WH_DEBUG钩子

最新推荐文章于 2023-02-20 14:42:11 发布
最新推荐文章于 2023-02-20 14:42:11 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: 编程随想 文章标签: keyboard hook winapi callback null struct
 


以前在学习钩子的时候对于WH_DEBUG这个类型很是不解释,不知道它是做什么用的,在网上找了一找,发现也没有什么有价值的文章。在逆向分析“热血江湖”突然发现WH_DEBUG竟被用来进行反键盘记录(这是老版本,现在的版本已经用了最新的技术,原理没弄明白,哪位要是弄明白了,希望可以指点一下)。仔细研究了一下,弄明白了其中的原理,现在就介绍给一下。
首先要将WH_DEBUG介绍一下。WH_DEBUG为调试钩子,用来给钩子函数除错。在系统调用系统中与其他Hook关联的Hook钩子例程之前,系统会调用WH_DEBUG Hook钩子例程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook钩子例程。WH_DEBUG调用DebugProc钩子例程。
DebugProc语法:
LRESULT CALLBACK DebugProc(
   int nCode,
     WPARAM wParam,
     LPARAM lParam
)
nCode传递到钩子例程的钩子代码。
wParam指示当前即将被调用的钩子的类型,如WH_MOUSE,WH_KEYBOARD 参数。
lParam 指向DEBUGHOOKINFO 结构。
typedef struct
{
     DWORD idThread;
     DWORD idThreadInstaller;
     LPARAM lParam;
     WPARAM wParam;
     int code;
} DEBUGHOOKINFO, *PDEBUGHOOKINFO;
idThread 安装WH_DEBUG钩子的线程ID。
idThreadInstaller 当前即将被调用的钩子所在的线程ID。
lParam 当前即将被调用的钩子的lParam参数。
wParam 当前即将被调用的钩子的wParam参数。
Code 当前即将被调用的钩子的nCode参数。

返回值:当你已经处理了该钩子并且不希望即将被调用的钩子继续执行,则必须返回非0值 否则请返回CallNextHookEx的值。

进行反HOOK时只要知道判断idThread和idThreadInstaller是否相等就可了。如果相等,说明即将被调用的钩子是自己线程中钩子;如果不等,说明是其它线程中的钩子,只要返回非0值就可以了,这时即将被调用的钩子就不会执行了。
程序编写:
新建DLL工程,写入以下代码,然后调用InstallHook()安装WH_DEBUG钩子,调用UnInstallHook()卸载WH_DEBUG钩子。
#ifndef MYLIBAPI
#define MYLIBAPI extern "C" __declspec(dllimport)
#endif

HHOOK DEBUG_hhook;
HINSTANCE handle;

MYLIBAPI bool WINAPI InstallHook();
MYLIBAPI bool WINAPI UnInstallHook();

LRESULT CALLBACK DebugProc(int nCode, WPARAM wParam, LPARAM lParam) //WH_DEBUG钩子例程
{
   DEBUGHOOKINFO *debug=(DEBUGHOOKINFO *)lParam;
//如果要编写反键盘记录代码,可以改成
// if(debug->idThread!=debug->idThreadInstaller && wParam== WH_KEYBOARD)
//{
// return 1;
//}
   if(debug->idThread!=debug->idThreadInstaller)    //是否相等,如果不等则不执行
   {
     return 1;
   }
   return ::CallNextHookEx(DEBUG_hhook, nCode, wParam ,lParam);
}

BOOL APIENTRY DllMain( HINSTANCE hModule,
                        DWORD   ul_reason_for_call,
                        LPVOID lpReserved
            )
{
   handle=hModule;
     return TRUE;
}

bool WINAPI InstallHook()   //安装WH_DEBUG钩子
{
DEBUG_hhook=::SetWindowsHookEx(WH_DEBUG,(HOOKPROC)DebugProc,handle, NULL);
If(DEBUG_hhook==NULL)
Return false;
   return true;
}

