Dll注入技术之输入法注入

最新推荐文章于 2015-03-22 10:20:03 发布
最新推荐文章于 2015-03-22 10:20:03 发布
阅读量4.3k 收藏 5
点赞数
分类专栏: Dll注入 文章标签: HOOK
DLL注入技术之输入法注入

    输入法注入原理是利用Windows系统中在切换输入法需要输入字符时,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们可以利用这个特性,在Ime文件中使用LoadLibrary()函数待注入的DLL文件。
1.编写Ime文件
    输入法的Ime文件其实就是个显式导出19个特殊函数的DLL文件。如下图所示:

  1. ImeConversionList           //将字符串或字符转换成目标字串  
  2. ImeConfigure                //配置当前ime参数函数  
  3. ImeDestroy                  //退出当前使用的IME  
  4. ImeEscape                   //应用软件访问输入法的接口函数  
  5. ImeInquire                  //启动并初始化当前ime输入法  
  6. ImeProcessKey               //ime输入键盘事件管理函数  
  7. ImeSelect                   //启动当前的ime输入法  
  8. ImeSetActiveContext         //设置当前的输入处于活动状态  
  9. ImeSetCompositionString     //由应用程序设置输入法编码  
  10. ImeToAsciiEx                //将输入的键盘事件转换为汉字编码事件  
  11. NotifyIME                   //ime事件管理函数  
  12.   
  13. ImeRegisterWord             //向输入法字典注册字符串  
  14. ImeUnregisterWord           //删除被注册的字符串  
  15. ImeGetRegisterWordStyle  
  16. ImeEnumRegisterWord  
  17.   
  18. UIWndProc        //用户界面接口函数  
  19. StatusWndProc    //状态窗口注册函数  
  20. CompWndProc      //输入编码窗口注册函数  
  21. CandWndProc      //选择汉字窗口注册函数  


如果想编写输入法程序,那么这19个导出函数都需要仔细的研究,但是对于只想实现注入的我们,现在只需要对ImeInquire()有比较深的认识就可以了。ImeInquire()是启动并初始化当前Ime输入法函数,他的声明如下:

  1. BOOL WINAPI ImeInquire(LPIMEINFO lpIMEInfo,LPTSTR lpszUIClass,LPCTSTR lpszOption)
第一个参数lpIMEInfo比较重要,用于输入对Ime输入法初始化的内容结构,如果这个结构填写错误,就会导致输入法不能正常运行。第二个参数是输入一个class类名,我们需要先使用RegisterClassEx()注册出一个窗口类。初始化ImeInquire()主要代码如下所示:

  1. //启动并初始化当前ime输入法  
  2. BOOL WINAPI ImeInquire(LPIMEINFO lpIMEInfo,LPTSTR lpszUIClass,LPCTSTR lpszOption)  
  3. {  
  4.     //输入法初始化过程  
  5.     //系统根据它为INPUTCONTEXT.hPrivate分配空间  
  6.     lpIMEInfo->dwPrivateDataSize = 0;   
  7.     lpIMEInfo->fdwProperty = IME_PROP_KBD_CHAR_FIRST |  
  8.         IME_PROP_IGNORE_UPKEYS |  
  9.         IME_PROP_END_UNLOAD;   
  10.   
  11.     lpIMEInfo->fdwConversionCaps = IME_CMODE_FULLSHAPE |  
  12.         IME_CMODE_NATIVE;  
  13.   
  14.     lpIMEInfo->fdwSentenceCaps = IME_SMODE_NONE;  
  15.     lpIMEInfo->fdwUICaps = UI_CAP_2700;  
  16.   
  17.     lpIMEInfo->fdwSCSCaps = 0;  
  18.   
  19.     lpIMEInfo->fdwSelectCaps = SELECT_CAP_CONVERSION;  
  20.   
  21.     // 注意该输入法基本窗口类必须注册,否则输入法不能正常运行  
  22.     _tcscpy(lpszUIClass,CLSNAME_UI);  
  23.     return TRUE;  
  24. }  
注册出一个窗口类的主要代码如下:
  1. BOOL ImeClass_Register(HINSTANCE hInstance)  
  2. {  
  3.     WNDCLASSEX wc;  
  4.     wc.cbSize         = sizeof(WNDCLASSEX);  
  5.     wc.style          = CS_VREDRAW | CS_HREDRAW | CS_DBLCLKS | CS_IME;  
  6.     wc.lpfnWndProc    = UIWndProc;  
  7.     wc.cbClsExtra     = 0;  
  8.     wc.cbWndExtra     = 2 * sizeof(LONG);  
  9.     wc.hInstance      = hInstance;  
  10.     wc.hCursor        = LoadCursor( NULL, IDC_ARROW );  
  11.     wc.hIcon          = NULL;  
  12.     wc.lpszMenuName   = (LPTSTR)NULL;  
  13.     wc.lpszClassName  = CLSNAME_UI;  
  14.     wc.hbrBackground  = NULL;  
  15.     wc.hIconSm        = NULL;  
  16.   
  17.     if( !RegisterClassEx( (LPWNDCLASSEX)&wc ) )  
  18.         return FALSE;  
  19.   
  20.     return TRUE;  
  21. }  

