Windows Ring3层注入——使用Windows挂钩注入(七)

于 2020-01-16 17:05:30 发布
阅读量572 收藏 3
点赞数 1
分类专栏: windows注入 文章标签: c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38493448/article/details/104007565
版权

Windows Ring3层注入——使用Windows挂钩注入(七)

SetWindowsHookEx() 是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。

Windows挂钩注入原理

Windows 窗口程序是靠消息驱动的,一切过程皆是消息,原本的消息传递过程是:系统接收到消息-将消息放入系统消息队列-将消息放入线程消息队列-线程中处理该消息,而钩子函数**SetWindowsHookEx()**的作用就是拦截消息,用自定义的函数处理消息

设置全局钩子会拦截所有窗口线程的消息
设置线程钩子则只会拦截特定线程的消息

注意:当拦截当前线程消息时可以在当前代码中写回调函数,当拦截其它线程消息时则必须调用dll中回调函数
在这里插入图片描述

下面是利用SetWindowsHookEx函数在WinProc处理消息之前插入一个消息处理的过程,以及截获、处理和传递MSG的过程:
在这里插入图片描述
可以看到,MSG被新的消息处理过程接收,然后通过CallNextHookEx函数向下传递MSG。第一个CallNextHookEx如果返回"True",表示这个MSG已经被处理,如果返回"False",系统将继续把MSG传递WinProc进行处理。

Windows挂钩注入函数原型

设置钩子API函数:

HHOOK WINAPI SetWindowsHookEx(
		 int idHook,         //设置钩子的类型,意思就是我要设置的钩子是什么钩子,可以是监视窗口过程,可以是监视消息队列。
		 HOOKPROC lpfn,      //根据钩子类型.设置不同的回调函数
		 HINSTANCE hMod,     //钩子设置的Dll实例句柄,就是DLL的句柄
		 DWORD dwThreadId;   //设置钩子的线程ID. 如果为0 则设置为全局钩子.
		 )
//HHOOK 返回值. 是一个钩子过程句柄
idHook解释
WH_CALLWNDPROC监视到达窗口前的消息
WH_CALLWNDPROCRET监视窗口处理后的消息
WH_DEBUG监视系统调用其他HOOK关联的HOOK子程
WH_GETMESSAGE监视发送到窗体消息队列里的消息
WH_JOURNALPLAYBACK全局HOOK,可以插入消息到消息队列
WH_JOURNALRECORD全局HOOK,监视输入事件(键盘、鼠标等)
WH_KEYBOARD键盘钩子
WH_MOUSE鼠标钩子
WH_MSGFILTER监视菜单、滚动条、消息框、对话框消息和切换窗口的组合键(Alt+Tab等)
WH_SHELL接收系统中重要的通知(如窗口被产生、摧毁等)

取消设置钩子API

BOOL WINAPI UnhookWindowsHookEx(
        HHOOK hhk            //参数是SetWindowHookEx的返回值.也就是钩子过程句柄. ;                                     
//返回值: 返回值是BOOL类型.表示设置是否成功或者失败.

获取模块句柄API:

HMODULE WINAPI GetModuleHandle(
		 LPCTSTR lpModuleName    //获取的实例句柄的文件名,可以是Dll可以使exe,如果为NULL这是当前dll/exe的实例句柄;
// 返回值 返回实例句柄.

继续调用钩子链中的钩子过程:

LRESULT WINAPI CallNextHookEx(
	      HHOOK hhk,     //保存的钩子过程,也就是SetWindowsHookEx返回值.
	      int nCode,        //根据SetWindowsHookEx设置的钩子回调而产生的不同的nCode代码. 什么意思? 意思就是如果设置的钩子类型是鼠标消息.那么那个nCode就是鼠标消息.如果是键盘这是键盘
          WPARAM wParam,    //同2参数一样.附加参数. 根据钩子回调类型.附加参数有不同的意义.比如如果是鼠标.那么这个有可能代表的就是鼠标的x位置.键盘就可能是键代码
          LPARAM lParam     //同3参数一样.附加参数.;

