HOOK API (一)——HOOK基础+一个鼠标钩子实例

0x00 起因

最近在做毕业设计,有一个功能是需要实现对剪切板的监控和进程的防终止保护。原本想从内核层实现,但没有头绪。最后决定从调用层入手,即采用HOOK API的技术来挂钩相应的API,从而实现预期的功能。在这样的需求下,就开始学习了HOOK API。

0x01什么是HOOK API

HOOK(钩子,挂钩)是一种实现Windows平台下类似于中断的机制[24]。HOOK机制允许应用程序拦截并处理Windows消息或指定事件,当指定的消息发出后,HOOK程序就可以在消息到达目标窗口之前将其捕获,从而得到对消息的控制权,进而可以对该消息进行处理或修改,加入我们所需的功能。钩子按使用范围分,可分为线程钩子和系统钩子,其中,系统钩子具有相当大的功能,几乎可以实现对所有Windows消息的拦截、处理和监控。这项技术涉及到两个重要的API,一个是SetWindowsHookEx,安装钩子;另一个是UnHookWindowsHookEx,卸载钩子。

本文使用的HOOK API技术,是指截获系统或进程对某个API函数的调用,使得API的执行流程转向我们指定的代码段,从而实现我们所需的功能。Windows下的每个进程均拥有自己的地址空间,并且进程只能调用其地址空间内的函数,因此HOOK API尤为关键的一步是,设法将自己的代码段注入到目标进程中,才能进一步实现对该进程调用的API进行拦截。然而微软并没有提供HOOK API的调用接口,这就需要开发者自己编程实现,大家所熟知的防毒软件、防火墙软件等均采用HOOK API实现。

一般来说,HOOK API由两个组成部分,即实现HOOK API的DLL文件,和启动注入的主调程序。本文采用HOOK API 技术对剪切板相关的API 函数进行拦截,从而实现对剪切板内容的监控功能,同样使用该技术实现进程防终止功能。其中DLL文件支持HOOK API的实现,而主调客户端程序将在初始化时把带有HOOK API功能的DLL随着鼠标钩子的加载注入到目标进程中,这里的鼠标钩子属于系统钩子。

0x02 钩子的类型

1、按事件分类

有如下的几种常用类型

  (1) 键盘钩子和低级键盘钩子可以监视各种键盘消息。

  (2) 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。

  (3) 外壳钩子可以监视各种Shell事件消息。比如启动和关闭应用程序。

  (4) 日志钩子可以记录从系统消息队列中取出的各种事件消息。

  (5) 窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。

此外,还有一些特定事件的钩子提供给我们使用,不一一列举。

下面描述常用的Hook类型:

1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks

WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程,并且在窗口过程处理完消息之后调用WH_CALLWNDPROCRET Hook子程。WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT结构,再传递到Hook子程。CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值,同样也包括了与这个消息关联的消息参数。

2、WH_CBT Hook

在以下事件之前,系统都会调用WH_CBT Hook子程,这些事件包括:

1. 激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件;

2. 完成系统指令;

3. 来自系统消息队列中的移动鼠标,键盘事件;

4. 设置输入焦点事件;

5. 同步系统消息队列事件。

Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。

3、WH_DEBUG Hook

在系统调用系统中与其他Hook关联的Hook子程之前,系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。

4、WH_FOREGROUNDIDLE Hook

当应用程序的前台线程处于空闲状态时,可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时,系统就会调用WH_FOREGROUNDIDLE Hook子程。

5、WH_GETMESSAGE Hook

应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和键盘输入,以及其他发送到消息队列中的消息。

6、WH_JOURNALPLAYBACK Hook

WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到系统消息队列。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装,正常的鼠标和键盘事件就是无效的。WH_JOURNALPLAYBACK Hook是全局Hook,它不能象线程特定Hook一样使用。WH_JOURNALPLAYBACK Hook返回超时值,这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间(毫秒)。这就使Hook可以控制实时事件的回放。WH_JOURNALPLAYBACK是system-wide local hooks,它們不會被注射到任何行程位址空間。(估计按键精灵是用这个hook做的)

