阻止Spy++之类的工具捕捉软件窗口

最新推荐文章于 2018-05-16 07:11:50 发布
最新推荐文章于 2018-05-16 07:11:50 发布
阅读量1.5k 收藏 2
点赞数
文章标签: 工具 dll null linker thread shell

//http://www.cnblogs.com/fangkm/archive/2009/08/15/1546843.html

 

   我以前用Spy++能轻易捕捉360软件界面,除了一些应用DHTML制作的窗体.昨天我再用Spy++捕捉的时候捕捉不到了,甚至连最外围的对话框都捕捉不到,显然是做了类似拦截API的处理.下面我也模拟一下这种效果,让自己的程序窗口不能被捕捉.
Spy++之类的程序一般通过API函数WindowFromPoint和ChildWindowFromPoint来获取指定位置的窗口句柄。拦截一下WindowFromPoint函数,如果捕捉到的是自己程序的窗口,而且实施捕捉的进程不是自己程序的进程,那就直接返回NULL(这样自己的程序捕捉自己的窗口就不会受影响).拦截API我直接用微软的Detour库,使用起来方便.
由于是拦截所有进程地址空间的WindowFromPoint函数,我借助于全局WH_SHELL钩子,因此拦截操作放在一单独的DLL项目中.先封装一下Detour操作CInterceptSpyFun类:
h文件///

class  CInterceptSpyFun
{
 private :
     // 是否已经拦截
    BOOL  m_bIntercepted;

 public :
     // 保存要屏蔽WindowFromPoint函数的进程ID
     static   DWORD  m_dwValidProcessID;  

 public :
    CInterceptSpyFun( );
     ~ CInterceptSpyFun( );

    BOOL  IsIntercepted() 
    {
         return   this -> m_bIntercepted;
    }

     /*
    * 拦截操作
    * dwValidProcessID: 待屏蔽WindowFromPoint函数的进程ID
    * 返回拦截成功与否
     */
    BOOL  Intercept( DWORD dwValidProcessID  );

     /*
    * 取消拦截,还原成原先的操作
     */
     void     UnIntercept();
};

 

///cpp

DWORD  CInterceptSpyFun::m_dwValidProcessID    =    0 ;

 // 让Real_WindowFromPoint指针指向实际上的WindowFromPoint函数地址
DETOUR_TRAMPOLINE( HWND WINAPI Real_WindowFromPoint( POINT pt ), WindowFromPoint );

 /*
* 自定义WindowFromPoint函数的处理
 */
HWND WINAPI Mine_WindowFromPoint( POINT pt )
{
     // 调用实际上的WindowFromPoint函数,取得窗口句柄
    HWND  hWnd  =   Real_WindowFromPoint( pt );

     // 获取窗口所属的进程ID
    DWORD  dwProcessID( 0 );
    ::GetWindowThreadProcessId( hWnd,  & dwProcessID );

     if ( ( CInterceptSpyFun::m_dwValidProcessID  ==  dwProcessID )  &&  ( ::GetCurrentProcessId()  !=  CInterceptSpyFun::m_dwValidProcessID ) )
    {     // 如果窗口属于指定的进程并且是被不是指定进程的其他进程调用WindowFromPoint访问时,返回NULL
         return  NULL;
    }

     return  hWnd;
}



CInterceptSpyFun::CInterceptSpyFun( )
{
    m_bIntercepted   =   FALSE;
}

CInterceptSpyFun:: ~ CInterceptSpyFun( )
{
}

BOOL  CInterceptSpyFun::Intercept( DWORD dwValidProcessID )
{
    CInterceptSpyFun::m_dwValidProcessID    =   dwValidProcessID;
     // Detour库拦截处理
    m_bIntercepted   =   DetourFunctionWithTrampoline( (PBYTE)Real_WindowFromPoint,  (PBYTE)Mine_WindowFromPoint );
     return  m_bIntercepted;
}

 void     CInterceptSpyFun::UnIntercept()
{
     if ( m_bIntercepted )
    {
         // 取消拦截
        DetourRemove( (PBYTE)Real_WindowFromPoint,(PBYTE)Mine_WindowFromPoint );
        m_bIntercepted   =   FALSE;
    }
}

dwValidProcessID(要拦截WindowFromPoint函数的进程ID)需要在LoadLibrary之后,安装钩子之前传递,并且需要保存到共享节中以达到在所有的进程中数据共享的目的.
#pragma  data_seg(".unspy")
HHOOK   hHook   =   NULL; 
DWORD  dwValidProcessID  =  0;
#pragma  data_seg()
#pragma comment(linker,"/section:.unspy,rws")

 

