一、HOOk

Hook是程序设计中最为灵活多变的技巧之一,在windows下,Hook有两种含义:

1、系统提供的消息Hook机制

2、自定义的Hook编程技巧

其中,由系统提供的消息钩子机制是由一系列的API提供的一种服务,这个系统的API可以完成对大多数应用程序关键节点的Hook操作,为此,windows为每种Hook类型维护了一个钩子链表,我们可以通过一个系统API来完成对整个系统所有符合此机制的关键点的Hook。

另一种自定义的Hook编程技巧则是基于特定系统结构、文件结构、汇编语言的一种高级技术,运用自如后犹如手握屠龙刀倚天剑。

二、系统消息钩子的使用

windows操作系统是以事件驱动的。事件被包装成了消息发送给窗口,比如点击菜单,按钮,移动窗口,按下键盘,正常消息:

  1. 当按下键盘,产生一个消息,按键消息加入到系统消息队列
  2. 操作系统从消息队列中取出消息,添加到相应的程序的消息队列中
  3. 应用程序使用消息磊从自身的消息队列中取出消息WM_KEYDOWN,调用消息处理函数。
  4. 我们可以在系统消息队列之间添加消息钩子,从而使得在系统消息队列消息发给应用程序之前捕获到消息。
  5. 可以多次添加钩子,从而形成一个钩子链,可以依次调用函数。
  6. 消息钩子是windows操作系统提供的机制,SPY++截获窗口消息的功能就是基于这样的机制。

SetWindowsHookExW

设置钩子

  1. WINUSERAPI
  2. HHOOK
  3. WINAPI
  4. SetWindowsHookEx(
  5. //钩子类型
  6. _In_ int idHook,
  7. //回调函数地址
  8. _In_ HOOKPROC lpfn,
  9. //实例句柄(包含有钩子函数)
  10. _In_opt_ HINSTANCE hmod,
  11. //线程ID,欲勾住的线程(为0则不指定,全局)
  12. _In_ DWORD dwThreadId);

能够设置的钩子类型

宏值 含义
WH_MSGFILTER 截获用户与控件交互的消息
WH_KEYBOARD 截获键盘消息
WH_GETMESSAGE 截获从消息队列送出的消息
WH_CBT 截获系统基本消息,激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件
WH_MOUSE 截获鼠标消息
WH_CALLWNDPROCRET 截获目标窗口处理完毕的消息

CallNextHookEx

为钩子链中的下一个子程序设置钩子。在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另外一个 SDK中的API函数CallNextHookEx来传递它,以执行钩子链表所指的下一个钩子子程。


  1. WINUSERAPI
  2. LRESULT
  3. WINAPI
  4. CallNextHookEx(
  5. //钩子句柄,由SetWindowsHookEx()函数返回。
  6. _In_opt_ HHOOK hhk,
  7. //钩子事件代码,回调函数的钩子过程的事件代码
  8. _In_ int nCode,
  9. //传给钩子子程序的wParam值
  10. _In_ WPARAM wParam,
  11. //传给钩子子程序的lParam值
  12. _In_ LPARAM lParam);

UnhookWindowsHookEx

卸载钩子API,钩子在使用完之后需要用UnhookWindowsHookEx()卸载,否则会造成麻烦。


  1. WINUSERAPI
  2. BOOL
  3. WINAPI
  4. UnhookWindowsHookEx(
  5. //要删除的钩子的句柄。这个参数是上一个函数SetWindowsHookEx的返回值.
  6. _In_ HHOOK hhk);

返回值

类型: BOOL

如果函数成功,返回值为非零值。

如果函数失败,返回值为零。

要获得更多的错误信息,调用GetLastError函数.

GetKeyboardState

256个虚拟键的状态复制到指定的缓冲区。


  1. WINUSERAPI
  2. _Check_return_
  3. BOOL
  4. WINAPI
  5. GetKeyboardState(
  6. //指向一个256字节的数组,数组用于接收每个虚拟键的状态。
  7. _Out_writes_(256) PBYTE lpKeyState);