钩子回调

钩子回调根据SetWindowsHookEx参数1来设定的.比如如果我们设置WH_CBT 那么我们设置的回调函数就是CBT回调. 具体查询MSDN https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-setwindowshookexa

//这个回调函数里面写我们的代码就可以了.
LRESULT CALLBACK CBTProc(         
		  int     nCode,
		  WPARAM wParam,
	      LPARAM lParam
);

Windows挂钩注入代码示例

/*注入DLL代码*/
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"
#include <tchar.h>
#include <windows.h>
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		{
			MessageBox(NULL , _T("DLL加载成功") ,  _T("DLL窗口提示") , IDOK);
			break;
		} 
	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		{

			MessageBox(NULL , _T("DLL卸载成功") ,  _T("DLL窗口提示") , IDOK);
			break;
		}
	}
	return TRUE;
}

//导出回调函数
extern "C" __declspec(dllexport) LRESULT  MyMessageProcess(int Code, WPARAM wParam, LPARAM lParam)

{
	MessageBox(NULL, _T("Windows消息钩子注入成功"), _T("DLL窗口提示"), 0);
	return 0;
}


/*安装挂钩程序核心代码*/

//根据进程名称获取进程PID
DWORD GetProcessIDByName(const wchar_t* pName);
//根据进程PID获取进程主线程ID
DWORD GetThreadIdByProID(ULONG32 ulTargetProcessID);
//Windows挂钩创建
BOOL InjectDllBySetWindowsHook();


DWORD GetProcessIDByName(const wchar_t* pName)
{
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS , 0);
	if (INVALID_HANDLE_VALUE == hSnapshot) {
		return NULL;
	}
	PROCESSENTRY32 pe = { sizeof(pe) };
	for (BOOL ret = Process32First(hSnapshot, &pe) ; ret ; ret = Process32Next(hSnapshot , &pe))
	{
		if (wcscmp(pe.szExeFile , pName) == 0)
		{
			CloseHandle(hSnapshot);
			return pe.th32ProcessID;
		}
	}
	CloseHandle(hSnapshot);
	return 0;
}

DWORD GetThreadIdByProID(ULONG32 ulTargetProcessID)
{	
	HANDLE Handle = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
	if (Handle != INVALID_HANDLE_VALUE)	
	{		THREADENTRY32 te;		
			te.dwSize = sizeof(te);
	if (Thread32First(Handle, &te))
	{			
		do			
		{				
			if (te.dwSize >= FIELD_OFFSET(THREADENTRY32, th32OwnerProcessID) + sizeof(te.th32OwnerProcessID))
			{					
				if (te.th32OwnerProcessID == ulTargetProcessID)					
				{						
					HANDLE hThread = OpenThread(READ_CONTROL, FALSE, te.th32ThreadID);						
					if (!hThread)						
					{							
						OutputDebugString(_T("主线程句柄获取失败"));
					}						
					else						
					{							
						return te.th32ThreadID;						
					}					
				}				
			}			
		} while (Thread32Next(Handle, &te));		
	}	
	}	CloseHandle(Handle);	
	return 0;
}

BOOL InjectDllBySetWindowsHook()
{
	HMODULE m_hmDll = LoadLibrary(_T("WindowsHookInjectDLL.dll"));
	if (m_hmDll == NULL)
	{
		OutputDebugString(_T("DLL加载失败"));
		return FALSE;
	}
	
	//获取DLL中到处函数的地址
	HOOKPROC sub_address = NULL;
	sub_address = (HOOKPROC)GetProcAddress(m_hmDll,"MyMessageProcess");
	if(sub_address == NULL)
	{
		OutputDebugString(_T("获取函数地址失败"));
		return FALSE;
	}

	DWORD hPid;
	hPid=GetProcessIDByName(_T("notepad++.exe"));
	if(hPid == NULL)
	{
		OutputDebugString(_T("获取目标进程PID失败"));
		return FALSE;