CLSNAME_UI是一个宏定义,如下:
  1. #define CLSNAME_UI _T("DLLCLASSNAME")
在DllMain进程加载的过程中注册窗口类,主要代码如下:

  1. case DLL_PROCESS_ATTACH:  
  2.     if(!ImeClass_Register(hinstDLL)) return FALSE;  
  3.   
  4.     //这里填写要load的DLL的路径  
  5.     g_hModule = LoadLibrary(_T("D:\\MyDll\\ImeInject\\Debug\\MfcImeInjectDll.dll"));  
  6.       
  7.     if (!g_hModule)  
  8.     {  
  9.         MessageBox(NULL,_T("模块没有load成功"),_T("提示"),MB_OK);  
  10.     }  
  11.     break;  

PS: 编写DLL时需要注意,当作IME文件的Dll需要有版本信息,Version资源中FILETYPE为VFT_DRV, FILESUBTYPE为VFT2_DRV_INPUTMETHOD,否则调用ImmInstallIME安装时会失败

2.编写装载输入法程序:

    装载输入法的基本逻辑就是将他们编写的输入法设置为默认输入法,这样只要系统中所有进程都会默认加载他们的恶意输入法程序。
    黑客们首先需要得到系统当前的默认的输入法,以便恢复时使用。然后需要将ime文件拷贝到C:\WINDOWS\system32目录下,最后将装载成功后将我们的输入法设置成为默认输入法,主要代码如下:

  1. void CMfcImeInjectDlg::OnBnClickedAttach()  
  2. {  
  3.     // TODO: 在此添加控件通知处理程序代码  
  4.     //得到默认的输入法句柄并保存  
  5.     ::SystemParametersInfo(  
  6.         SPI_GETDEFAULTINPUTLANG,  
  7.         0,  
  8.         &m_retV,  
  9.         0);  
  10.   
  11.     //拷贝到system目录,只有ime文件在system32下才能装载成功  
  12.     CopyFile(  
  13.         _T("D:\\MyDll\\ImeInject\\Debug\\MyImeDll.ime"),  
  14.         _T("C:\\WINDOWS\\system32\\MyImeDll.ime"),  
  15.         FALSE);  
  16.   
  17.     //装载输入法  
  18.     m_hImeFile = ImmInstallIME(  
  19.         _T("MyImeDll.ime"),   
  20.         _T("我的输入法"));  
  21.   
  22.     if( ImmIsIME(m_hImeFile) )  
  23.     {  
  24.         //设置为默认输入法  
  25.         SystemParametersInfo(  
  26.             SPI_SETDEFAULTINPUTLANG,  
  27.             0,  
  28.             &m_hImeFile,  
  29.             SPIF_SENDWININICHANGE);  
  30.         MessageBox(_T("安装输入法成功"));  
  31.     }  
  32. }  

