Windows消息钩取

最新推荐文章于 2022-04-27 21:34:23 发布
最新推荐文章于 2022-04-27 21:34:23 发布
阅读量203 收藏 1
点赞数
分类专栏: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19951125/article/details/104325085
版权

Windows消息钩取

消息钩子

消息钩子:钩取OS发送给应用程序的消息。

以键盘消息为例,常规的Windows消息流:

  • 发生键盘输入事件时,WM_KEYDOWN消息将被添加到[OS message queue]
  • OS判断发生事件的应用程序,从[OS message queue]取出消息,添加到相应应用程序的[application message queue]中
  • 应用程序监听自己的[application message queue],发现新添加的WM_KEYDOWN消息后,处理该消息

SetWindowsHookEx()

使用SetWindowsHookEx() API可以很容易地实现消息钩子:

HHOOK SetWindowsHookEx(
	int idHook,       //hook type
	HOOKPROC lpfn,    //hook procedure
	HINSTANCE hMod,   //hook procedure所属的DLL句柄
	DWORD dwThreadId  //想要挂钩的线程ID,0则为全局钩子
);

安装消息“钩子”时,“钩子”过程需要存在于某个DLL内部。

示例代码

HookMain.exe的源文件:

#include "stdio.h"
#include "conio.h"
#include "windows.h"

#define DEF_DLL_NAME "KeyHook.dll"
#define DEF_HOOKSTART "HookStart"
#define DEF_HOOKSTOP "HookStop"

typedef void(*PFN_HOOKSTART)();
typedef void(*PFN_HOOKSTOP)();

void main(){
	HMODULE hDll=NULL;
	PFN_HOOKSTART HookStart=NULL;
	PFN_HOOKSTOP HookStop=NULL;
	
	//加载KeyHook.dll
	hDll=LoadLibraryA(DEF_DLL_NAME);
	
	//获取导出函数地址
	HookStart=(PFN_HOOKSTART)GetProcAddress(hDll,DEF_HOOKSTART);
	HookStop=(PFN_HOOKSTOP)GetProcAddress(hDll,DEF_HOOKSTOP);
	
	//开始钩取
	HookStart();
	
	//等待用户输入“q”
	printf("press 'q' to quit!\n");
	while(_getch()!='q');
	
	//终止钩取
	HookStop();
	
	//卸载KeyHook.dll
	FreeLibrary(hDll);
}

KeyHook.dll的源码:

#include "stdio.h"
#include "windows.h"

#define DEF_PROCESS_NAME "notepad.exe"

HINSTANCE g_hInstance=NULL;
HHOOK g_hHook=NULL;
HWND g_hWnd=NULL;

BOOL WINAPI DLLMain(HINATANCE hinstDll, DWORD dwReason, LPVOID lpvReserved){
	switch(dwReason){
		case DLL_PROCESS_ATTACH:
			g_hInstance=hinstDll;
			break;
			
		case DLL_PROCESS_DETACH:
			break;
	}
	return TRUE;
}

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam){
	char szPath[MAX_PATH]={0,};
	char *p=NULL;
	
	if(nCode=0){
		//0=key press, 1=key release
		if(!(lParam & 0x80000000)){   //释放键盘按钮时
			GetModuleFileNameA(NULL, szPath, MAX_PATH);
			p=strrchr(szPath,'\\');
			
			//比较当前进程名,若为notepad.exe则消息不会传递给应用程序
			if(!_stricmp(p+1, DEF_PROCESS_NAME))
				return 1;
		}
	}
	//若非notepad.exe,则调用CallNextHookEx()函数,将消息传给应用程序
	return CallNextHookEx(g_hHook, nCode, wParam, lParam);
}

#ifdef __cplusplus
extern "C" {
#endif
__ declspec(dllexport) void HookStart(){
	g_hHook=SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);
}
__declspec(dllexport) void HookStop(){
	if(g_hHook){
		UnhookWindowsHookEx(g_hHook);
		g_hHook=NULL;
	}
}
#ifdef __cplusplus
}
#endif
参考文献

