UsbHook

最新推荐文章于 2020-12-29 11:31:08 发布
最新推荐文章于 2020-12-29 11:31:08 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: C/C++技术 文章标签: hook null button dll wrapper object
  UsbHook
字体大小 [大 中 小 ]

UsbHook 看到这个题目,你一定会想 Usb钩子是个什么东西,能干什么,还叫这么怪的名字,那给它起个更好听的名字吧UsbSpy Usb间谍。
  UsbSpy 产生的背景
  在上学的时候,教人工智能的老师有个习惯,就是从来不给别人烤自己上课用的幻灯片。上课的时候,插自己的U盘到教室的机子,然后上放幻灯片,从来不把幻灯片烤到教室的机子上。别的老师不光给学生烤自己的幻灯片,考试前还划重点。这个老师既不烤幻灯片,还不划重点。快到考试了,同学都有些急了,就策划说做一个什么工具当U盘一插就拷U盘上的全部东西到硬盘的预先指定位置。就因为这个原因UsbSpy诞生了,当U盘插入时截获系统消息:WM_DEVICECHANGE.得到U盘盘符。拷贝U盘所有目录下的.ppt文件到D:/ppt下。话不多讲,开始UsbSpy的制作吧。
  要写在前面的话
由于各种原因本文没有给出,UsbSpy全部源代码,本文附加了.Net下全局Hook的实现。留下了没有在.Net下动态加载/卸载一个的AppDomain中动态绑定事件的遗憾。UsbSpy的结局:最后虽然做出了UspSpy但是没人感给老师用的机子安装,最后还是熬夜复习赶考试了,最后还是通过了。

  全局Hook只能定义在Dll中下面是Dll的定义

  定义回调函数
LRESULT CALLBACK CallBackProc(int nCode,WPARAM wParam,LPARAM lParam)
{  
  MSG *pMsg = (MSG *)lParam;
  //HWND hWnd = ::FindWindow("#32770" , NULL);//"MfcHookApp"
  if ((pMsg->message == WM_DEVICECHANGE) && (!bInsert))
  {
    bInsert=true;
    MessageBox(NULL, "UsbOK!", "Hook Message", MB_OK);
    ::PostMessage(hWndMain, WM_INST, wParam, lParam);
  }
  return (CallNextHookEx(hHook, nCode, wParam, lParam));
}

  安装钩子
BOOL HOOKAPIFUNC InstallHook(HWND hWndm)
{
  //只针对 我的电脑这个进程
  //HWND hWnd = ::FindWindow("CabinetWClass", NULL);
  Get The handle.
  //DWORD dwThreadId = 0;
  Set the Thread number.
  //if (hWnd != NULL)
  //{
  //  dwThreadId = ::GetWindowThreadProcessId(hWnd, &dwThreadId);
  //}
  //if (dwThreadId != 0)
  //{
  //  hWndMain=hWndm;
  //  hHook = SetWindowsHookEx(WH_GETMESSAGE, CallBackProc, hInstance, dwThreadId);
  //  if (hHook == NULL||hWndMain == NULL)
  //  {
  //    MessageBox(NULL,"Hook Failed!", "Hook Message",MB_OK);
  //    return false;
  //  }
  //    MessageBox(NULL,"Hook Succeed!", "Hook Message",MB_OK);
  //    return true;
  //}

  //针对 所有进程 全局的
  hWndMain=hWndm;
  hHook = SetWindowsHookEx(WH_GETMESSAGE, CallBackProc, hInstance, 0);
  if (hHook == NULL||hWndMain == NULL)
  {
    MessageBox(NULL,"Hook Failed!", "Hook Message",MB_OK);
    return false;
  }
  MessageBox(NULL,"Hook Succeed!", "Hook Message",MB_OK);
  return true;
}
  卸载钩子
BOOL HOOKAPIFUNC UninstallHook()
{   
  return (BOOL)UnhookWindowsHookEx(hHook);
}

CMfcHookDllApp::CMfcHookDllApp()
{
  // TODO: add construction code here,
  // Place all significant initialization in InitInstance
}


// The one and only CMfcHookDllApp object


#pragma data_seg(".SHARED")
static HHOOK hHook = NULL; //定义全局钩子
#pragma data_seg()

#define HOOKAPIFUNC extern "C" __declspec(dllexport)
#define WM_INST (WM_USER+200) //定义用户自定义消息