	}

	DWORD dwThreadID;
	dwThreadID = GetThreadIdByProID(hPid);
	if(dwThreadID == NULL)
	{
		OutputDebugString(_T("获取目标进程主线程句柄失败"));
		return FALSE;
	}

	m_hHook = SetWindowsHookEx(WH_KEYBOARD , sub_address , m_hmDll , dwThreadID);
	if(m_hHook == NULL)
	{
		OutputDebugString(_T("建立钩子失败"));
		return FALSE;
	}

	return TRUE;
}

Windows挂钩注入优缺点

优点

代码和原理简单,易于实现,可以对所有消息循环的程序进行注入。

缺点

容易被发现和防御,对没有消息循环的纯后台程序无能为力。

除夕是我的猫
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Windows Ring3注入——远程线程注入(二)
qq_38493448的博客
01-16 777
Windows Ring3注入——远程线程注入(二)远程线程注入原理远线程注入函数原型及步骤可使用远程线程注入原因:远程线程注入代码示例远程线程注入的优缺点优点:缺点: 在Windows操作系统中,各个进程相对独立,一个进程不能轻易地控制其他进程中的线程。从根本上来说,远程线程注入技术要求目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL。Windows提供了远线程机制,使我...
WinRing0及其源码
02-22
WinRing0及其源码,通过获取ring0权限,可以在应用程序中直接执行CPU需要ring0才能执行的指令。
Windows挂钩注入DLL
小米的修行之路
04-04 876
代码实现(被注入进程):private: DWORD m_dwId; HHOOK m_hHook; HMODULE m_hmDll; private: DWORD GetPIdByProcessName(const char* pszProcessName); BOOL InjectDllBySetWindowsHook(ULONG32 ulTargetProcessID,char* p...
Windows Ring3注入——注入相关知识(零)
qq_38493448的博客
01-16 965
Windows Ring3注入——注入相关知识(零)定义需要注入的几种情况注入时机静态输入动态加载加载服务模块注入方法概括说明注入方式原理通过干预输入表处理过程加载目标DLL改变程序运行流程主动加载DLL利用系统机制加载DLL几种常见的注入方式静态注入:动态加载:加载服务模块: 定义 注入就是迫使第三方进程非自愿加载某个模块(DLL)。 需要注入的几种情况 1.想要从另一个进程创建窗口派生子类窗...
windows下获得当前用户名的小代码,ring3级别
weixin_30469895的博客
06-26 65
#include <windows.h> #include <WtsApi32.h> #pragma comment(lib, "WtsApi32.lib") #define Message(X) MessageBox(0, X, "DEBUG", MB_ICONINFORMATION) int getUserName(char *usernam...
32,64位下的Ring3的动态库dll注入
11-22
自己写的一个进程,将对方的进程空间打开,在其中写ShellCode,这句shellcode翻译为机器指令实际上就是loadlibrary(Dll.dll),也就是自己写的一个动态库,在这个动态库中这写了当有进程加载此动态库时弹出一个...
CMDB004_Windows编程_ring3ds_cmdb_zip_shown6bj_
10-01
各包解压缩请改成CMDB.zip.00x再操作!
r3_to_r0.rar_from ring0 ring3_ring0_windows 内核
最新发布
09-24
描述 "从ring3切换到ring0的代码,windows内核代码" 暗示了压缩包包含的可能是一段实现了从用户态(Ring 3)切换到内核态(Ring 0)的代码,这对于理解Windows内核的工作原理以及如何编写驱动程序至关重要。...
在ring0调用Ring3的代码
05-11 4578
作者:VXK/CVC.GB时间:2005-02-05 每次上driverdevelop总看到有人问怎么在Ring0下调用Ring3的代码——Ring3使用Ring0已经是地球人全知道的事情了,但是ring0下使用ring3的代码恐怕很少有人知道,Ratter和Benny这两个高人以及Elzc的作者Elzcor各自提出过一种方法。总结起来就是三种方法,Zombie在2004年也提出过一个方法看起来像