《逆向工程核心原理》

你的名字5686
关注
专栏目录
简单的Windows消息钩取
T2hunz1
11-14 707
利用Windows消息钩取机制实现键盘监听。
我写的几篇技术文章之一:Windows消息拦截技术的应用
weixin_30408309的博客
05-20 130
Windows消息拦截技术的应用 民航合肥空管中心 周毅 一、前 言 众所周知,Windows程式的运行是依靠发生的事件来驱动。换句话说,程式不断等待一个消息的发生,然后对这个消息的类型进行判断,再做适当的处理。处理完此次消息后又回到等待状态。从上面对Windows程式运行机制的分析不难发现,消息在用户与程式之间进行交流时起了一种中间“语言”的作用。在程式中接收和处理消息的主角是窗口,...
逆向工程核心原理 之 windows消息钩取
wangtiankuo的博客
03-14 724
春节结束之后,感觉分析难一点的代码有点力不从新,尤其是模拟通信这一块。要是有的时候通信部分写的代码多一点,动态调试非常浪费时间,可是直接看伪代码我又看不懂,尤其是大片大片的没有名称的函数简直要我的命。之前分析成功一个远控木马,里面的通信是三层函数,靠着耐心算是分析出来了控制指令,也提取了特征,但是之后又遇到了一个样本,通信那一部分的函数超级多,看伪代码根本没头绪。我猜可能是我代码打的太少了,所以看...
Windows 消息钩取
4ct10n
11-21 1460
Windows 消息钩子的机理,对一些基本概念的补充
逆向工程核心原理——消息钩取
weixin_46601374的博客
12-07 4204
钩子(HOOK) 英文Hook一词,翻成中文是“钩子”、“鱼钩”的意思,泛指钓取所需东西而使用的一切工 具。“钩子”这一基本含义延伸发展为“偷看或截取信息时所用的手段或工具”。下面举例向各位 进一步说明“钩子”这一概念。 消息钩取 Windows操作系统向用户提供GUI (Graphic User Interface,图形用户界面),它以事件驱动 (Event Driven)方式工作。在操作系统中借助键盘、鼠标,选择菜单、按钮,以及移动鼠标、改 变窗口大小与位置等都是事件(Event )o发生这样的事
Windows消息钩子[键盘监控]
Hello World.c
12-08 1932
之前看书,看到一眼消息钩子,一直没实践,现在有空弄了下, 主要原理是利用windows自带SetWindowsHookEx API函数 HHOOK SetWindowsHookEx( int idHook,                     //hook形式 HOOKPROC lpfn           //hook过程 HINSTANCE hmod        //钩子所属的...
Windows消息处理机制--钩子实例
03-02
- `wParam` 和 `lParam` 的具体含义取决于钩子代码,通常包含有关发送或接收消息的信息。 #### 三、钩子的安装与释放 1. **安装钩子**:使用 `SetWindowsHookEx()` 函数可以将应用程序定义的钩子子程安装到钩子...
windows 消息钩取
m0_62690279的博客
04-27 2024
windows 消息钩取 当键盘发生输入事件时,键盘消息钩子就会提前获得消息的内容、类型 并且可以对其做出修改 实现消息钩子的api:SetWindowsHookEx HHOOK WINAPI SetWindowsHookEx( _In_ int idHook,            设置钩子的类型.意思就是我要设置的钩子是什么钩子. 可以是监视窗口过程.可以是监视消息队列. _In_ HOOKPROC lpfn,             根据钩子类型.设置不同的回调函数. _In_ H
关于HOOK,如何通过钩子截获指定窗口的所有消息 SetWindowsHookEx demo
热门推荐
q610098308的专栏
09-11 2万+
具体使用见demo , 请注意: 32位只能用win32库, 64位 需要用64位 库。64位可以hook64位程序,32位可以hook32位程序; SetWindowsHookEx 第三个参数为HINSTANCE,通过FindWindow找到指定窗口句柄后如何 得到该进程的HINSTANCE呢? 这个参数应该是你调用SetWindowsHookEx的DLL的模块实例句柄...
Python【WINAPI】钩子程序获取账号密码等键盘输入信息
深度学习领域优质创作者,CSDN博客专家
03-13 1045
# -*- coding: cp936 -*- import sys from ctypes import * from ctypes.wintypes import MSG from ctypes.wintypes import DWORD #1.使用windll:使用windll声明user32与kernel类型的变量。使用相应DLL提供的函数时, #格式为user32.API名称或ker...
Windows消息拦截技术的应用(Hook钩子)
lzzw的学习之路
08-25 8669
一、前 言 众所周知,Windows程式的运行是依靠发生的事件来驱动。换句话说,程式不断等待一个消息的发生,然后对这个消息的类型进行判断,再做适当的处理。处理完此次消息后又回到等待状态。从上面对Windows程式运行机制的分析不难发现,消息在用户与程式之间进行交流时起了一种中间“语言”的作用。在程式中接收和处理消息的主角是窗口,它通过消息泵接收消息,再通过一个窗口过程对消息进行相应的处理。 消息拦截的实现是在窗口过程处理消息之前拦截到消息并做相关处理后再传送给原窗口过程。通常情况下,程序员可以在窗口过程
windows简单消息勾取和dll注入
九层台
10-03 880
来源《逆向工程核心原理》 运行notepad.exe可以劫持notepad.exe的键盘输入 HookMain.cpp //HookMain.cpp #include"stdio.h" #include"conio.h" #include"windows.h" #define DEF_DLL_NAME "HookKey.dll" #define DEF_HOOKS
x64环境下键盘消息钩取
sdalin_1993的博客
09-02 524
《逆向工程核心原理》第21章Windows消息钩取 使用书上提供的历程在x86环境下正常运行,在x64环境下直接卡死,使用VS进行编译也卡死,是因为64位下和32位下调用SetWindowsHookEx()函数略有不同,只要在生成时将平台改为x64,就可以在64位平台上正常运行。
鼠标滚轮消息WM_MOUSEWHEEL
milanleon的专栏
03-05 5068
使用WM_MOUSEWHEEL,需要把CWnd设定为Focus。 afx_msg   BOOL   OnMouseWheel(   UINT   nFlags,   short   zDelta,   CPoint   pt   );     返回值:如果允许鼠标轮滚动,则返回非零值;否则返回0。     参数:        nFlags   指明是否按下了虚拟键。这个参数可以是下
Windows系统消息钩子HCk技术详解
"VC++ HOOK详解 - Windows系统下的消息拦截技术" 在Windows编程中,钩子(Hook)是一种强大的技术,允许程序员拦截和处理特定类型的系统事件或消息,包括键盘、鼠标输入以及其他各种系统级别的事件。这篇关于"VC++ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值