返回值

若函数调用成功,则返回非0值。若函数调用不成功,则返回值为0。若要获得更多的错误信息,可以调用GetLastError函数。

操作方法

将设置消息钩子的函数写在一个DLL中,当钩住一个GUI线程后,产生消息时,假如系统发现包含钩子函数的DLL不在本进程中,就会将此DLL强行的加载到对方的进程中。

1、新建一个DLL项目,DllMain函数中将模块地址保存在一个模块变量中

dllmain.cpp内容

  1. #include "stdafx.h"
  2. HMODULE g_Module = 0;
  3. BOOL APIENTRY DllMain( HMODULE hModule,
  4. DWORD ul_reason_for_call,
  5. LPVOID lpReserved
  6. )
  7. {
  8. switch (ul_reason_for_call)
  9. {
  10. case DLL_PROCESS_ATTACH:
  11. g_Module = hModule;
  12. break;
  13. case DLL_THREAD_ATTACH:
  14. case DLL_THREAD_DETACH:
  15. case DLL_PROCESS_DETACH:
  16. break;
  17. }
  18. return TRUE;
  19. }

新建MessageHook.h头文件,声明C语法的函数名

MessageHook.h 内容

  1. #pragma once
  2. extern"C" _declspec(dllexport) bool OnHook();
  3. extern"C" _declspec(dllexport) bool UnHook();

新建MessageHook.cpp文件,实现OnHook()与UnHook()函数的用法

  1. #include "stdafx.h"
  2. #include "MessageHook.h"
  3. #include "wchar.h"
  4. #include "stdlib.h"
  5. extern HMODULE g_Module;
  6. HHOOK g_Hook = 0;
  7. //钩子回调函数
  8. LRESULT CALLBACK KeyboardProc(
  9. _In_ int code,
  10. _In_ WPARAM wParam,
  11. _In_ LPARAM lParam
  12. )
  13. {
  14. // 判断是否wParam与lParam都有键盘消息,是的话则执行打印操作
  15. if (code == HC_ACTION){
  16. // 将256个虚拟键的状态拷贝到指定的缓冲区中,如果成功则继续
  17. BYTE KeyState[256] = { 0 };
  18. //虚拟键盘码存储
  19. if (GetKeyboardState(KeyState)) {
  20. // 得到第16–23位,键盘虚拟码
  21. LONG KeyInfo = lParam;
  22. UINT keyCode = (KeyInfo >> 16) & 0x00ff;
  23. WCHAR wKeyCode = 0;
  24. ToAscii((UINT)wParam, keyCode, KeyState, (LPWORD)&wKeyCode, 0);
  25. // 将其打印出来
  26. WCHAR szInfo[512] = { 0 };
  27. swprintf_s(szInfo, _countof(szInfo), L"Hook--键盘记录-->%c", (char)wKeyCode);
  28. //将内容输出到debug信息中
  29. OutputDebugString(szInfo);
  30. return 0;
  31. }
  32. }
  33. return CallNextHookEx(g_Hook, code, wParam, lParam);
  34. }
  35. bool OnHook()
  36. {
  37. if (g_Hook == 0)
  38. {
  39. g_Hook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_Module, 0);
  40. return true;
  41. }
  42. return false;
  43. }
  44. bool UnHook()
  45. {
  46. if (g_Hook!=0)
  47. {
  48. return UnhookWindowsHookEx(g_Hook);
  49. }
  50. return false;
  51. }

2、新建VS控制台项目

调用前一个DLL项目的头文件MessageHook.h与生成后的lib文件MessageHook.lib

mian.cpp内容

  1. #include "stdafx.h"
  2. #include"..\MessageHook\MessageHook.h"
  3. #pragma comment(lib,"../Debug/MessageHook.lib")
  4. int _tmain(int argc, _TCHAR* argv[])
  5. {
  6. OnHook();
  7. printf("按任意键停止");
  8. getchar();
  9. UnHook();
  10. return 0;
  11. }

演示图:

三、自定义钩子的使用

钩子的主要含义其实是改变程序原有的执行流程,让程序执行我们自己的代码。我们可以通过修改程序代码的方式来实现这一点。 还有一种情况是要调用的函数存储在某一个地方,需要调用这个函数的时候,去相应的位置找到函数地址。

假如们能够提前修改掉某些位置存储的函数地址,将其改为我们自己的函数u,那么当调用目标函数的时候,就会调用我们自己的函数。

而代码修改跳转地址需要代入一个公式:

  • JMP 指令地址换算公式
  • 地址偏移 = 目标地址 - JMP所在地址 -5

操作方法

DLL主要是为了截获exe里的所有调用MessageBox API的按钮,HOOK后调用的是我们自己的自定义函数

dllmain.cpp内容

  1. // dllmain.cpp : 定义 DLL 应用程序的入口点。
  2. #include "stdafx.h"
  3. //关闭HOOK函数
  4. void OffHook();
  5. //HOOK函数
  6. void OnHook();
  7. char NewCode[5] = {};
  8. char OldCode[5] = {};
  9. //劫持MessageBox,替换的自定义函数
  10. int WINAPI MyMessageBoxW(
  11. _In_opt_ HWND hWnd,
  12. _In_opt_ LPCWSTR lpText,
  13. _In_opt_ LPCWSTR lpCaption,
  14. _In_ UINT uType)
  15. {
  16. DWORD dwResault = 0;
  17. lpText = L"你的按钮已经被Hook";
  18. OffHook();
  19. dwResault = MessageBox(hWnd, lpText, lpCaption, uType);
  20. OnHook();
  21. return dwResault;
  22. }
  23. void OnHook()
  24. {
  25. DWORD dwOld = 0;
  26. //修改一块虚拟内存的属性,设置为可写可执行
  27. VirtualProtect(MessageBoxW, 1, PAGE_EXECUTE_READWRITE, &dwOld);
  28. memcpy(MessageBoxW, NewCode, 5);
  29. VirtualProtect(MessageBoxW, 1, dwOld, &dwOld);
  30. }
  31. void OffHook()
  32. {
  33. DWORD dwOld = 0;
  34. VirtualProtect(MessageBoxW, 1, PAGE_EXECUTE_READWRITE, &dwOld);
  35. memcpy(MessageBoxW, OldCode, 5);
  36. VirtualProtect(MessageBoxW, 1, dwOld, &dwOld);
  37. }
  38. BOOL APIENTRY DllMain( HMODULE hModule,
  39. DWORD ul_reason_for_call,
  40. LPVOID lpReserved
  41. )
  42. {
  43. switch (ul_reason_for_call)
  44. {
  45. case DLL_PROCESS_ATTACH:
  46. {
  47. //准备基本工作
  48. NewCode[0] = 0xE9; //实际上0xe9就相当于jmp指令
  49. //地址偏移 = 目标地址-JMP所在地址-5
  50. DWORD dwOffset = (DWORD)MyMessageBoxW - (DWORD)MessageBoxW - 5;
  51. //*(DWORD*)(NewCode + 1) = dwOffset;
  52. memcpy(NewCode + 1, &dwOffset, 4);
  53. memcpy(OldCode, MessageBoxW, 5);
  54. //
  55. OnHook();
  56. }
  57. break;
  58. case DLL_THREAD_ATTACH:
  59. break;
  60. case DLL_THREAD_DETACH:
  61. break;
  62. case DLL_PROCESS_DETACH:
  63. //OffHook();
  64. break;
  65. }
  66. return TRUE;
  67. }

演示图:

使用15PB的tSourceCounter做MessageBox hook测试

参考:

HOOK学习笔记与心得

http://bbs.pediy.com/thread-193729.htm

【windows核心编程】系统消息与自定义钩子(Hook)使用的更多相关文章

  1. 《windows核心编程系列》十八谈谈windows钩子

    windows应用程序是基于消息驱动的.各种应用程序对各种消息作出响应从而实现各种功能. windows钩子是windows消息处理机制的一个监视点,通过安装钩子能够达到监视指定窗体某种类型的消息的功 ...

  2. 《Windows核心编程系列》十四谈谈默认堆和自定义堆

    堆 前面我们说过堆非常适合分配大量的小型数据.使用堆可以让程序员专心解决手头的问题,而不必理会分配粒度和页面边界之类的事情.因此堆是管理链表和数的最佳方式.但是堆进行内存分配和释放时的速度比其他方式都 ...

  3. C++Windows核心编程读书笔记

    转自:http://www.makaidong.com/%E5%8D%9A%E5%AE%A2%E5%9B%AD%E6%96%87/71405.shtml "C++Windows核心编程读书笔 ...

  4. 【转】《windows核心编程》读书笔记

    这篇笔记是我在读<Windows核心编程>第5版时做的记录和总结(部分章节是第4版的书),没有摘抄原句,包含了很多我个人的思考和对实现的推断,因此不少条款和Windows实际机制可能有出入 ...

