钩子(hook)编程

最新推荐文章于 2018-09-19 17:42:04 发布
最新推荐文章于 2018-09-19 17:42:04 发布
阅读量740 收藏 4
点赞数
分类专栏: windows 文章标签: hook windows SetWindowsHookEx

钩子(hook)编程  

     1.1钩子的实现机制

钩子英文名叫Hook,是一种截获windows系统中某应用程序或者所有进程的消息的一种技术。下图是windows应用程序传递消息的过程:

如在键盘中按下一键,操作系统将收到键按下消息,把消息放入消息队列,然后消息队列对消息进行派发,发给相应的应用程序,经过应用程序处理后发给操作系统,操作系统再调用相应的应用程序的创建的窗口过程。

        我们可能通过钩子截获这些消息,让消息不再往下传递,或者说截获到感兴趣的消息后做点什么。

1.2钩子分类与实现

        钩子分进程内钩子与全局钩子,进程内钩子是截取某一指定的进程的消息,直接在进程内创建与消除钩子即可。全局钩子是截取所有进程的消息,得以动态库的方式实现。

        实现一个钩子一般有三个步骤,首先创建钩子,有专门的API:SetWindowsHookEx,创建成功后,消息将会传给SetWindowsHookEx的形参指定的处理函数。然后在消息处理函数中分析收到的消息,做相应的处理。最后,钩子用完后,用API(UnhookWindowsHookEx)消毁钩子。


2.1钩子的创建

            SetWindowsHookEx安装一个应用程序定义的钩子过程,并把创建的钩子过程放在钩子链中,可以安装多个钩子,多个钩子就形成了钩子链,最后安装的钩子总是在最前面。创建钩子的函数如下:

创建钩子,返回钩子句柄,否则返回NULL。形参定义如下:

idHook:钩子过程类型,如:鼠标消息钩子、键盘消息钩子、消息队列监控钩子等等。具体取值如下:

lpfn:相应的钩子过程,也就是一个处理消息的回调函数名而已,如果参数dwThreadId为0,或者dwThreadId指向的是其他进程创建的线程标志符,那么lpfn必须指向一个位于某一动态库中的钩子过程。其他情况下,lpfn可以指向本进程内的某一钩子过程。

hMod:指向钩子过程所在的应用程序实例句柄,如:钩子过程所在的DLL的句柄。如果dwThreadId指定的线程是由当前进程创建,并且钩子过程在当时进程中,那么hMod必须设置为NULL。

dwThreadId:指定与钩子相关的线程标志。如果为0,那么钩子将与桌面上运行的所有线程相关。

        钩子过程可以与特定线程相关也可以与所有线程相关,取决于dwThreadId的取值。

2.2钩子过程分析

        钩子过程,是处理钩子截取的消息的一个回调函数,即SetWindowsHookEx函数中的第二个形参。格式如下:

LRESULT CALLBACK MouseProc(int nCode, WPARAM wParam, LPARAM lParam);形参含义并不是都一样的,不同钩子过程形参表示的意义不一样,我们以鼠标钩子为例说明,参数含义如下:

nCode:指示钩子过程如何处理当前的消息,如果钩子是鼠标消息钩子的话,有两种含义:

 

wParam:指示鼠标消息标志。

lParam:指向MOUSEHOOKSTRUCT结构体指针。以下是MOUSEHOOKSTRUCT结构体,包含着鼠标消息。

typedef struct {

   POINT pt;//光标包含x,y,是屏幕坐标。

   HWND hwnd;//目标窗口句柄

   UINT wHitTestCode;

   ULONG_PTR dwExtraInfo;

} MOUSEHOOKSTRUCT, *PMOUSEHOOKSTRUCT;

通过这三个参数,可对消息进行分析处理。

        其他钩子过程参数的含义可以通过MSDN文档查看详细说明,如KeyboardProc、MessageProc等。

2.3消毁钩子

        BOOL UnhookWindowsHookEx(HHOOK hhk);此API的功能是把SetWindowsHookEx创建的钩子从钩子链中移除。形参是SetWindowsHookEx返回的钩子句柄。

 

三、进程内钩子

        进程内钩子一般是为了截获当前应用程序的消息,一般会可以在应用程序初始化的时候创建,当然也可以在自己想创建的时候创建,只是创建之前的消息无法截获。

3.1鼠标钩子过程函数

以下为鼠标钩子过程代码:

HWND            g_DestWndH = NULL;

HHOOK          g_hHookDm = NULL;

LRESULT CALLBACK MouseProc(int nCode, WPARAM wParam, LPARAM lParam)

{            //此区间内的消息都是鼠标消息

             if (WM_MOUSEMOVE <= wParam && wParam <= WM_MOUSEWHEEL) {

                           if(g_DestWndH != NULL) {

                                         ::SendMessage(g_DestWndH, wParam, wParam, lParam);

                                         //鼠标钩子,lParamMOUSEHOOKSTRUCT结构指针

                                         PMOUSEHOOKSTRUCT lpMsg = (PMOUSEHOOKSTRUCT)lParam;

