Windows消息钩取

最新推荐文章于 2023-10-23 08:48:48 发布
最新推荐文章于 2023-10-23 08:48:48 发布
阅读量177 收藏
点赞数
分类专栏: 逆向工程 Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/114413573
版权

机制

Windows操作系统提供GUI(Graphic User Interface), 以事件驱动方式工作. 而所有外设的输入都是事件, 发生事件时, OS会把事先预定的消息发送给应用程序, 应用程序分析接收的消息然后执行相应动作.(比如我在用输入法打字, 按下键盘的时候Windows会给输入法应用程序发送消息, 输入法接收消息并分析之后给出打字的结果). 而钩子hook就在键盘输入与消息发送到应用程序的过程中起作用, 可以查看, 拦截, 修改消息.
在这里插入图片描述
最基本的钩子实现就是调用Windows系统提供的API: SetWindowsHookEx()
在这里插入图片描述

调试钩子进程的实例

比如调试keyhook.dll(包含钩取键盘消息的钩子进程), 文件示例见逆向工程核心原理的demos21章.

流程
  • 运行/attach 目标文件
  • 开启break on new module(DLL)选项 (2.0+版本是 pause on new module(DLL))
  • 运行hook.exe
  • 在目标文件中输入任意字符触发dll注入
  • 在keyhook.dll的EP位置打断点开始调试

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

坑点
  • XP下可以使用1.x版本实现dll调试, 但是Win10下可能出错
  • Win10下用2.0+版本
简单的Windows消息钩取
T2hunz1
11-14 711
利用Windows消息钩取机制实现键盘监听。
Windows 消息钩取
4ct10n
11-21 1465
Windows 消息钩子的机理,对一些基本概念的补充
逆向工程核心原理——消息钩取
weixin_46601374的博客
12-07 4241
钩子(HOOK) 英文Hook一词,翻成中文是“钩子”、“鱼钩”的意思,泛指钓取所需东西而使用的一切工 具。“钩子”这一基本含义延伸发展为“偷看或截取信息时所用的手段或工具”。下面举例向各位 进一步说明“钩子”这一概念。 消息钩取 Windows操作系统向用户提供GUI (Graphic User Interface,图形用户界面),它以事件驱动 (Event Driven)方式工作。在操作系统中借助键盘、鼠标,选择菜单、按钮,以及移动鼠标、改 变窗口大小与位置等都是事件(Event )o发生这样的事
Windows消息钩子[键盘监控]
Hello World.c
12-08 1940
之前看书,看到一眼消息钩子,一直没实践,现在有空弄了下, 主要原理是利用windows自带SetWindowsHookEx API函数 HHOOK SetWindowsHookEx( int idHook,                     //hook形式 HOOKPROC lpfn           //hook过程 HINSTANCE hmod        //钩子所属的...
Windows消息处理机制--钩子实例
03-02
- `wParam` 和 `lParam` 的具体含义取决于钩子代码,通常包含有关发送或接收消息的信息。 #### 三、钩子的安装与释放 1. **安装钩子**:使用 `SetWindowsHookEx()` 函数可以将应用程序定义的钩子子程安装到钩子...
windows 消息钩取
m0_62690279的博客
04-27 2031
windows 消息钩取 当键盘发生输入事件时,键盘消息钩子就会提前获得消息的内容、类型 并且可以对其做出修改 实现消息钩子的api:SetWindowsHookEx HHOOK WINAPI SetWindowsHookEx( _In_ int idHook,            设置钩子的类型.意思就是我要设置的钩子是什么钩子. 可以是监视窗口过程.可以是监视消息队列. _In_ HOOKPROC lpfn,             根据钩子类型.设置不同的回调函数. _In_ H
钩子,hook来获取消息
06-08
\ 钩子获取windows消息
逆向工程核心原理 之 windows消息钩取
wangtiankuo的博客
03-14 731
春节结束之后,感觉分析难一点的代码有点力不从新,尤其是模拟通信这一块。要是有的时候通信部分写的代码多一点,动态调试非常浪费时间,可是直接看伪代码我又看不懂,尤其是大片大片的没有名称的函数简直要我的命。之前分析成功一个远控木马,里面的通信是三层函数,靠着耐心算是分析出来了控制指令,也提取了特征,但是之后又遇到了一个样本,通信那一部分的函数超级多,看伪代码根本没头绪。我猜可能是我代码打的太少了,所以看...
windows简单消息勾取和dll注入
九层台
10-03 883
来源《逆向工程核心原理》 运行notepad.exe可以劫持notepad.exe的键盘输入 HookMain.cpp //HookMain.cpp #include"stdio.h" #include"conio.h" #include"windows.h" #define DEF_DLL_NAME "HookKey.dll" #define DEF_HOOKS
Windows消息钩子实现原理
最新发布
xsinlink的博客
10-23 747
消息钩子的枚举。消息钩子的摘除。很多的ARK工具都包含了上述两个功能,大致来说也是枚举和摘除相关链表。
x64环境下键盘消息钩取
sdalin_1993的博客
09-02 527
《逆向工程核心原理》第21章Windows消息钩取 使用书上提供的历程在x86环境下正常运行,在x64环境下直接卡死,使用VS进行编译也卡死,是因为64位下和32位下调用SetWindowsHookEx()函数略有不同,只要在生成时将平台改为x64,就可以在64位平台上正常运行。
消息队列控制灯代码_《逆向工程核心原理》-- Windows消息钩取
weixin_39517241的博客
11-18 196
本文为看雪论坛优秀文章看雪论坛作者ID:有毒Windows消息钩取一、钩子和消息钩子钩子,英文Hook,泛指偷看或截取信息时所用的手段或工具。Windows操作系统向用户提供GUI,它是以事件驱动(Event Driven)方式工作。事件发生后,OS将事先定义好的消息发送给相应的应用程序,应用程序分析收到的消息后执行相应动作。以敲击键盘为例,常规Windows消息流:发生键盘输入事件,WM_KEY...
API钩取技术
笔记本
11-13 1467
DLL注入说完了下一章介绍了API钩取技术,这个技术运用范围更加广泛基本木马病毒都会用到这个。整理下这3天看的api hook相关方式。 1.调试器法:使用DebugActiveProcess函数以调试模式附加到相关进程,获取进程控制权。等待调试者发生时间,并在发生相关函数调用事件时调用处理函数。给api开始地址写上0xcc(int 3)断点,断下之后获取进程上下文,获取寄存器的值,在内存中跟随...
什么是钩子,钩子的原理
在坑中上爬,在打击中成长
08-29 4879
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可
dll注入失败原因总结
fa1c4的blog
03-15 6832
常见的几个原因 Windows Vista/ 7及之后的系统使用了会话隔离技术. 导致钩取API kernel32.CreateRemoteThread()失败, 可以尝试钩取ntdll.NtCreateThreadEx() 开启杀毒软件的进程保护功能导致注入失败. 注入的dll文件与目标文件格式不一致, 比如PE32注入PE32+, 或者PE32+注入PE32文件都会失败. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值