7、WH_JOURNALRECORD Hook

WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的,可以使用这个Hook记录连续的鼠标和键盘事件,然后通过使用WH_JOURNALPLAYBACK Hook来回放。WH_JOURNALRECORD Hook是全局Hook,它不能象线程特定Hook一样使用。WH_JOURNALRECORD是system-wide local hooks,它們不會被注射到任何行程位址空間。

8、WH_KEYBOARD Hook

在应用程序中,WH_KEYBOARD Hook用来监视WM_KEYDOWN and WM_KEYUP消息,这些消息通过GetMessage or PeekMessage function返回。可以使用这个Hook来监视输入到消息队列中的键盘消息。

9、WH_KEYBOARD_LL Hook

WH_KEYBOARD_LL Hook监视输入到线程消息队列中的键盘消息。

10、WH_MOUSE Hook

WH_MOUSE Hook监视从GetMessage 或者 PeekMessage 函数返回的鼠标消息。使用这个Hook监视输入到消息队列中的鼠标消息。

11、WH_MOUSE_LL Hook

WH_MOUSE_LL Hook监视输入到线程消息队列中的鼠标消息。

12、WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以监视菜单,滚动条,消息框,对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。WH_MSGFILTER Hook只能监视传递到菜单,滚动条,消息框的消息,以及传递到通过安装了Hook子程的应用程序建立的对话框的消息。WH_SYSMSGFILTER Hook监视所有应用程序消息。WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以在模式循环期间过滤消息,这等价于在主消息循环中过滤消息。通过调用CallMsgFilter function可以直接的调用WH_MSGFILTER Hook。通过使用这个函数,应用程序能够在模式循环期间使用相同的代码去过滤消息,如同在主消息循环里一样。

13、WH_SHELL Hook

外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时,系统调用WH_SHELL Hook子程。

WH_SHELL 共有5钟情況:

  • 只要有个top-level、unowned 窗口被产生、起作用、或是被摧毁;
  • 当Taskbar需要重画某个按钮;
  • 当系统需要显示关于Taskbar的一个程序的最小化形式;
  • 当目前的键盘布局状态改变;
  • 当使用者按Ctrl+Esc去执行Task Manager(或相同级别的程序)。

按照惯例,外壳应用程序都不接收WH_SHELL消息。所以,在应用程序能够接收WH_SHELL消息之前,应用程序必须调用SystemParametersInfo function注册它自己。

以上是13种常用的hook类型!

2、按使用范围分类

主要有线程钩子和系统钩子:

(1) 线程钩子监视指定线程的事件消息。

(2) 系统钩子监视系统中的所有线程的事件消息。因为系统钩子会影响系统中所有的应用程序,所以钩子函数必须放在独立的动态链接库(DLL)

中。这是系统钩子和线程钩子很大的不同之处。

  

几点需要说明的地方:

(1) 如果对于同一事件(如鼠标消息)既安装了线程钩子又安装了系统钩子,那么系统会自动先调用线程钩子,然后调用系统钩子。

(2) 对同一事件消息可安装多个钩子处理过程,这些钩子处理过程形成了钩子链。当前钩子处理结束后应把钩子信息传递给下一个钩子函数。而且最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。

(3) 钩子特别是系统钩子会消耗消息处理时间,降低系统性能。只有在必要的时候才安装钩子,在使用完毕后要及时卸载。

0x03编写钩子程序

编写钩子程序的步骤分为三步:定义钩子函数、安装钩子和卸载钩子。

1.定义钩子函数

  钩子函数是一种特殊的回调函数。钩子监视的特定事件发生后,系统会调用钩子函数进行处理。不同事件的钩子函数的形式是各不相同的。下面以鼠标钩子函数举例说明钩子函数的原型:

LRESULT CALLBACK HookProc(int nCode ,WPARAM wParam,LPARAM lParam)

参数wParam和 lParam包含所钩消息的信息,比如鼠标位置、状态,键盘按键等。nCode包含有关消息本身的信息,比如是否从消息队列中移出。

我们先在钩子函数中实现自定义的功能,然后调用函数 CallNextHookEx.把钩子信息传递给钩子链的下一个钩子函数。CallNextHookEx.的原型如下:

LRESULT CallNextHookEx( HHOOK hhk, int nCode, WPARAM wParam, LPARAM lParam )

参数 hhk是钩子句柄。nCode、wParam和lParam 是钩子函数。

当然也可以通过直接返回TRUE来丢弃该消息,就阻止了该消息的传递。

2.安装钩子

  在程序初始化的时候,调用函数SetWindowsHookEx安装钩子。其函数原型为:

HHOOK SetWindowsHookEx( int idHook,HOOKPROC lpfn, INSTANCE hMod,DWORD dwThreadId )

参数idHook表示钩子类型,它是和钩子函数类型一一对应的。比如,WH_KEYBOARD表示安装的是键盘钩子,WH_MOUSE表示是鼠标钩子等等。

  Lpfn是钩子函数的地址。

  HMod是钩子函数所在的实例的句柄。对于线程钩子,该参数为NULL;对于系统钩子,该参数为钩子函数所在的DLL句柄。

   dwThreadId 指定钩子所监视的线程的线程号。对于全局钩子,该参数为NULL。

  SetWindowsHookEx返回所安装的钩子句柄。

3.卸载钩子

当不再使用钩子时,必须及时卸载。简单地调用函数:

BOOL UnhookWindowsHookEx( HHOOK hhk)即可。

值得注意的是线程钩子和系统钩子的钩子函数的位置有很大的差别。线程钩子一般在当前线程或者当前线程派生的线程内,而系统钩子必须放在独立的动态链接库中,实现起来要麻烦一些。

0x04 一个实例——低级鼠标钩子程序

由0x02节,鼠标钩子类型有两个,一个是WH_MOUSE,另一个是WH_MOUSE_LL。其中WH_MOUSE_LL Hook,WH_MOUSE_LL Hook监视输入到线程消息队列中的鼠标消息。本例测试的是WH_MOUSE_LL。

参看上一小结可知,编写钩子程序的三个步奏是:

  1. 定义钩子函数:

LRESULT CALLBACK HookProc(int nCode ,WPARAM wParam,LPARAM lParam)

  1. 安装钩子:

HHOOK SetWindowsHookEx( int idHook,HOOKPROC lpfn, INSTANCE hMod,DWORD dwThreadId )

  1. 卸载钩子:

    BOOL UnhookWindowsHookEx( HHOOK hhk)

还需要注意一点:系统钩子必须放在独立的动态链接库中。由此,程序分为两个部分:一个是钩子程序动态链接库,实现了鼠标钩子程序;另一个是MFC操作窗体,对DLL进行加载和卸载,即对DLL进行测试。

  1. HOOK DLL的编写

新建项目——> Visual C++ ——> MFC DLL

自定义消息

#define WM_HOOKMSG WM_USER + 106    // 自定义消息

共享代码段,所有线程共享

#pragma data_seg("SHARED")

static HHOOK hhkMouse = NULL;            // 鼠标钩子句柄

static HINSTANCE g_hInstance = NULL;    // 本DLL的实例句柄

static HWND g_hWnd = NULL;                // 调用DLL的主窗口句柄

#pragma data_seg()

#pragma comment(linker,"/section:SHARED,rws")

定义低级鼠标子函数

LRESULT CALLBACK LowLevelMouseProc(int nCode,WPARAM wParam,LPARAM lParam)

{

// 有鼠标消息时,将其发给主程序

if ( g_hWnd != NULL && nCode == HC_ACTION)

{

::SendMessage(g_hWnd,WM_HOOKMSG,wParam,lParam);

}

return CallNextHookEx(hhkMouse,nCode,wParam,lParam);

}

安装低级鼠标子函数,从而截获系统所有的鼠标消息

BOOL WINAPI StartHookMouse(HWND hwnd)

{

g_hWnd = hwnd;

hhkMouse = SetWindowsHookEx(WH_MOUSE_LL,LowLevelMouseProc,g_hInstance,0);

if ( NULL == hhkMouse)

{

return FALSE;

}

else

{

return TRUE;