bool WINAPI UnInstallHook()//卸载WH_DEBUG钩子
{
   UnhookWindowsHookEx(DEBUG_hhook);
   return true;
}
当然,破解这种方法的办法也很简单。比如你要用HOOK进行键盘拦截时,在安装WH_KEYBOARD时,同时安装一个WH_DEBUG钩子。这时你自己的WH_DEBUG钩子将拦截到你自己的WH_KEYBOARD,DEBUGHOOKINFO 结构中的lParam存放的是WH_KEYBOARD的lParam,wParam存放的是WH_KEYBOARD的wParam,只要在这里处理WH_KEYBOARD就可以了。因为HOOK链是按照后进先出的顺序执行的,所以你只要在反HOOK的WH_DEBUG之后安装WH_DEBUG,就可以在它之前进行处理了。
我只用这种方法进行过反键盘和鼠标,其它的钩子,我还没有试过,如果有什么不对的地方,还请大家指点!!!

yiyefangzhou24
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WHDebugTool::hammer:简单的调试小工具
05-17
WHDebugTool 1、快速使用 1.1 Pod或直接把WHDebugTool文件拖入项目 pod 'WHDebugTool', '~> 2.4' 1.2 导入头文件WHDebugToolManager.h 1.3 调用开关方法 一行代码开启或关闭监测。 // 这个方法调用的时候会判断监测是不是处于打开的状态,如果打开了则关闭,如果没有打开就开启。 [WHDebugToolManager toggleWith:DebugToolTypeAll]; 1.4 可选:也可以通过如下方式初始化和关闭 // 打开 + (void)showWith:(DebugToolType)type; // 关闭 + (void)hide; 2. 参数说明 初始化方法中带有一个枚举参数,可以让三种监测随意组合。例如只想要监测FPS,就传入DebugToolTypeFPS,如果想多种组合:DebugToolT
利用debug钩子拦截全局钩子 经典反黑客技术
fdgugfv的博客
11-04 232
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!                // 键盘钩子消息处理
win32调试——OutputDebugString
weixin_30847865的博客
01-13 91
win32下开发console程序可以直接用printf打印到控制台。 开发图形界面程序时,可以调用OutputDebugString将字符串输出到Debug窗口, 注意是要调试运行才能看到Debug窗口输出! 如果想像printf一样格式化输出,可以先用sprintf把要输出内容格式化成字符串, 然后再用OutputDebugString将此字符串输出。 转载于:https://www....
钩子教程 - 原理(二十一) : SetWindowsHookEx
weixin_30610755的博客
05-17 132
原文地址:http://www.zdexe.com/program/201004/595.html 方法16 :SetWindowsHookEx Function TheSetWindowsHookExfunction installs an application-defined hook procedure into a hook chain. You would install a ...
 windows HOOK技术调研 钩子
liyuanba2dai的博客
04-15 1097
1.简介 Windows消息传递机制,当在应用程序进行相关操作,例如点击鼠标、按下键盘,操作窗口等,操作系统能够感知这一事件,接着把此消息放到应用程序的消息序列中,应用程序通过Getmessage函数取出消息,然后调用DispatchMessage函数将这条消息调度给操作系统,操作系统会调用在设计窗口类时指定的应用程序窗口对这一消息进行处理,处理过程如图所示: ...
Hook API mingw DLL WH_MOUSE
11-26
WH_DEBUG 线程、系统 在系统调用其他钩子函数前执行的钩子,当然是除了WH_DEBUG了,不然会循环。 WH_FOREGROUNDIDLE 系统 系统空闲钩子,当系统空闲的时候调用钩子函数,这样就可以在这里安排一些优先级很低的任务 ...
SetWindowsHook 函数 钩子类型定义.docx
11-19
WH_DEBUG 钩子在系统调用系统中与其他钩子关联的钩子子程之前,系统会调用这个钩子子程。你可以使用这个钩子来决定是否允许系统调用与其他钩子关联的钩子子程。 WH_SHELL 钩子 WH_SHELL 钩子的作用尚不明确,需要...