HOOK句柄和dwValidProcessID  都保存到共享节”.unspy”中。

设置dwValidProcessID  的导出函数:
extern"C" __declspec( dllexport ) void SetValidProcessID( DWORD  dwProcessID )
{
 dwValidProcessID   =  dwProcessID;
}

声明拦截类的全局变量:
CInterceptSpyFun  interceptSpy; 
HMODULE   hDllModule   =  NULL;  //保存DLL模块句柄

SHELL钩子处理:

 

LRESULT CALLBACK CustomShellProc ( int  nCode, WPARAM wParam, LPARAM lParam)
{    
     if ! interceptSpy.IsIntercepted() )
    {   // 拦截API
        interceptSpy.Intercept( dwValidProcessID );
    }

     return  ::CallNextHookEx( hHook, nCode, wParam, lParam );
}


 extern " C "  __declspec( dllexport )  void  InstallHook( )
{
    hHook  =  ::SetWindowsHookEx( WH_SHELL , CustomShellProc ,(HINSTANCE)hDllModule,  0  );
}

 extern " C "  __declspec( dllexport )  void  UninstallHook()
{    
     if ( hHook  !=  NULL )
    {
        ::UnhookWindowsHookEx( hHook );
    }
    hHook  =  NULL;
}

取消拦截操作应在卸载DLL的时候:
BOOL APIENTRY DllMain( HMODULE hModule,  DWORD  ul_reason_for_call,   LPVOID lpReserved  )
{
 hDllModule   =   hModule;
 switch (ul_reason_for_call)
 {
 case DLL_PROCESS_ATTACH: 
  break;
 case DLL_THREAD_ATTACH:
  break;
 case DLL_THREAD_DETACH:
  break;
 case DLL_PROCESS_DETACH:
  {
      interceptSpy.UnIntercept();
  }
  break;
 }

    return TRUE;
}

至此,DLL部分已经完成.在需要屏蔽WindowFromPoint函数的程序中需加载该DLL,调用DLL的SetValidProcessID,将当前的进程ID传入,随后安装钩子:
m_hInstance  = ::LoadLibrary(_T("AvoidSpyLib.dll"));
  if ( m_hInstance == NULL )
  {
   ::MessageBox(NULL,_T("LoadLibrary Failed"),_T(""),MB_OK);
  }

  if( m_hInstance == NULL )
   return 0;
 
  typedef void (*PSetValidProcessID)( DWORD  dwProcessID );
  PSetValidProcessID pSetFunc;
  pSetFunc = (PSetValidProcessID)::GetProcAddress( m_hInstance , "SetValidProcessID");
  if ( pSetFunc != NULL )
  {
   (*pSetFunc)( ::GetCurrentProcessId() );
  }

  typedef void (*PInstallHook)( );
  PInstallHook pInstallFunc;
  pInstallFunc = (PInstallHook)::GetProcAddress( m_hInstance , "InstallHook");
  if ( pInstallFunc != NULL )
  {
    (*pInstallFunc)();
}
//卸载钩子
if( m_hInstance != NULL )
{
   typedef void (*PUninstallHook)( );
   PUninstallHook pFunc;
   pFunc = (PUninstallHook)::GetProcAddress( m_hInstance , "UninstallHook");
   if ( pFunc != NULL )
   {
    (*pFunc)();
   }

   ::FreeLibrary( m_hInstance );
}

全部完工,运行了一下,呵呵,和360软件的效果一样,Spy++再也捕捉不到界面的任何东西了.