  HoolApp部分

  安装钩子
void CMfcHookAppDlg::InstallHook(void)
{
  HINSTANCE hInstDLL = NULL;

  typedef BOOL (*insHookFunc)(HWND hWnd); //();表示不带参数这里表示带参数

  insHookFunc insHook = NULL;

  if ((hInstDLL = LoadLibrary((LPCTSTR)"MfcHookDll.dll")) != NULL)
  {
    //insHook = (insHookFunc)GetProcAddress(hInstDLL, "InstallHook");
    insHook = (insHookFunc)GetProcAddress(hInstDLL,MAKEINTRESOURCE(1));//使用函数名和用MAKEINTRESOURCE用名字编码也可以做到
    if (insHook != NULL)
    {
      insHook(m_hWnd);
    }
  }
}

  卸载钩子
void CMfcHookAppDlg::UninstallHook(void)
{
  HINSTANCE hInstDLL = NULL;
  typedef BOOL (*uninsHookFunc)();
  uninsHookFunc uninsHook = NULL;

  if ((hInstDLL = LoadLibrary((LPCTSTR)"MfcHookDll.dll")) != NULL)
  {
    uninsHook = (uninsHookFunc)GetProcAddress(hInstDLL,MAKEINTRESOURCE(2));
    //uninsHook = (uninsHookFunc)GetProcAddress(hInstDLL, "UninstallHook");
    if (uninsHook != NULL)
    {
      uninsHook();
    }
    FreeLibrary(hInstDLL);
  }
}

  定义用户回调函数
LRESULT CMfcHookAppDlg::OnInst(WPARAM wParam, LPARAM lParam)
{
  // TODO: 处理用户自定义消息
  MessageBox("OK","Hook");
  return 0;
}

BEGIN_MESSAGE_MAP(CMfcHookAppDlg, CDialog)
  ON_WM_PAINT()
  ON_WM_QUERYDRAGICON()
  //}}AFX_MSG_MAP
  ON_BN_CLICKED(IDC_BUTTON_CLOSE, OnBnClickedButtonClose)
  ON_BN_CLICKED(IDC_BUTTON_INSTALL, OnBnClickedButtonInstall)
  ON_BN_CLICKED(IDC_BUTTON_UNINSTALL, OnBnClickedButtonUninstall)
  ON_MESSAGE(WM_INST, OnInst) //注意这个消息映射 是自己添加的不是系统生成的
  ON_WM_CLOSE()
END_MESSAGE_MAP()

  .Net下的全局钩子的定义 完全参考 http://www.codeproject.com/csharp/globalhook.asp 自己包装了Dll,Exe用工程引入了Dll
  Exe部分
void MainFormLoad(object sender, System.EventArgs e)
    {
      actHook= new DotNetHookDll(); // crate an instance
      // hang on events
      actHook.OnMouseActivity+=new MouseEventHandler(MouseMoved);
      actHook.KeyDown+=new KeyEventHandler(MyKeyDown);
      actHook.KeyPress+=new KeyPressEventHandler(MyKeyPress);
      actHook.KeyUp+=new KeyEventHandler(MyKeyUp);
    }
    
    public void MouseMoved(object sender, MouseEventArgs e)
    {
      labelMousePosition.Text=String.Format("x={0} y={1}", e.X, e.Y);
      if (e.Clicks>0) LogWrite("MouseButton   - " + e.Button.ToString());
    }
    
    public void MyKeyDown(object sender, KeyEventArgs e)
    {
      LogWrite("KeyDown   - " + e.KeyData.ToString());
    }
    
    public void MyKeyPress(object sender, KeyPressEventArgs e)
    {
      LogWrite("KeyPress   - " + e.KeyChar);
    }
    
    public void MyKeyUp(object sender, KeyEventArgs e)
    {
      LogWrite("KeyUp     - " + e.KeyData.ToString());
    }
    
    private void LogWrite(string txt)
    {
      textBox.AppendText(txt + Environment.NewLine);
      textBox.SelectionStart = textBox.Text.Length;
    }

  部分Dll
public event MouseEventHandler OnMouseActivity; //定义事件
    public event KeyEventHandler KeyDown;
    public event KeyPressEventHandler KeyPress;
    public event KeyEventHandler KeyUp;

    public delegate int HookProc(int nCode, Int32 wParam, IntPtr lParam);//定义代理
  static int hMouseHook = 0; //Declare mouse hook handle as int.
    static int hKeyboardHook = 0; //Declare keyboard hook handle as int.