                                         lpMsg->hwnd = NULL;    //把目的窗口置NULL

                                         lpMsg->dwExtraInfo = 0L;

                                         lpMsg->pt = CPoint(0, 0);

                                         lpMsg->wHitTestCode = 0L;

                           }

                           return 1;//如果想让此消息不再往下传,返回非0

             }

             else//不感兴趣的消息往下传

                           return ::CallNextHookEx(g_hHookDm, nCode, wParam, lParam);

}

3.2创建钩子过程

        以下为创建钩子过程的代码:

if(g_hHookDm == NULL) {

             //如果dwThreadId指定的线程是由当前进程创建,并且钩子过程在当时进程中,那么hMod必须设置为NULL

             g_hHookDm = ::SetWindowsHookEx(WH_MOUSE,MouseProc, NULL, GetCurrentThreadId());

             if (NULL != g_hHookDm)//创建成功

                           g_DestWndH = m_hWnd;//保存目的窗口句柄

}

3.3消毁进程内钩子

        把钩子过程从钩子链中拿下来,调用一个API即可:

if (NULL != g_hHookDm) {

             UnhookWindowsHookEx(g_hHookDm);

             g_DestWndH = NULL;

}

到此进程内钩子的创建与执行到消毁整个过程都完成了。

四、全局钩子

4.1键盘钩子过程函数

以上进程内钩子只是截获本进程的消息,如果要截获桌面全部线程的消息则要通过全局钩子。全局钩子必须在DLL上实现,钩子过程不能在本进程代码中实现,所以先得写一个DLL,代码见”HookDll”,以键盘钩子为例:

nCode:与鼠标钩子是一样的含义,有HC_ACTION与HC_NOREMOVE两个值。

Param:代表具体的虚拟键,如:VK_TAB、VK_RETURN分别代表Tab键、Enter键按下,其他虚拟键消息可查看MSDN的”virtual-key code”.

lParam:存放一些扩展信息,如:按键重复数据、29位表示ALT键的按下情况。

参数的具体含义可查MSDN。关于组合键的问题,参看以下键盘钩子函数的示例代码:

HHOOK g_HookKeyBoard = NULL;

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)

{

             //wParam表示虚拟键,lparam29位表示ALT键按下状态(按下为1,否则为0),

             //GetKeyState可以获得对应键的状态,所以收下表示Control + ALT + Z组合键按下

             if ('Z' == wParam && GetKeyState(VK_CONTROL) < 0 && (lParam >> 29 & 1)) {

                           ::SendMessage(g_DestWnd, WM_KEYDOWN, wParam, lParam);

                           return 1;

             }

             else

                           return CallNextHookEx(g_HookKeyBoard, nCode, wParam, lParam);

}

注:全局钩子在某版本的系统中,调试状态下,如果调试程序窗口没有获得焦点,在设置断点的方不会停留,如果获得焦点才会停留,也就是说,在调试状态下,不属于本进程的消息断点处不会停留。

4.2创建全局钩子接口

        创建全局钩子的方法在DLL中,所以得引出一个接口,代码如下:

BOOL SetHook(HWND hWnd){

             if (NULL == hWnd)

                           return FALSE;

             g_DestWnd = hWnd;

             //第三个参数可通过些方法获得:GetModuleHandle("MouseHook.dll")

             return (NULL != (g_HookKeyBoard = ::SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInst, 0)));

}

其形参是一窗口句柄,指示截获的兴趣消息需传向的窗口的句柄,其中MetWindowsHookE的第三个参数是DLL的应用程序实例句柄,可通过DllMain的传入参数得到,亦可通过GetModuleHandle方法得到,第四个参数必须为0,才能获得全部桌面线程的消息。成功将返回TRUE否则FALSE。

4.3消毁全局钩子接口

        在DLL中也得引出一接口消毁全局钩子,代码如下:

void DestroyHook(){

             if (NULL != g_HookKeyBoard) {

                           UnhookWindowsHookEx(g_HookKeyBoard);

                           g_DestWnd = NULL;

             }

}

4.4使用DLL创建全局钩子

        以下为创建与消毁全局钩子的实现,代码如下:

HINSTANCE hIst = NULL;

void CHookTestDlg::OnCreateDllHook()

{

             hIst = ::LoadLibrary("..\\HookDll\\Debug\\HookDll.dll");

             if (NULL != hIst) {

                           typedef BOOL (*pFunSetHook)(HWND);

                           pFunSetHook pSetHook = (pFunSetHook)GetProcAddress(hIst, "SetHook");

                           if (NULL != pSetHook) {

                                         if(pSetHook(m_hWnd))

                                                       AfxMessageBox("创建全局钩子成功...");

                           }

             }

}

void CHookTestDlg::OnDestroyDllHook()

{

             if (NULL != hIst) {

                           typedef void (*pFunDestroyHook)();

                           pFunDestroyHook pDestryHook = (pFunDestroyHook)GetProcAddress(hIst, "DestroyHook");