大肚肥肥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
类似SPY++窗口查看器
02-17
类似SPY++窗口查看器,MFC工程,详细信息见博文《仿照spy++写个窗口查看器(MFC工程)》
SPY++的使用
ansonleung的专栏
10-19 1225
 Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,它提供系统的进程、线程、窗口窗口消息的图形视图。使用 Spy++ 可以执行下列操作: 1、显示系统对象(包括进程、线程和窗口)之间关系的图形树。 2、搜索指定窗口、线程、进程或消息。 3、查看选定的窗口、线程、进程或消息的属性。 4、直接从视图中选择窗口、线程、进程或消息。 5、通过鼠标定位,使用查找程序工具选择窗口
阻止SPY++类似的程序捕捉软件窗口
weixin_34242331的博客
01-15 245
我以前用Spy++能轻易捕捉360软件界面,除了一些应用DHTML制作的窗体.昨天我再用Spy++捕捉的时候捕捉不到了,甚至连最外围的对话框都捕捉不到,显然是做了类似拦截API的处理.下面我也模拟一下这种效果,让自己的程序窗口不能被捕捉.Spy++之类的程序一般通过API函数WindowFromPoint和ChildWindowFromPoint来获取指定位置的窗口句柄。拦截一下WindowFro...
Spy++ 窗口捕捉工具-中文版免安装包.zip
05-13
Microsoft Spy++是一个非常好的查看Windows操作系统的窗口、消息、进程、线程信息的工具,简单易用,功能强大(Delphi也提供了一个类似的工具WinSight32,但在方便性、易用性上实在不及Spy++)。 此工具一直随...
spy++窗口句柄分析工具
08-09
spy++ 帮助通过findwindow函数获取窗口句柄时候需要知道具体的窗口 标题和类,通过本工具可以分析电脑里的窗口信息,辅助程序获取 窗口句柄
Microsoft SPY++ 工具及使用教程
最新发布
04-23
Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,提供系统进程、线程、窗口窗口消息的图形视图。 Spy++ 有两个版本。 第一个版本,名为 Spy++ (spyxx.exe),用于显示发送到在 32 位进程中运行的窗口的消息。 ...
spy++(强大的捕获窗口句柄软件)
01-31
仿Microsoft Spy++ 支持拖拽选择窗口句柄 ,显示进程数据,等基本功能
一款用于追捕对方IP软件
02-15
☆ 追捕! V1.66.20010213 测试版   让虚幻的网络变得现实。主要功能:1 、可以根据 IP 查询对方的所 在地,目前提供国内 163/169的大部分地址。2 、可以查询对方 IP 的域 名,可以查询对方机器上的提供的服务功能,包括 WWW/FTP/DNS/SOCK/ TELNET/POP3/SMTP/NETSPY/NETBIOS/GOPHER.3、可以从命令行获取 IP 地 址,方便 MIRC 用户调用。4 、可以从剪切板取 IP地址。5 、可以把查 询结果放到剪切板上。6 、可以设置智能追捕功能,在激活追捕时可以自 动从剪切版上取出 IP 地址进行查询。7 、可以隐藏在 SysTray条中。增 加了通过 NETBIOS取对方机器名的功能,随便对方怎么改变 IP 都可以轻 易识别出对方。对追捕进行大量修改,如果不出意外应该彻底修正了原来 的一些问题,增加了对主机服务版本的检查,功能增加多多这个版本为ZIP 免安装版本。增加了 OICQ 号码探测功能,新加了一些数据。
VC++实现spy++源码获取窗口句柄的功能vs2015
11-16
VC++实现spy++源码获取窗口句柄的功能vs2015
SPY++直接运行版(windows句柄获取工具
04-22
SPY++直接运行版(windows句柄获取工具
Spy++windows窗口程序调试工具
09-26
用于windows窗口调试,windows10
spy++ 绿色工具
09-06
spy++.zip, 监测windows窗口句柄,调试工具。可以很容易的识别是否程序UI的显示问题
spy++只能读取主窗口句柄而无法读取到子控件句柄的原因
凤凰涅磐
05-16 7290
看望DIRECTUI简介就明白了: DirectUI意为直接在父窗口上绘图(Paint on parent dc directly)。即子窗口不以窗口句柄的形式创建(windowless),只是逻辑上的窗口,绘制在父窗口之上。微软的“DirectUI”技术广泛的应用于Windows XP,Vista,Windows 7,如浏览器左侧的TaskPanel,控制面板导航界面,Media Player...
spy++ (定位元素工具(win32))官网下载
07-27
spy++(定位元素工具)是一种强大的调试工具,专门用于在Windows操作系统下定位和识别各个应用程序窗口、控件以及消息的工具。要下载spy++工具,可以访问官方网站进行下载。 要从官方网站下载spy++,可以按以下步骤操作: 1. 打开浏览器,输入spy++官方网站的网址。可以在搜索引擎中输入“spy++官网”进行搜索,然后选择官方网站链接。 2. 在官网首页或者下载页面中,找到spy++的下载链接。可能要根据不同的操作系统版本选择对应的下载链接。 3. 点击下载链接,选择保存文件的位置。通常会将文件保存在电脑的硬盘或者指定的下载文件夹中。 4. 下载完成后,找到保存的spy++安装文件,双击打开进行安装。按照安装提示完成安装过程。 5. 安装完成后,在开始菜单或桌面上找到spy++的快捷方式,双击打开程序。 通过以上步骤,就可以在官网上下载并正常安装spy++定位元素工具。使用spy++可以对窗口和控件进行监视和分析,有助于开发人员进行程序调试和问题排查。需要注意的是,使用spy++工具需要一定的专业技能和知识,对于非开发人员来说,可能需要一些学习和实践才能熟练运用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值