消息钩子函数入门篇,初级的
05-03
8. **WH_DEBUG Hook**:在系统调用其他Hook子程之前,提供调试功能,可选择是否允许调用。 9. **WH_FOREGROUNDIDLE Hook**:在前台线程空闲时,执行低优先级任务。 10. **WH_GETMESSAGE Hook**:监视GetMessage或...
消息钩子函数入门.doc
10-31
- 程序调试:WH_DEBUG钩子有助于理解程序运行时的行为。 掌握钩子函数的使用,能够极大地扩展Windows应用程序的功能和控制力。然而,这也需要对Windows消息机制和多线程编程有深入的理解。在实际开发中,应谨慎使用...
vs2010 C# 键盘钩子
12-04
WH_DEBUG = 9, WH_SHELL = 10, WH_FOREGROUNDIDLE = 11, WH_CALLWNDPROCRET = 12, WH_KEYBOARD_LL = 13, WH_MOUSE_LL = 14, WH_MSGFILTER = -1, } public delegate IntPtr HookProc(int code, int wParam...
win7系统使用钩子WH_JOURNALRECORD和WH_JOURNALPLAYBACK
01-09
win7系统使用钩子WH_JOURNALRECORD和WH_JOURNALPLAYBACK进行操作的录制和回放。 vs2012开发。 附带exe签名详细步骤。
关于回调函数和钩子函数基础知识的整理
weixin_30633507的博客
01-04 934
回调函数:Callback Function什么是回调函数?首先做一个形象的比喻:   你有一个任务,但是有一部分你不会做,或者说不愿做,所以我来帮你做这部分,你做你其它的任务工作或者等着我的消息,但是当我完成的时候我要通知你我做好了,你可以用了,我怎么通知你呢?你给我一部手机,让我做完后给你打电话,我就打给你了,你拿到我的成果加到你的工作中,继续完成其它的工作.这就叫回叫,手机是我通知你的...
windows钩子、SetWindowsHookEx函数的使用
zyq031010的博客
02-20 2235
Windows 钩子技术相关
WIN32钩子
weixin_33717298的博客
08-12 523
摘译自Win32 Hooks 作者:Kyle Marsh 本文描述钩子及其子MS Win32应用编程接口中的使用,讨论钩子函数、 过滤函数、以及以下类型的钩子WH_CALLWNDPROC WH_CBT WH_DEBUG WH_FOREGROUNDIDLE WH_GETMESSAGE WH_JOURNALPLAYBA...
CALL是如何炼成的之理论篇
redsn0w的新家
05-06 1227
遇到一个CALL应该如何写? 这个是写一个内挂不可避免的问题.刚初学的朋友可能会不知道如何入手.想起刚学这方面的时候,绕过很多弯路,现在把一些经验写出来给大家参考参考吧,不是很高深的东西,但我觉得对某些人很有帮助. CALL是什么? CALL是汇编中的一个指令,CPU执行这条指令会执行2个动作 一:压入EIP入栈 二:跳转到后面的地址.  跟RETN指令配合就实现了汇编中子程序的作用,通常我们常说
使用调试钩子屏蔽全局钩子
huobengle
09-06 312
WH_DEBUG为调试钩子,用来给钩子函数除错。在系统调用系统中与其他Hook关联的Hook钩子例程之前,系统会调用WH_DEBUG Hook钩子例程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook钩子例程。WH_DEBUG调用DebugProc钩子例程。 DebugProc语法:LRESULT CALLBACK DebugProc( int nCode, ...
利用debug钩子拦截全局钩子,经典反黑客技术
热门推荐
尹成的技术博客
04-14 1万+
// 键盘钩子消息处理过程LRESULT CALLBACK DebugProc ( int nCode, WPARAM wParam, LPARAM lParam ){ if ( nCode == HC_ACTION ) {  PDEBUGHOOKINFO pDebugHookInfo = (PDEBUGHOOKINFO)lParam ;  switch ( wParam )  {  case W
wh_sysmsgfilter hook
最新发布
05-16
wh_sysmsgfilter hook是一种windows hook,用于拦截并修改系统消息的传递。在Windows操作系统中,所有的消息都是通过消息队列进行传递的,而wh_sysmsgfilter hook可以拦截这些消息,并根据需要进行修改或处理。 这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值