    //values from Winuser.h in Microsoft SDK.
    public const int WH_MOUSE_LL   = 14;  //mouse hook constant
    public const int WH_KEYBOARD_LL = 13;  //keyboard hook constant  

    HookProc MouseHookProcedure; //Declare MouseHookProcedure as HookProc type.
    HookProc KeyboardHookProcedure; //Declare KeyboardHookProcedure as HookProc type.

    //Declare wrapper managed POINT class.
    [StructLayout(LayoutKind.Sequential)]
      public class POINT
    {
      public int x;
      public int y;
    }

    //Declare wrapper managed MouseHookStruct class.
    [StructLayout(LayoutKind.Sequential)]
      public class MouseHookStruct
    {
      public POINT pt;
      public int hwnd;
      public int wHitTestCode;
      public int dwExtraInfo;
    }

    //Declare wrapper managed KeyboardHookStruct class.
    [StructLayout(LayoutKind.Sequential)]
      public class KeyboardHookStruct
    {
      public int vkCode;  //Specifies a virtual-key code. The code must be a value in the range 1 to 254.
      public int scanCode; // Specifies a hardware scan code for the key.
      public int flags; // Specifies the extended-key flag, event-injected flag, context code, and transition-state flag.
      public int time; // Specifies the time stamp for this message.
      public int dwExtraInfo; // Specifies extra information associated with the message.
    }


    private const int WM_MOUSEMOVE = 0x200;
    private const int WM_LBUTTONDOWN = 0x201;
    private const int WM_RBUTTONDOWN = 0x204;
    private const int WM_MBUTTONDOWN = 0x207;
    private const int WM_LBUTTONUP = 0x202;
    private const int WM_RBUTTONUP = 0x205;
    private const int WM_MBUTTONUP = 0x208;
    private const int WM_LBUTTONDBLCLK = 0x203;
    private const int WM_RBUTTONDBLCLK = 0x206;
    private const int WM_MBUTTONDBLCLK = 0x209;

    private int MouseHookProc(int nCode, Int32 wParam, IntPtr lParam)
    {
      // if ok and someone listens to our events
      if ((nCode >= 0) && (OnMouseActivity!=null))
      {
        
        MouseButtons button=MouseButtons.None;
        switch (wParam)
        {
          case WM_LBUTTONDOWN:
            //case WM_LBUTTONUP:
            //case WM_LBUTTONDBLCLK:
            button=MouseButtons.Left;
            break;
          case WM_RBUTTONDOWN:
            //case WM_RBUTTONUP:
            //case WM_RBUTTONDBLCLK:
            button=MouseButtons.Right;
            break;
        }
        int clickCount=0;
        if (button!=MouseButtons.None)
          if (wParam==WM_LBUTTONDBLCLK || wParam==WM_RBUTTONDBLCLK) clickCount=2;
          else clickCount=1;
        
        //Marshall the data from callback.
        MouseHookStruct MyMouseHookStruct = (MouseHookStruct) Marshal.PtrToStructure(lParam, typeof(MouseHookStruct));
        MouseEventArgs e=new MouseEventArgs(
          button,
          clickCount,
          MyMouseHookStruct.pt.x,
          MyMouseHookStruct.pt.y,
          0 );
        OnMouseActivity(this, e);
      }
      return CallNextHookEx(hMouseHook, nCode, wParam, lParam);
    }

  没有实现的部分
  using System.Reflection;
  using System.Runtime;

  在动态加载的AppDomain中绑定一个事件到函数:
  void LoadDomain()
    {
      //Set the Application Domain Setup.
      AppDomainSetup domainSetup = new AppDomainSetup();
      domainSetup.ApplicationBase = System.Environment.CurrentDirectory;

      //Create Domain
      AppDomain Domain = AppDomain.CreateDomain("RemoteDomain", null, domainSetup);
      //Add the DotNetHookDll.dll
      Assembly assembly = Domain.Load("DotNetHookDll");
      
      object asseblyObject = assembly.CreateInstance("DotNetHook.DotNetHookDll");

      System.Type DotNetHookDll = asseblyObject.GetType();

      EventInfo[] eventInfors = DotNetHookDll.GetEvents() ;


      eventInfors[0].AddEventHandler(eventInfors[0],MouseEventHandler(MouseMoved));
//这一句总报错。
      AppDomain.Unload(Domain);
    }