  5. Windows核心编程随笔

    最近在学习Windows底层原理,准备写个系列文章分享给大家,Michael Li(微软实习期间的Mentor,为人超好)在知乎回答过一些关于学习Windows原理的书籍推荐,大家可以拜读其中一本来入 ...

  6. 【windows核心编程】 第六章 线程基础

    Windows核心编程 第六章 线程基础 欢迎转载 转载请注明出处:http://www.cnblogs.com/cuish/p/3145214.html 1. 线程的组成 ①    一个是线程的内核 ...

  7. 《Windows核心编程》读书笔记 上

    [C++]<Windows核心编程>读书笔记 这篇笔记是我在读<Windows核心编程>第5版时做的记录和总结(部分章节是第4版的书),没有摘抄原句,包含了很多我个人的思考和对 ...

  8. 《windows核心编程系列》十九谈谈使用远程线程来注入DLL。

    windows内的各个进程有各自的地址空间.它们相互独立互不干扰保证了系统的安全性.但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作.虽然他们是为调试 ...

  9. 《windows核心编程系列》十七谈谈dll

    DLL全称dynamic linking library.即动态链接库.广泛应用与windows及其他系统中.因此对dll的深刻了解,对计算机软件开发专业人员来说非常重要. windows中所有API ...

  10. 《windows核心编程系列》十六谈谈内存映射文件

    内存映射文件允许开发人员预订一块地址空间并为该区域调拨物理存储器,与虚拟内存不同的是,内存映射文件的物理存储器来自磁盘中的文件,而非系统的页交换文件.将文件映射到内存中后,我们就可以在内存中操作他们了 ...

随机推荐

  1. [USACO 2018 Open Contest]作业总结

    t1-Out of Sorts 题目大意 将最大的数冒泡排序到最后需要多少次操作. 分析 排序后判断距离. ac代码 #include<bits/stdc++.h> #define N 1 ...

  2. Luogu 1081 【NOIP2012】开车旅行 (链表,倍增)

    Luogu 1081 [NOIP2012]开车旅行 (链表,倍增) Description 小A 和小B决定利用假期外出旅行,他们将想去的城市从1到N 编号,且编号较小的城市在编号较大的城市的西边,已 ...

  3. 【POJ1734】Sightseeing Trip 无向图最小环

    题目大意:给定一个 N 个顶点的无向图,边有边权,如果存在,求出该无向图的最小环,即:边权和最小的环,并输出路径. 题解:由于无向图,且节点数较少,考虑 Floyd 算法,在最外层刚开始遍历到第 K ...

  4. [Nginx] – 性能优化 – 配置文件优化

    Nginx基本安全优化 1.调整参数隐藏Nginx版本号信息     一般来说,软件的漏洞都和版本有关,因此我们应尽量隐藏或清除Web服务队访问的用户显示各类敏感信息(例如:Web软件名称及版本号等信 ...

  5. Windows7 64下搭建Caffe+python接口环境

    参考链接: http://www.cnblogs.com/yixuan-xu/p/5858595.html http://www.cnblogs.com/zf-blog/p/6139044.html ...

  6. 面向对象【day07】:面向对象概念介绍(二)

    本节内容 1.概念 2.特性 3.面向对象介绍 一丶概念 1.面向对象编程 OOP(Object-Oriented Programming)编程是利用“类”和“对象”来创建各种模型来实现对真实世界的描 ...

  7. 学习windows编程 day1

    #include <windows.h> #include <strsafe.h> /* 任务:去掉标题栏和边框 */ //#define LineHeight 15 这是自己 ...

  8. hp电脑重装win7 64位 后 所有软件都装不上问题【转】

    hp 电脑重装后 所有软件都装不上问题 装了近100来次机,第一次遇到这样的. bug描述: 新笔记本刚装了纯净版的64位旗舰版win7,想装软件,就弹出已停止工作.比如装火狐浏览器,弹出火狐浏览器网 ...

  9. Java编程思想 学习笔记9

    九.接口 接口和内部类为我们提供了一种将接口与实现分离的更加结构化的方法. 1.抽象类和抽象方法  抽象类是普通的类与接口之间的一种中庸之道.创建抽象类是希望通过这个通用接口操纵一系列类. Java提 ...

  10. ubuntu16.04.1下安装mysql

    版本信息 ubuntu版本:16.04.1 mysql-server版本:5.7.23 安装 先查看一下apt可获取的mysql版本 ubuntu@VM-0-4-ubuntu:~$ apt searc ...