                           if (NULL != pDestryHook) {

                                         pDestryHook();

                                         ::FreeLibrary(hIst);

                                         hIst = NULL;

                           }

             }

}

 

配套源码链接:http://download.csdn.net/detail/mingojiang/4526390

 

转载自:http://blog.csdn.net/mingojiang

白白皎皎
关注
专栏目录
消息钩子函数入门篇
raphyer的专栏
10-02 8117
Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,
HOOK API (一)——HOOK基础+一个鼠标钩子实例
weixin_30865427的博客
06-22 1907
HOOK API (一)——HOOK基础+一个鼠标钩子实例 原文出处:http://www.cnblogs.com/fanling999/p/4592740.html code:https://github.com/hfl15/windows_kernel_development/tree/master/demo_source_code/MouseHook 0x00 起因 最近在做毕...
钩子程序
sunears的专栏
11-01 4108
钩子程序钩子程序是在内存中可以不断的在内存中拦截你要控制设备的消息并且可以对该消息进行处理过滤。 钩子WINDOWS留给我们的后门,比如你想控制键盘,在DOS时代很简单通过INT即可,而WINDOWS时代不允许我们直接操作硬件;由于WINDOWS是消息驱动,所以我们可以拦截键盘消息以达到控制键盘的目的。但是控制自己进程的消息固然很简单,要控制所有进程消息要利用钩子了。将钩子函数放在DLL中
HOOK编程
清风盛开
11-10 2497
<br />注明:该文转自sch0120的技术博客<br /> <br />一、什么是HOOK?<br />  "hook"这个单词的意思是“钩子”,"Windows Hook"是Windows消息处理机制的一个重要扩展,程序员可以通过它来钩住(截获)感兴趣的消息,并用事先编好的一个函数(钩子过程)来处理这些消息!当然,这个处理是在消息到达目标窗口之前进行的。<br />  钩子过程(hook procedure)实际上是一个用来处理消息的函数,通过系统调用,程序员可以把它挂入系统或进程的钩子链中,让它成为
Hook钩子编程知识
wangyjfrecky的博客
09-19 650
一、基本概念 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦...
钩子(Hook)教程
xiexiaopingroma的专栏
03-21 2820
基本概念 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子
hook(钩子)编程源码
12-10
钩子Hook编程是一种在Windows操作系统中广泛使用的机制,它允许开发者监控并拦截系统或应用程序中的特定事件。钩子可以被安装在进程级别、线程级别甚至系统级别,以便在特定事件发生时执行自定义代码。通过钩子...
vc钩子hook 截获exe调用的任何函数.visual c++
02-20
在IT领域,尤其是系统编程和软件安全中,"钩子Hook)"是一个重要的概念,它允许程序员拦截和处理特定的系统事件或函数调用。本篇将详细讲解VC++中利用钩子来实现API拦截的技术,即如何通过Visual C++来截获一个EXE...
C++Hook(钩子)编程,通过内联汇编,使类成员函数代替全局函数(静态函数)[收集].pdf
10-11
C++ Hook(钩子)编程,通过内联汇编,使类成员函数代替全局函数(静态函数) 本文研究了C++ Hook(钩子)编程中,使类成员函数代替全局函数(静态函数)的技术。通过内联汇编,构造类对象独享的函数(委托),完成了类成员...
钩子编程例子
06-25
Windows窗体(Form,形状/表单)原来是Visual Basic程序的用户界面,后来成为.NET程序的GUI,被Visual Studio中的C#、Visual Basic、F#、MC++和C++/CLI等开发语言工具所使用,后来又从Visual C++ 2005起被引入到MFC编程
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModuleName) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModuleName, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
钩子实例应用程序
01-05
勾取键盘按键,并以对话框的形式显示出来。
ApiHook.zip_APIHOOK_钩子编程
最新发布
09-24
APIHOOK_钩子编程是一个广泛使用的技术,尤其在系统监控、调试、以及应用程序间交互等领域。这个压缩包“ApiHook.zip”包含了一系列相关的资源,帮助开发者深入理解和实践钩子编程。 1. **钩子Hooks)概念**: ...
hook钩子程序的编写
河边杨柳
10-27 1061
 编写钩子程序的步骤分为三步:定义钩子函数、安装钩子和卸载钩子。   1.定义钩子函数   钩子函数是一种特殊的回调函数。钩子监视的特定事件发生后,系统会调用钩子函数进行处理。不同事件的钩子函数的形式是各不相同的。下面以鼠标钩子函数举例说明钩子函数的原型: LRESULT CALLBACK HookProc(int nCode ,WPARAM wParam,LPARAM lParam) 参数wPa
Windows钩子编程HOOKAPI基础与应用
"HOOKAPI入门篇,讲解Windows系统中钩子技术的应用和常见类型,包括键盘、鼠标、外壳、日志及窗口过程钩子等。" Windows操作系统中的钩子HOOKAPI)是一种强大的技术,它允许程序员拦截和处理系统中特定类型的事件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值