}

}

卸载低级鼠标钩子

VOID WINAPI StopHookMouse()

{

if (hhkMouse != NULL)

{

::UnhookWindowsHookEx(hhkMouse);

}

}

获取自身的DLL句柄

// ChookDllApp 初始化

BOOL ChookDllApp::InitInstance()

{

CWinApp::InitInstance();

//

// 获取自身的dll句柄

//

g_hInstance = ::AfxGetInstanceHandle();

return TRUE;

}

hookDll.def文件,钩子的加载和卸载函数

; hookDll.def : 声明 DLL 的模块参数。

LIBRARY "MouseHook"

EXPORTS

; 此处可以是显式导出

StartHookMouse

StopHookMouse

  1. MFC窗体编写

消息定义

#define WM_MOUSEMSG WM_USER + 106

添加消息映射

BEGIN_MESSAGE_MAP(ChookWindowDlg, CDialogEx)

//…… ……

ON_MESSAGE(WM_MOUSEMSG,&ChookWindowDlg::OnMouseMsg) //消息映射

END_MESSAGE_MAP()

鼠标钩子的加载和卸载

HINSTANCE g_hInstanceDll = NULL;

//

//    启动鼠标钩子

//

void ChookWindowDlg::OnBnClickedButtonStart()

{

// TODO: 在此添加控件通知处理程序代码

g_hInstanceDll = LoadLibrary(_T("hookDll.dll"));

if (NULL == g_hInstanceDll)

{

AfxMessageBox(_T("加载hookDll.dll失败"));

return;

}

typedef BOOL (CALLBACK *StartHookMouse)(HWND hwnd);

StartHookMouse startHook;

startHook = (StartHookMouse) ::GetProcAddress(g_hInstanceDll,"StartHookMouse");

if ( NULL == startHook )

{

AfxMessageBox(_T("获取 StartHookMouse 函数失败"));

return;

}

if (startHook(this->m_hWnd))

{

m_List.InsertItem(m_List.GetItemCount(),_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,1,_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,2,_T("启动鼠标钩子成功"));

}

else

{

m_List.InsertItem(m_List.GetItemCount(),_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,1,_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,2,_T("启动鼠标钩子失败"));

}

}

//

// 停止鼠标钩子HOOK

//

void ChookWindowDlg::OnBnClickedButtonHook()

{

// TODO: 在此添加控件通知处理程序代码

typedef VOID (CALLBACK *StopHookMouse)();

StopHookMouse stopHook;

g_hInstanceDll = LoadLibrary(_T("hookDll.dll"));

if ( g_hInstanceDll == NULL)

{

AfxMessageBox(_T("加载DLL失败"));

return;

}

stopHook = (StopHookMouse) ::GetProcAddress(g_hInstanceDll,"StopHookMouse");

if (stopHook == NULL)

{

m_List.InsertItem(m_List.GetItemCount(),_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,1,_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,2,_T("获取函数 StopHookMouse 失败"));

return;

}

else

{

stopHook();

m_List.InsertItem(m_List.GetItemCount(),_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,1,_T("0"));

m_List.SetItemText(m_List.GetItemCount()-1,2,_T("停止HOOKMOUSE成功"));

}

if (g_hInstanceDll != NULL)

{

::FreeLibrary(g_hInstanceDll);

}

// 确保list control 最后一行可见

m_List.EnsureVisible(m_List.GetItemCount()-1,FALSE);

}

参考

http://blog.csdn.net/arkblue/article/details/4307844

http://blog.csdn.net/friendan/article/details/12168273

HOOK API (一)——HOOK基础+一个鼠标钩子实例的更多相关文章

  1. 用js写一个鼠标坐标实例

    HTML代码 写一个div来作为鼠标区域 div中写一个span显示坐标信息 <body> <div id=""> <span></spa ...

  2. HOOK API(四)—— 进程防终止

    HOOK API(四) —— 进程防终止 0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API ...

  3. HOOK API(四) —— 进程防终止

    0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API的起因是因为要实现对剪切板的监控,后来面对 ...