3.编写卸载输入法:
    当新建进程不再需要注入时,我们就需要卸载输入法。卸载输入法时需要先判定系统当前的输入法不是其原有默认输入法,确认无误后将系统的默认输入法恢复后,再将恶意输入法卸载即可,主要代码如下:

  1. void CMfcImeInjectDlg::OnBnClickedDettach()  
  2. {  
  3.     // TODO: 在此添加控件通知处理程序代码  
  4.     ::SystemParametersInfo(  
  5.         SPI_SETDEFAULTINPUTLANG,  
  6.         0,  
  7.         &m_retV,  
  8.         SPIF_SENDWININICHANGE);  
  9.     if (UnloadKeyboardLayout(m_hImeFile))  
  10.     {  
  11.         MessageBox(_T("输入法卸载成功"));  
  12.     }  
  13. }  
  14.       

输入法注入的实现需要对输入法IME文件的生成有所了解,API使用较多,所以实现起来比较难,但是由于系统存在多个输入法,被注入进程很难判别当前是可信赖输入法还是用于注入的恶意输入法,所以难以阻止,大大提高了注入的几率。
swanabin
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL注入
fxismonk的专栏
09-22 320
一、通过注册表 注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows中,有两项: 1. AppInit_DLLs 字符串类型,空格或逗号分隔,指示要加载的dll地址,第一个文件名可以包含路径,剩余的路径被忽略。一般将dll放在windows系统目录中。 2. LoadAppInit_DLLs
输入法注入DLL注入
03-13
输入法注入,易语言DLL注入 简单易懂
利用输入法注入DLL
05-19
Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码注入DLL是做全局钩子或者拦截类软件都有可能用到的技术,如果做外挂的话我们也有 可能需要注入一个DLL到游戏进程中去干点什么“坏事”。 但我们知道现在要注入DLL是越 来越难了。场景1:制作火星文输入法外挂,原理是利用API HOOK拦截并修改输入法相关函 数,需要注入一个DLL到所有进程中,但是后来发现,在开启了瑞星的帐号保险箱后,用户 将不能在QQ中输入火星文。原因是瑞星保护了QQ进程,禁止对其注入DLL,解决方法是提示 用户关闭帐号保险箱 -_-| 确实是很降低用户体验的一个不是办法的办法。场景2:制作某 游戏外挂,需要注入一个DLL到游戏进程中去直接调用游戏函数完成某一功能。结果发现该 游戏有NP保护,OpenProcess打不开,创建远程线程也不行,试用其它方法也一一失败。遇 到上面的情况,高手们自然是转到Ring0下面去,使用驱动之类的办法来对付啦,不过吾等 菜鸟可就是酒井没法子了 -_-| 不过也别太灰心,凡事总会有办法的。我想我们需要一种持久的、稳定的、不容易被安 全软件屏蔽的DLL注入方法,后来发现,输入法程序就是能完成这一任务的理想人选。输入 法程序程序到底是什么?它没有自己的进程,并且在系统还没有登录时就已被加载(在欢迎 界面你也可以调出输入法),它可以在游戏中打开,也可以在控制台程序中打开,还可以在 瑞星保护下的QQ中打开,在杀软中也可以打开,这不就是我们要找的特性吗。那么,输入法 到底是什么呢?根据Windows的规定,输入法其实就是一个DLL,不过它是一个特殊的DLL, 它必须具有标准输入法程序所规定的那些接口,输入法是由输入法管理器(imm32.dll)控 制的,输入法管理器又是由user32.dll控制的。输入法在系统目录是以IME为扩展名的文件 ,当在应用程序中激活某个输入法时,输入法管理器就会在那个应用程序的进程中加载对应 的IME文件,注意,加载IME文件跟加载普通的DLL并没有本质区别,所以,可以认为,输入 法其实就是注入到应用程序中的一个DLL文件,并且,这种“注入”是不会被杀软和游戏NP 拦截的(至少目前是)。现在,我们已经有了一个注入DLL的另类方法,那就是利用输入法 。具体流程是这样,首先制作一个标准输入法文件,但是这个输入法并不完成文字输入工作 ,它的唯一任务就是用来注入DLL,所以称为“服务输入法”,然后,制作一个控制程序, 来控制服务输入法,当然最后还需要一个用于注入的目标DLL,这样一共就有3个文件。开始 工作后,控制程序首先将服务输入法安装到系统中,然后传递几个参数给服务输入法,参数 中包括了需要注入DLL文件的名称和路径,然后,控制程序将服务输入法设置为系统的默 认输入法,这样新的程序一打开,服务输入法就会注入那个程序。