe(或者带文件全路径) // 这样理解，如果某个可执行文件会调用本dll来钩住系统消息，那么可以通过在注册表修改相应配置来控制钩住消息的处理。 if (hModuleKey != NULL) { _RPT0(_CRT_WARN, "vncHooks : loading user prefs/n"); ReadSettings(); //通常我们可以在进程中通过WriteProfileString这类函数来保存值。 //下次可以通过GetProfileString和::GetProfileInt这类函数来读取值。 // UINT GetProfileInt( //LPCTSTR lpAppName, // LPCTSTR lpKeyName, // INT nDefault // ); //MSDN中注意（Note）： This function is provided only for compatibility with 16-bit Windows-based applications. Applications should store initialization information in the registry. //意思是这个函数是为了16位系统的程序准备的，因为在Dos和Win3.x的时代，大部分的应用程序都是采用了 ini 文件（初始化文件）来保存一些配置信息，如设置路径，环境变量等 //在一个变化的环境中，在应用程序安装到系统中后，每个人都会更改.ini文件。而没有人去删除该信息，一个.ini文件的最大尺寸是64KB。 //所以微软建议32位进程直接写入注册表，而不是调用这个函数。 //只有在Windows Server 2003 and Windows XP/2000/NT系统下，对于WIN.INI部分键会在注册表中作一个映射，对于这些内容的访问还是可以调用这个函数的。 //被映射的键在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/IniFileMapping/win.ini下列了出来。 //我们看到key的name是WIN.INI键值，value是对应的注册表路径，但路径前面有些符号。 //!表示WriteProfileString会在注册表和WIN.INI分别写入。 //#表示PC上已经装了Windows 3.1，再安装Windows NT后，当一个用户第一次登陆的时候，注册表会把值写入Windows 3.1 .ini //@表示如果GetProfile注册表中未找到，不会再在WIN.INI中继续查找 //USR:表示路径替换为HKEY_CURRENT_USER/,效果相当于C语言中 #define USR: HKEY_CURRENT_USER/ //SYS:表示路径替换为HKEY_LOCAL_MACHINE/SOFTWARE/ //以上是对MSDN的翻译，并未验证。 //WriteProfileString同样也是先查看IniFileMapping，并不推荐使用。 //所以在WINVNC是直接写入注册表的。 RegCloseKey(hModuleKey); hModuleKey = NULL; } return TRUE; } 

BOOL InitInstance()

首先调用

ATOM GlobalAddAtom(          LPCTSTR lpString

);

申请了一个原子变量，WINDOWS系统维护了一张原子表，可以这么理解，保存了一个字符串数组，每个字符串不能超过127字符。每个字符串对应一个唯一的ID（16位）。

最常用于Dynamic Data Exchange、防止2次启动（在WINVNC中是用命名的MUTEX来防止二次启动的）等。原子变量是采用计数的，每次调用GlobalAddAtom会让计数加1，GlobalDeleteAtom会让计数减1，

直到计数为0系统才会删除。原子在这里的应用将在稍后看到。

接下来是从注册表读取配置。

7个配置项

 

BOOL prf_use_GetUpdateRect = FALSE; // Use the GetUpdateRect paint mode BOOL pr