  这个函数想做到:不用工程引入Dll,要动态加载Dll然后动态释放Dll,并动态绑定Dll中的一个Event到Exe中的一个Delegate.
Click to Open in New Window

  总结
  .Net下实现一个全局的Hook或者某个进程的Hook都不是很好写,写的都比较多,在这一点上没有MFC简单,但是.Net下的AppDomain应用程序域,这种先进的安全的概念,即使Dll出了问题,有异常产生,主程序动态释放这个域,主程序还可以继续执行,而MFC动态加载Dll,Dll里的函数有了问题,整个程序就死了。MFC在这点上远比不上.Net。

  参考文章
  http://www.microsoft.com/china/msdn/library/langtool/vcsharp/csharp05162002.mspx
  http://blog.joycode.com/percyboy/

  本文所有事例程序在中文WindowsXp Sp2 + VC7 下编译通过
   File: 本文源程序
jemmy
关注
专栏目录
java 监听usb事件_一个用于监视USB设备插入拔出的程序代码
weixin_35541666的博客
03-05 1266
// UsbHook.cpp : Defines the entry point for the application.//#include "stdafx.h"#include "Dbt.h"void DeviceChangeEventOpt(WPARAM wParam, LPARAMlParam){switch(wParam){caseDBT_CONFIGCHANGECANCELED:Mes...
20190522 VB.net VS2017 扫码枪 可扫字母一维码 USBHook钩子及串口.rar
05-22
Win7,VS2017,VB.net +Newland新大陆 USB扫码枪,测试并编译通过-->OK, USB-Hook钩子线程法、虚拟串口(串口)两种方式均测试OK,可扫带字母一维码、可扫带字母一维码、可扫带字母一维码重要内容三遍!!!。
Hook技术看这篇就够了
shoneworn的专栏
05-28 3万+
    相信很多搞机的朋友都玩过Xposed, 它实现了很多不可思议的功能。它是怎么实现的呢?这里就得提到我们的Hook技术了。    关于 Android 中的 Hook 机制,大致有两个方式:   要 root 权限,直接 Hook 系统,可以干掉所有的 App。   免 root 权限,但是只能 Hook 自身,对系统其它 App 无能为力。    时间所限,这里不展开了。    知识点: ...
驱动中识别Usb设备插入拔出消息
小&哥
08-28 3056
2009-07-19 21:05 驱动中识别Usb设备插入拔出消息 欢迎看看我的另一个小窝,说不定有意外的惊喜哦 ^_^ www.devres.info 驱动中识别Usb设备插入拔出消息 收藏      想要在驱动中捕获Usb设备的插入和拔出消息,还真是有点困难(当然是对于我这半瓶水来说的)。查查网上,到处都提到的是WM_DEVICECHANGE消息,可是这个是窗口事件,驱动中没有
驱动的几种Hook方法
weixin_34345753的博客
06-29 2160
1. inline hook 黑客都喜欢用这个方法,很容易被杀毒软件查出来。 2. 在Device Stack中插入filter driver,也很容易被人看出来,并且你不能保证别人插在你之后。 3. 修改Dispatch函数的入口地址,例如bus hound就是这么干的。 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/11/30/226...
菜鸟带你Hook技术实战
风花散却隽世间,雪月寥落化雨田
03-19 2518
问题 上一篇文章:你想成为Android高级工程师你还得学习Hook中我们提了一个问题: 我们如果要启动一个activity,我们的做法是1. 在AndroidManifest.xml中声明一个Activity 2. startActivity,如果不在AndroidManifest.xml中声明,启动activity会报错(android.content.ActivityNotFoundEx...
Linux内核Notifier机制
u013686019的专栏
07-24 5534
notifier是kernel的一种异步通信机制,用于告知某些模块产生了一个事件event。 notifier涉及: 1,publisher,类比于server、provider等概念,负责: 提供一个notifier head链表供subscriber注册handler遍历head链表逐一告知subscriber发生了某个事件 2,subscriber,类比于client
USBPCAP工具介绍
zhangmiaoping23的专栏
06-01 4万+