当然,在服务输入法安装 之前打开的程序不会被注入,这时需要向系统中的所有窗口POST一条 WM_INPUTLANGCHANGEREQUEST消息,该消息可以在指定窗口中后台激活服务输入法,这样, 系统中所有拥有窗口的进程就都被我们的服务输入法注入了。服务输入法注入程序之后,就 会根据控制程序传递过来的参数加载目标DLL,这样目标DLL也就随着服务输入法一同注入到 目标程序中了。注意服务输入法是控制程序用WM_INPUTLANGCHANGEREQUEST消息在所有窗口 中自动激活的,如果某个窗口自动激活失败,你就需要在那个窗口中手工切换到服务输入法 ,这样才能注入进去了。至于注入以后,你就可以在窗口中切换到别的输入法,这并不会影 响已经注入进去的DLL。我将这一套功能制作成一个完整的示例,你可以在以下地址下载: http://www.pen88.com/download/imehook.rar 压缩包中的第6个和第8个文件夹演示了此 功能并包含所有源代码。其中文件imedllhost09.dll就是服务输入法,运行时会被安装到系 统中,控制程序退出时会自动卸载该输入法,这样用户就不太容易察觉,你还可以重新编译 该输入法,将名称改为“中文(中国)”,这样隐蔽性更好。文件hxwdllwx.dll是演示用的 目标DLL,你可以替换成自己的DLL,然后那个exe文件就是控制程序了。输入法 imedllhost09.dll在运行时会被复制到系统目录并更名为imedllhost09.ime,它导出了2个 函数用于控制。在VB中的声明为: Public Declare Function IMESetPubString Lib "imedllhost09.ime" (ByVal RunDLLStr As String, ByVal UnloadDll As Long, ByVal loadNextIme As Long, ByVal DllData1 As Long, ByVal DllData2 As Long, ByVal DllData3 As Long) As Long Public Declare Function IMEClearPubString Lib "imedllhost09.ime" () As Long 其中IMESetPubString用于向输入法传递要注入DLL等参数。RunDLLStr,要注入DLL命令 和完整路径。UnloadDll,当输入法退出时,是否同时卸载目标DLL 0-是,1-否。 loadNextIme,当切换至该服务输入法时,是否直接切换到下一个输入法(这样服务输入法 就好像被跳过了,可最小限度影响用户的输入法顺序) 0-否,1-是。DllData1,DllData2 ,DllData3是传递给目标DLL的回调函数(函数名称必须为RunDllHostCallBack)的参数, 你可以在目标DLL中导出一个函数,名称为RunDllHostCallBack,这样当输入法注入时会调 用目标DLL的该回调函数并向其传递这3个参数。函数原型为(VC): DWORD RunDllHostCallBack(DWORD calldata1, DWORD calldata2,DWORD calldata3); IMEClearPubString函数用于清除输入法的配置,清除后,输入法将停止在新的程序中注入 目标DLL,但已注入DLL不会卸载。 好了,利用输入法注入DLL基本上就是这样了,详细的用法大家可以看压缩包中的第8个文 件夹,其中服务输入法是VC写的,控制程序是VB的,代码都是有注释的。测试发现该方法能 过目前所有杀软,也能注入冰刃。当然缺点还是有的,就是目标程序如果不接受输入法那就 没办法了,但是现在一般的游戏都不会禁止玩家在里面打字吧,而且杀软也不能禁止用户输 入汉字吧,哈哈,所以通用性应该还是蛮好的。 最后,我再介绍另一个注入DLL的方法,估计也很少被用到。是利用一个未公开函数 RegisterUserApiHook,可以在网上搜索关键词“RegisterUserApiHook”,查到有人在 Windows 2003下测试成功,但是我在Windows XP测试却失败。后来终于找到了失效的原因。 RegisterUserApiHook函数可以在系统中注册一个全局钩子,你需要在钩子中指定一个DLL和 一个回调函数,然后,所有加载了user32.dll的程序就都会在启动时加载你指定的这个DLL 。用这个函数来注入DLL也是很不错的。但是测试发现它的注入能力似乎赶不上上面提到的 利用输入法注入的办法,可以注入一般的程序和某些安全程序,但是对冰刃无效。而且它 有一个限制,就是系统中只能同时存在一个这样的钩子。实际上这个钩子平时是被系统中的 Themes服务占用了,Themes服务正是利用这个钩子HOOK了绘制窗口的相关API,所以才让所 有程序窗口变成XP主题样式的。