  4. 汇编Ring 3下实现 HOOK API

    [文章标题]汇编ring3下实现HOOK API [文章作者]nohacks(非安全,hacker0058) [作者主页]hacker0058.ys168.com [文章出处]看雪论坛(bbs.ped ...

  5. 钩子编程(HOOK) 屏蔽全部按键、鼠标及系统功能键 (4)

    摘要:上篇文章<钩子编程(HOOK) 安装系统全局钩子>已经具体的解说了全局钩子的安装.本文将增强一下钩子的功能.实现屏蔽全部按键鼠标与系统功能键.要实现这个功能.须要安装两个全局钩子,& ...

  6. HOOK API(三)—— HOOK 所有程序的 MessageBox

    HOOK API(三) —— HOOK 所有程序的 MessageBox 0x00 前言 本实例要实现HOOK MessageBox,包括MessageBoxA和MessageBoxW,其实现细节与H ...

  7. 汇编 -- Hook API (MessageBoxW)

    说到HOOK.我看了非常多的资料和教程.无奈就是学不会HOOK.不懂是我的理解能力差.还是你们说的 不够明确,直到我看了下面这篇文章,最终学会了HOOK: http://blog.sina.com.c ...

  8. HOOK API入门之Hook自己程序的MessageBoxW(简单入门)

    说到HOOK,我看了很多的资料和教程,无奈就是学不会HOOK,不懂是我的理解能力差,还是你们说的 不够明白,直到我看了以下这篇文章,终于学会了HOOK: http://blog.sina.com.cn ...

  9. HOOK API(三) —— HOOK 所有程序的 MessageBox

    转载来源:https://www.cnblogs.com/hookjc/ 0x00 前言 本实例要实现HOOK MessageBox,包括MessageBoxA和MessageBoxW,其实现细节与H ...

随机推荐

  1. linux重新编译内核

    一.linux内核 1.查看linux内核版本 uname -r 2.下载对应的linux内核 https://www.kernel.org/pub/linux/kernel/ 将内核文件夹解压到/u ...

  2. 回收进程用户空间资源 exit()函数 _exit()函数 atexit()函数 on_exit()函数

    摘要:本文主要讲述进程的终止方式,以及怎样使用exit()函数来终止进程.回收进程用户空间资源:分析了exit()函数与_exit()函数,returnkeyword的差异.同一时候具体解读了怎样使用 ...

  3. Android 教你打造炫酷的ViewPagerIndicator 不仅仅是高仿MIUI

    1.概述 哈,今天给大家带来一个ViewPagerIndicator的制作,相信大家在做tabIndicator的时候,大多数人都用过 TabPageIndicator,并且很多知名APP都使用过这个 ...

  4. Fix Some bytes have been replaced with the Unicode substitution character while loading file XXX.cs with Chinese Simplified (GB2312) encoding

    When we use <strong>visual studio</strong> open source file or any other file, we may en ...

  5. SqLite 使用 Dapper 查询INTEGER类型的主键问题

    在程序实体定义时: public int TableID { get; set; } 使用Dapper查询SqLite数据库时会报错 Error parsing column (= - Int64) ...

  6. 利用mapreduce清洗日志内存不足问题

    package com.libc; import java.io.IOException; import java.io.UnsupportedEncodingException; import ja ...

  7. android 文件操作类简易总结

    android 文件操作类(参考链接) http://www.cnblogs.com/menlsh/archive/2013/04/02/2997084.html package com.androi ...

  8. node中的get请求和post请求的不同操作【node学习第五篇】

    获取get的请求内容 /** * Created by Administrator on 2016/8/5. */ var http = require("http"); var ...

  9. xhprof failed to execute cmd: " dot -Tpng". stderr: `sh: dot: command not found '

    wget http://www.graphviz.org/pub/graphviz/ARCHIVE/graphviz-2.28.0.tar.gz tar xzvf graphviz-2.28.0.ta ...

  10. NETTY 编码器介绍

    1. 背景 1.1. 编解码技术 通常我们也习惯将编码(Encode)称为序列化(serialization),它将对象序列化为字节数组,用于网络传输.数据持久化或者其它用途. 反之,解码(Decod ...