windows下钩子的使用

最新推荐文章于 2022-09-27 11:56:07 发布
最新推荐文章于 2022-09-27 11:56:07 发布
阅读量2.3k 收藏
点赞数
分类专栏: VC 6.0/MFC 
钩子使用指南     
    
  钩子的概念   
    钩子机制允许应用程序截获处理window消息或特定事件。与DOS中断截获处理机制有类似之处。钩子(Hook),是Windows消息处理机制的一个平台(point),应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。每一个hook都有一个与之相关联的指针列表,称之为钩子链表,该链表中的指针指向这个钩子的各个处理子程。一个钩子处理一种类型的消息。当钩子所监视的消息出现时,Windows调用链表中的第一个钩子子程。某些类型的钩子只能在系统范围内设置处理子程,其余类型的钩子还可以在特定的线程中设置(用SetWindowsHookEx设置)。对于某一特定类型的钩子(它处理某一类型的消息),线程钩子子程被先调用,接着是系统钩子子程。钩子子程是一个应用程序定义的回调函数(callback   function),不能定义成某个类的成员函数,只能定义为普通的C函数。例如:   
    LRESULT   CALLBACK   HookProc(int   nCode   ,WPARAM   wParam,LPARAM   lParam)   
    
  钩子的设置   
    可以使用API函数SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。所安装的钩子子程用以监视系统或某一特定类型的事件,这些事件可以是与某一特定线程关联的,也可以是系统中所有线程的事件。   
    HHOOK   SetWindowsHookEx(     
       int   idHook,   //   钩子的类型,即它处理的消息类型   
       HOOKPROC   lpfn,   //   钩子子程的地址指针。如果dwThreadId参数为0     
               或是一个由别的进程创建的线程的标识,lpfn必   
               须指向DLL中的钩子子程。除此以外,lpfn可以   
               指向当前进程的一段钩子子程代码。     
       HINSTANCE   hMod,   //   应用程序实例的句柄。标识包含lpfn所指的子程   
               的DLL。如果dwThreadId   标识当前进程创建的一   
               个线程,而且子程代码位于当前进程,hMod必须   
               为NULL。     
       DWORD   dwThreadId   //   与安装的钩子子程相关联的线程的标识符,   
               如果为0,钩子子程与所有的线程关联。   
       );     
    函数成功则返回钩子子程的句柄,失败返回NULL。   
    以上所说的钩子子程与线程相关联是指在一钩子链表中发给该线程的消息同时发送给钩子子程,且被钩子子程先处理。   
    虽然这并不是强制的,但一般推荐在钩子子程中调用CallNextHookEx()函数以执行钩子链表所指的下一个钩子子程。否则安装了别的钩子的应用程序就会收不到钩子通知,从而产生错误的结果。除非确实需要禁止向别的应用程序发通知,否则应调用CallNextHookEx()。程序终止之前,必须调用UnhookWindowsHookEx()函数释放钩子关联的系统资源。   
    
  钩子的实例   
    //找到要截获其消息的窗口的句柄   
    HWND   hWnd=::FindWindow(   
                "#32770",//LPCTSTR   lpClassName,     
                NULL   //LPCTSTR   lpWindowName     
                );     
    if(hWnd)   //如果窗口句柄非零,则设置钩子,   
      HHOOK   oldkeyhook=SetWindowsHookEx(   
               WH_KEYBOARD,   //截获键盘消息的钩子类型   
               (HOOKPROC)KeyBoardProc,   //钩子子程地址   
               //包含钩子子程的动态链接库的地址   
               GetModuleHandle("hookdll.dll"),     
               //得到创建该窗口的线程的标识   
               GetWindowThreadProcessId(hWnd,NULL));   
    
    释放钩子函数的资源:   
            UnhookWindowsHookEx(oldkeyhook);   
    