一个超简单的ring3与ring0通信的例子
稳到死内核
04-26 3694
<br /> 实际上是我想写一个隐藏文件的驱动,结果发现不是那么简单的事情,于是淡定下来先一步步走好吧.<br /> 我觉得我在学习一个东西时,喜欢把它脱得一丝不挂.所以不会有什么错误判断啊之类的.在能实现功能的前提下,尽量一切从简.<br /> 我觉得这和我的性格有关,shit,扯远了.<br /> <br />-----------------------------------------------分割线------------------------------------------------
Android下的挂钩(hook)和代码注入(inject)
热门推荐
wang_walfred的专栏
09-06 1万+
Android是基于linux内核的操作系统,根据语言环境可以简单的划分为java、native C、linux内核。java通过jni与native交互,使用linux提供的底函数功能。 因此,类似linux系统,我们可以在Android下实现对另一个进程的挂钩和代码注入。在这简单介绍下挂钩和代码注入的方法和两个库,以及针对《刀塔传奇》实现的代码注入。 利用libinje
注入(4)--消息钩子注入(SetWindowsHookEX)
weixin_34160277的博客
10-02 1941
SetWindowsHookEx函数是微软提供给程序开发人员进行消息拦截的一个API。不过,他的功能不仅可以用作消息拦截,还可以进行DLL注入。 SetWindowsHookEx原型声明如下: WINUSERAPI HHOOK WINAPI SetWindowsHookExW( _In_ int idHook, _In_ HOOKPROC lpfn, _I...
揭秘Windows内核——如何利用自定义驱动程序在Ring3做Ring0的勾当!
LnTigerLn的专栏
05-30 4432
最近在做图像处理(其实是利用摄像机采回来的Image进行分析,从而得到目标的运动信息),既然是图像处理那就得有图像Source,没错那就是Camera,实验室的这个Camera还挺高级的,是千兆以太网接口的,呵呵,管他是什么接口——反正我们的任务就是将数据采集到指定的缓冲区内,然后再把缓冲区内的数据“显示出来”或者“分析分析”。按照常规的做法,你可能会这样申请一段缓冲区,估计编写过Windows
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3Windows使用其中的两个级别RING0和RING3
autumn20080101的专栏
10-07 6323
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3Windows使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。尽管有CPU的特权级别作保护,遗憾的是WINDOW98本身漏洞很多,使用Windows 98的系统一天死机n回也是正常
windows ring3 注入及hook
Tesi1a的充电桩
05-08 463
需求背景 动态修改程序的函数oldsub()执行我们的newsub() 此时则需要注入并hook 注入 简单的远程线程注入分三步 //获取进程句柄 //提升权限 //注入dll #include <windows.h> //获取进程句柄 HANDLE GetThePidOfTargetProcess(HWND hwnd) { DWORD pid; GetWindowT...
追逐自己的梦想----------辅助制作第八课:利用SetWindowsHook将进程注入游戏主线程来解决资源冲突的问题
南的专栏
01-10 8883
本节课中,我们需要学习利用SetWindowsHook来注入主线程,然后利用多线程的原理来解决资源冲突的问题。 1.注入的原因:不同的线程在访问同一个共享数据的时候,如果没有同步处理,就会造成错误,从而导致程序崩溃,所以我们可以给自己编写的多线程,并且加上一些同步出来,然后再将dll注入到游戏的主线程中,就可以解决资源冲突的问题。 我们要用到的函数是SetWindowsHook
模拟键盘鼠标操作——IoAccessMap介绍
NetRoc的专栏
12-28 2180
模拟键盘鼠标操作——IoAccessMap介绍  NetRoc  2007.06.25http://ww.DbgTech.net/关键词:I/O Permission Bit Map、按键精灵、模拟键盘鼠标今天又被恶心了,上班不想工作。来谈谈IoAccessMap相关的一些东西吧。我在上一篇XTrap驱动分析的文章里面提到过,现在的一些模拟键盘鼠标输入的程序使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值