所以我们要用这个钩子的话,必须先关闭Themes服务,这样 在XP下也可以用了,但是这样系统就变成Windows 2000的样式了 -_-| RegisterUserApiHook函数的VB声明如下: Public Declare Function RegisterUserApiHookXP Lib "user32" Alias "RegisterUserApiHook" (ByVal hInstance As Long, ByVal fnUserApis As Long) As Long Public Declare Function RegisterUserApiHook2003 Lib "user32" Alias "RegisterUserApiHook" (pRegInfo As HookAPIRegInfo2003) As Long 可以看到,在XP和2003下这个函数的参数是不一样的。关于此函数的示例代码,请参见压缩 包中的第5个文件夹。 最后的最后,再介绍一个未公开函数InitializeLpkHooks,这个函数在网上能找到的资料更 少,只有一个声明而已。但是它名称中最后那个“Hooks”误导了我,我以为又是一个可以 用来注入DLL的不错函数,用OD反出来一看,原来只是个局部HOOK而已。虽然没太大用,还 是一并写上吧,也许谁用得着呢。InitializeLpkHooks顾名思义就是HOOK LPK的,Windows 有个lpk.dll,就是支持多语言包的那么个功能。测试发现好多程序在TextOut之前似乎是要 调用lpk.dll里面的相关函数的,可能是支持多语言的程序就需要用这个来判断到底要显示 那种语言吧。而InitializeLpkHooks,就是用来HOOK lpk.dll里面的4个函数的,这4个函数 是LpkTabbedTextOut,LpkPSMTextOut,LpkDrawTextEx,LpkEditControl。我们先打开VB, 在窗体中加入以下代码吧: Private Sub Form_Load() DLLhwnd = LoadLibrary("lpk.dll") '加载DLL DLLFunDre = GetProcAddress(DLLhwnd, "LpkDrawTextEx") '获取回调函数地址 LpkHooksInfo.lpHookProc_LpkTabbedTextOut = 0 LpkHooksInfo.lpHookProc_LpkPSMTextOut = 0 LpkHooksInfo.lpHookProc_LpkDrawTextEx = GetLocalProcAdress(AddressOf HookProc1) '设置要HOOK的LPK函数 LpkHooksInfo.lpHookProc_LpkEditControl = 0 InitializeLpkHooks LpkHooksInfo End Sub Private Sub Form_Unload(Cancel As Integer) LpkHooksInfo.lpHookProc_LpkTabbedTextOut = 0 LpkHooksInfo.lpHookProc_LpkPSMTextOut = 0 LpkHooksInfo.lpHookProc_LpkDrawTextEx = DLLFunDre LpkHooksInfo.lpHookProc_LpkEditControl = 0 InitializeLpkHooks LpkHooksInfo FreeLibrary DLLhwnd End Sub 然后新建一个模块,在模块中加入以下代码: Public Declare Function LoadLibrary Lib "kernel32" Alias "LoadLibraryA" (ByVal lpLibFileName As String) As Long Public Declare Function GetProcAddress Lib "kernel32" (ByVal hModule As Long, ByVal lpProcName As String) As Long Public Declare Function FreeLibrary Lib "kernel32" (ByVal hLibModule As Long) As Long ' ----------------未公开函数-------------------------------------- Public Declare Sub InitializeLpkHooks Lib "user32" (lpProcType As Any) Type LpkHooksSetting lpHookProc_LpkTabbedTextOut As Long lpHookProc_LpkPSMTextOut