  钩子消息处理函数:   
    建议在动态链接库中实现钩子消息处理函数,这样比较不容易犯错误。   
    下面是钩子消息处理函数的例子:   
    LRESULT   CALLBACK   KeyBoardProc(int   nCode,   WPARAM   wParam,   LPARAM   lParam)   
    {   
      //当接收到的消息为WM_KEYUPSH时,存储字符到文件log.sys中   
      if(lParam&0x80000000)   
      {   
        char   code=(char)wParam;   
    CFile     
    file("c:\\log.sys",CFile::modeCreate|CFile::modeNoTruncate|CFile::modeWrite);   
         file.SeekToEnd();   
         file.Write(&code,1);   
         file.Close();   
      }     
      //调用CallNextHookEx()函数,并返回该函数的返回值。   
      return   CallNextHookEx(oldkeyhook,   nCode,   wParam,   lParam);   
    }
夜空划过的流星
关注
专栏目录
windows钩子
01-30
有关windows钩子的工程文件,包括实现全局windows钩子的dll工程和windows钩子的应用实例工程两部分,windows钩子工程同时实现了鼠标和键盘钩子,本工程可以作为windows钩子应用的框架,加以改造后就可以实现不同的功能。
Windows钩子机制详解
12-31
一、概述: 了解windows程序设计的人都知道,...二、Windows钩子程序的编制 编制Windows钩子程序,需要用到几个SDK中的API函数。下面列出这几个函数的原型及说明: HHOOK SetWindowsHookEx( int idHook, HOOK_
Windows 钩子
GAME-LAB(游戏开发,微信公众号:fury-programer)
02-28 994
 Windows钩子Windows应用程序的运行模式是基于消息驱动的,任何线程只要注册了窗口类就会有一个消息队列来接收用户的输入消息和系统消息。为了取得特定线程接收或发送的消息,就要 Windows提供的钩子。 钩子的概念 钩子(Hook)是Windows消息处理机制中的一个监视点,应用程序可以在这里安装一个子程序(钩子函数)以监视指定窗口某种类型的消息,所监视的窗口可以是
利用钩子函数来捕捉键盘响应的windows应用程序.(转)
song530061187的专栏
11-03 1385
[C++与WIN32与MFC]利用钩子函数来捕捉键盘响应的windows应用程序.(转)软件技术 codebee 发表于 2005-9-28 11:53:00
Windows下的钩子
wodamazi
09-21 207
Windows下的钩子 2011-9-9 API钩子应用程序将kernel32.dll加载到自己的私有空间0x0001000~0x7FFE0000之间,所以本地进程只要能访问目标进程的地址空间,就可以直接重写kernel32.dll中或应用程序导入表中的任何函数。通过利用机器码重写DLL文件中特定的文件或重写目标应用程序中的导入表,使其指向自己想要的函数。利用这种方式,可以完成隐藏进程,隐藏网...
windows核心编程系列》十八谈谈windows钩子
系统运维
12-01 905
windows应用程序是基于消息驱动的。各种应用程序对各种消息作出响应从而实现各种功能。 windows钩子windows消息处理机制的一个监视点,通过安装钩子可以达到监视指定窗口某种类型的消息的功能。所谓的指定窗口并不局限于当前进程的窗口,也可以是其他进程的窗口。当监视的某一消息到达指定的窗口时,在指定的窗口处理消息之前,钩子函数将截获此消息,钩子函数既可以加工处理该消息,也可以不作任何...
WPF 使用windows钩子监控键盘
11-27
Windows钩子是一种机制,允许应用程序在系统级安装一个函数,该函数会在特定事件发生时被调用,如键盘输入。在C#中,我们通常使用P/Invoke(Platform Invoke)技术来调用这些API函数。下面将详细解释如何在WPF应用中...
Windows鼠标钩子及键盘钩子
04-12
早些年用VC++写的鼠标钩子及键盘钩子示例程序,非常详细。 支持的钩子类型如下: WH_KEYBOARD WH_KEYBOARD_LL WH_MOUSE WH_MOUSE_LL 附件包含VC++6.0和VC++ 2013工程
Windows钩子
ypy_datou的专栏
02-15 545
一、钩子 为了监视或控制windows的系统事件,windows提供钩子技术。Windows应用可以安装一个子进程来监控windows中消息的往来,还能把消息到达目的窗口过程之前处理某种类型的消息。 Windows系统为每种类型的钩子管理一个独立的钩子链。钩子链是Windows应用程序定义回调函数的指针列表。Windows会把该消息一个接着一个传给每一个钩子链的钩子过程(回调函数)。有些类型钩子过程只能监控消息。有些类型钩子过程能够禁止消息到达下一个钩子过程或目的窗口。 二、钩子过程 ...
9.2 Windows钩子
qq_36314864的博客
09-27 1297
9.2 Windows钩子
Windows钩子教程
10-23
windows钩子入门教程,适合新手。 来源:一路采撷 Blog:http://blog.csdn.net/MaybeHelios/
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
独立的键盘钩子,用来hook键盘的一个小程序,很值得看看
12-29
这个程序是用来hook键盘的,而且是一个全局hook,但是程序并没有用全局的,所以是个不错的程序,这个程序是在console台下运行的,你也可以改写该代码
WINDOWS钩子函数(HOOK)
shailen126的专栏
07-24 940
   WINDOWS钩子函数的功能非常强大,      有了它您可以探测其它进程并且改变其它进程的行为。  理论:  WINDOWS钩子函数可以认为是WINDOWS的主要特性之一。利用它们,您可以捕捉您自己进程或其它进程发生的事件。 通过“挂钩”,您可以给WINDOWS一个处理或过滤事件的回调函数,该函数也叫做“钩子函数”,当每次发生您感兴趣的事件时,WINDOWS
windows hook(钩子)--进程钩子
qq_38409301的博客
11-28 3142
先了解windows消息机制原理: 地址: windows消息机制了解和代码实战_qq_1410888563的博客-CSDN博客 1.hook处理windows消息机制原理 2.钩子分为两种 1.进程内钩子:只对当前进程起作用 2.全局钩子:对系统中所有的进程起作用 1.进程钩子代码 #include <Windows.h> //回调函数 LRESULT CALLBACK WindowProc(HWND hWnd, UINT uMSg, WPARAM wParam, L.
Windows钩子使用
热门推荐
其疾如风 其徐如林 侵略如火 不动如山
08-08 1万+
我们知道Windows中的窗口程序是基于消息,由事件驱动的,在某些情况下可能需要捕获或者修改消息,从而完成一些特殊的功能(MFC框架就利用Windows钩子对消息进行引导)。对于捕获消息而言,无法使用IAT或Inline Hook之类的方式去进行捕获,这就要用到接下来要介绍的Windows提供的专门用于处理消息的钩子函数。 1. 挂钩原理 Windows下的应用程序大部分都是基于消息机
Windows 钩子,基本的dll注入
ez scope
04-03 3759
Windows操作系统是基于钩子完成的消息传递与用户交互,它以事件驱动的方式运行。每一个窗口都拥有自己的消息队列,当外部设备触发消息时,消息被发送到系统消息队列,再有操作系统安排将消息发送到特定进程上,这即是消息链。 所谓消息钩子,即是在系统将消息发送到用户程序前,提前截获此消息,并进行处理,也可以把它直接发送给用户程序。如: 当键盘(外部设备)发生键盘输入时,WM_KEYBOARD消息被添加
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值