转:http://www.freebuf.com/articles/system/96216.html 在开始前,我们先介绍一些USB的基础知识。USB有不同的规格,以下是使用USB的三种方式: l USB UART l USB HID l USB Memory UART或者Universal Asynchronous Receiver/Transmitter。这种方式下,设
HookProc 和 CallNextHookEx
swartz_lubel的专栏
07-09 5490
钩子过程必须具有以下语法:LRESULT CALLBACK HookProc( int nCode, WPARAM wParam, LPARAM lParam ) { //进程事件 ... 返回CallNextHookEx(NULL,nCode,wParam,lParam); } HookProc是特定的回调函数,CallNextHookEx表示将钩子信息传递
开源硬件USB抓包及协议分析工具分享
mkelehk的专栏
01-10 3万+
USB抓包工具属于小众产品,开源的就更少了!! USB抓包工具分为纯软件的和硬件的两种,纯软件usb抓包工具需要在系统能正确枚举usb设备的前提下才能让内核的钩子函数捕抓到数据,而后者在usb不正常时也能捕捉到链路数据(令牌包等),属于更底层的抓包方式。 一、我用过的并且好用的纯软件USB抓包工具有: 1.USBlyzer(能很方便的帮你分析出HID报告描述符等等) 2.Bus Hound...
USB设备驱动开发之扩展(利用USB虚拟总线驱动模拟USB摄像头)
fanxiushu的专栏
10-08 1万+
fanxiushu 2016-10-08 转载或引用,请注明原始作者 做这个事情写这篇文章之前,压根没朝模拟USB摄像头这方面去想过。 直到CSDN上一位朋友提出问题,才想到还有这么一个玩意。 因此花了4,5天时间,利用自己之前开发的USB驱动,实现了一个虚拟USB摄像头的实例代码。 稍后会公布到CSDN上。 记得最早的一篇文章也是介绍虚拟摄像头驱动的开发的,只是当时采用的是wi
USB 之三 常用抓包/协议分析工具(Bus Hound、USBlyzer、USBTrace、USB Monitor Pro等)
热门推荐
技术干货
08-06 5万+
简介 在学习 USB 时,尝试了许多工具。有些是纯软件工具,有些是需要硬件配合。以下仅仅做个记录。 Bus Hound   一个比较轻量级纯软件工具,软件界面看着就像上一个世纪的风格。官网为http://perisoft.net/index.htm。使用上也不是很麻烦,但是在实际使用中发现,对于某些USB报文无法抓取,这是个硬伤。而且,其也不具备USB协议分析功能。拿到报文后需要自行进行...
C++ 实现USB - HID读写数据
野狮子的博客
06-30 1万+
希望能够帮助大家。。。
驱动中全局hook应用层API函数
125096
10-08 4967
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { DbgBreakPoint(); DriverObject->DriverUnload = DriverUnload; NTSTATUS status; PEPROCESS Process =
C++ Hook 键盘记录器
LYSM
08-08 6136
之前写外挂做过指定进程的 Hook,但是没有尝试过全局 Hook,所以今天就来试试。全局 Hook 的用途我第一个就想到了键盘记录器(貌似我也就想到了这个 哈哈),那就写一个吧。 步伐逐渐鬼畜… 先上效果图(没图没真相,我看别人的博客都喜欢上来先看图,木哈哈 ~) U•ェ•*U 然后就是代码,我代码有点多,但是都有注释(注释就是艺术!) 其实也不多,就是 switch case 占了很大的比例...
发一个支持任意地点hook的类(包含驱动hook和应用层hook)
u013594602的专栏
02-07 1780
这是以前练习写驱动类的一个产物,  有点早了,很简单. 写这个类也是方便自己绕过某些驱动的保护钩子.  当然这个也只支持x86, 没有做x64的拓展. 因为只是方便自己不需要每次都copy一大堆代码; 如果需要x64的拓展的,可以参考detours 或者是 EasyHook.   比较好的是EasyHook提供了驱动的hook; 貌似关于驱动写类论坛上比较少, 对于驱动,大家更倾向于直接
学习笔记之-window hook (x86 和 64 版本) 初探
退休码农的自留地
12-29 646
缘由:本来想做个微信的机器人,发现wev方法已经歇菜了,微信貌似不让web版好好工作了,因此就顺带看了一下hook技术,调试了一个网上现成的代码。竟然调试成功,并且有了一点儿体会。 为了简单起见,介绍部分,主要来自各味前辈的总结。 文章主要参考 HOOK API入门之Hook自己程序的MessageBoxW(简单入门) 本文的目的是对其中的部分代码进行更小白的解释 Hook的本意是钩子,意思比较形象,就是对应用程序勾一下,干点儿别的。 下面进入我的个人理解的介绍: hook的个人入门级理解## 1、hook
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值