As Long lpHookProc_LpkDrawTextEx As Long lpHookProc_LpkEditControl As Long End Type ' ------------------------------- Public DLLhwnd As Long, DLLFunDre As Long Public LpkHooksInfo As LpkHooksSetting Public Function GetLocalProcAdress(ByVal lpProc As Long) As Long GetLocalProcAdress = lpProc End Function Function HookProc1(ByVal a1 As Long, ByVal a2 As Long, ByVal a3 As Long, ByVal a4 As Long, ByVal a5 As Long, ByVal a6 As Long, ByVal a7 As Long, ByVal a8 As Long, ByVal a9 As Long, ByVal a10 As Long) As Long HookProc1 = 0 End Function 运行一下看看,是不是窗体中标题栏和按钮上的文字都没有了,因为我们把函数 LpkDrawTextEx替换成自己的函数HookProc1了。这个函数有10个参数,其中几个好像是字符 串指针,似乎可以用来截获窗体要显示的文字,然后改成另一种语言的文字,我猜想,也许 就是这个用途吧。哈哈,纯属猜测。以上就是函数InitializeLpkHooks的用法了。 以上就是全部。 本文所有示例代码的下载地址是: http://www.pen88.com/download/imehook.rar 我的QQ511795070,欢迎交流。
输入法注入DLL
02-02
很强很好用。可以过TX的很多检测 不可用于非法
输入法注入dll
o330820350的专栏
09-04 1180
[cpp] view plaincopy ImmInstallIME("C:/WINDOWS/system32/123.dll","扩展输入法");    typedef int (CALLBACK * IMESetPubStringFunc)(LPCTSTR tmpStr,DWORD UnloadDLL,DWORD loadNextIme,DWORD DllDat
输入法DLL注入
11-05
输入法DLL注入器喜欢下载感谢这个平台
输入法注入dll.ec
07-16
易语言:输入法形式注入dll到游戏进程内,有效过掉检测,简单一句代码调用
DLL注入输入法与键盘HOOK
09-21
标题中的“DLL注入输入法与键盘HOOK”涉及了三个主要的计算机技术概念,它们在Windows操作系统编程中具有重要的地位。接下来,我们将深入探讨这些概念。 1. DLL注入DLL(动态链接库)注入是一种技术,它允许一...
利用输入法注入任意DLL演示
07-02
利用输入法注入任意DLL演示(可绕过大多数安全软件的检测,能够注入带有自我保护的进程)
VB输入法注入DLL控件(过游戏保护)
11-20
VB输入法注入DLL控件(过游戏保护),通过输入法绕过防挂程序的检测
输入法注入
11-19
输入法注入原理及其工具代码
DLL注入器---歪歪加强版万能DLL注入器|驱动级Dll注入
01-06
这款万能DLL注入器的作用就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分,实现我们自定义的扩展功能。使用方法简单,只需打开目标进程,然
驱动注入内存dll
12-30
驱动级注入内存dll,c++编写。欢迎下载研究
DLL注入技术输入法注入
03-22 7026
输入法注入原理是利用Windows系统中在切换输入法需要输入字符时,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们可以利用这个特性,在Ime文件中使用LoadLibrary()函数待注入DLL文件。 1.编写Ime文件     输入法的Ime文件其实就是个显式导出19个特殊函
输入法注入原理
codemanrock
03-12 2149
因为不懂,所以留个记号,方便大家一起查阅 都是转的,不要告我侵权 给你一篇转自vckbase的文章   首先我们需要明白输入法是什么东西。目前常用的输入法基本上有两种类型:外挂式(如早期的万能五笔)及输入法接口式(Input Method Editor-IME)。外挂式比较简单,就是一个exe文件,通过模拟一些Windows输入消息来给当前处于活动状态的编辑窗口输入文字,一个显著的优点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值