Windows Hook链机制详解

最新推荐文章于 2024-03-07 10:41:21 发布
原创 最新推荐文章于 2024-03-07 10:41:21 发布 · 833 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

本文详细探讨了Windows Hook链的工作原理,包括它是什么、作用、如何使用。Hook链是Windows消息处理的重要部分,允许应用程序监视和拦截特定事件。介绍了安装、使用及卸载Hook的步骤,强调了CallNextHookEx()在消息传递中的关键角色。同时,文章提到了系统钩子和线程钩子的区别,以及不正确管理Hook可能导致的性能问题。最后,提出了利用Hook链顺序实现AntiHook的思考题。

Windows Hook机制中的Hook链

Windows Hook链

本文是Windows hook系列的一文。
上一文:《手把手教你用SetWindowsHookEx做一个键盘记录器》.
是本文hook的实例!

引入

hook是Windows操作系统消息处理机制的一个平台,应用程序可以通过设置Hook对某个进程或窗口进行监视,即对特定事件“挂钩”;

一旦预定义特定事件发生,Windows操作系统即会向钩子hook发送通知消息,这时,应用程序可进行响应。

HOOK的处理主要有以下三个阶段:

阶段1:定义Hook;

阶段2:在Hook链表中传递Hook;

阶段3:卸载Hook。

今天主要学习第二阶段的 HOOK链

HOOK链

我一直以来的方法论,就是学习一个东西,要搞清楚五件事情:

1.它是什么?

2.它的作用是什么?

3.它怎么使用?

Hook链是什么?

每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。

这个列表的指针指向指定的,应用程序定义的。

Hook链的作用

被Hook子程调用的回调函数,也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。

最低0.47元/天 解锁文章
C#环境下的钩子
onepeopleoneanimal的专栏
04-27 1878
本文将试图以下面的顺序讲解HOOK的大部分内容: 1、 WINDOWS的消息机制 2、 HOOK介绍 3、 HOOK 4、 HOOK钩子的作用范围 5、 HOOK类型 6、 回调函数 7、 HOOK钩子的安装与卸载 8、 HOOK实例演示  +++++++++++++++++++ WINDOWS的消息机制 +++++++++++++++++++ Windows系统是以消息处理为其控制
我的Hook学习笔记
热门推荐
rivershan的专栏
09-24 2万+
                                            关于Hook 一、基本概念:    钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。    钩子实际上
Hook 机制(转帖, 一直很想知道的)
xiaodongdehome的专栏
12-26 1111
本文转贴自http://armystone.bokee.com/,访问地址为http://armystone.bokee.com/viewdiary.14189069.html无意冒犯,如有侵权,请提前通知,本博客将及时处理。 本文将试图以下面的顺序讲解HOOK的大部分内容:  1、 WINDOWS的消息机制  2、 HOOK介绍  3、 HOOK  4、 HOOK钩子的作用范围
『网络安全科普』Windows安全之HOOK技术机制
Galaxy_0的博客
12-29 3888
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
谈谈监控主机的“Hook”问题
weixin_34060741的博客
03-14 167
谈谈监控主机的“Hook”问题   Jack zhai 操作系统是通过消息传递驱动各种事件动作的,要想监控系统内的动态,发现***的***行为,需要对非常多的“重要操作”进行监控,比如:权限的变更、进程的创建与被杀、网络连接的变化、文件的读写、注册表的变化、驱动程序的加载、远程线程注入等等。 如何实现这些系统行为的监控呢?就是在这些动作程序被执行前,插入自己的一段程序代码,检查驱动程序的...
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 6227
HookWindows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
HOOK钩子机制学习笔记(1)
popkiler的专栏
08-24 1197
  HOOK钩子机制学习笔记(1) 一、什么是钩子(hook)    Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。钩子(hook)是一种特殊的消息处理机制,钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输
[学习笔记] Windows编程——窗口和消息 ——(八)Hook
cxsydzn的博客
12-12 1553
Hook 是应用程序截获消息、鼠标操作和击键等事件的机制。截获特定类型的事件的函数称为Hook 程序。Hook 程序可以对其接收的每个事件执行操作,然后修改或放弃该事件。Hook 往往会降低系统速度,因为它们会增加系统必须对每条消息执行的处理量。应仅在必要时安装 Hook ,并尽快将其删除。
【多线程】-Hook线程
知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;)
11-04 682
求求你不要离开我,明明是你引我上钩的,现在却转身就离开,你好残忍;
Windows Hook 易核心编程(3) API Hook 初探
ywbhnay的专栏
04-27 1308
上一期,我们讲了用HOOK技术实现远程线程插入,相信大家还记忆犹新. 这一期我们来谈谈 API HOOK    API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外 挂,internet通信等领域API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例 如我们用API Hook技术挂接ExitWin
用com组件方式写windows串口通信接口
10-29
用vc 2003 使用com组件方式写的window下通用的串口通信接口
Linux C Hook动态接过程
qq_42931917的博客
10-28 2397
Linux 下GCC的编译可分为4个步骤:预处理 --> 编译 --> 汇编 -->接 这里讲一讲劫持GCC编译的接过程,这里我们需要了解一下动态接的一个环境变量,LD_PRELOAD; LD_PRELOAD 环境变量可以定义在程序运行前优先加载的动态接库。这使得我们可以有选择性地加载不同动态接库中的相同函数,即通过设置该变量,在主程序和其动态接库中间加载别的动态接库,甚至覆盖原本的库,这就有可能出现劫持程序执行的安全问题。 “ldpreload.c” #include&lt
Hook:如何高效双向接不同类型的信息资源?
玉树芝兰
08-17 539
除了检索与分类,你还可以这样高效整合自己的知识库。陌生上周二晚上的直播里,我给你谈了「知识网络的接」。这是朋友圈里小伙伴热情洋溢的留言记录。感谢人民邮电出版社的赞助,直播里我们共送出了5...
彻底搞懂React-hook表构建原理
grooyo的博客
10-18 795
每一个 hook 函数都有对应的 hook 对象保存状态信息useContext是唯一一个不需要添加到 hook 表的 hook 函数只有 useEffect、useLayoutEffect 以及 useImperativeHandle 这三个 hook 具有副作用,在 render 阶段需要给函数组件 fiber 添加对应的副作用标记。同时这三个 hook 都有对应的 effect 对象保存其状态信息。
键盘记录器-------HOOK的应用举例
weixin_33919950的博客
04-16 205
KeyHookApp.cpp 1 //////////////////////////////////////////////// 2 // KeyHookApp.cpp文件 3 4 #include "resource.h" 5 #include "KeyHookApp.h" 6 #include "../09KeyHookLib/KeyHookLib.h" 7...
C++ Hook 键盘记录器
LYSM
08-08 6663
之前写外挂做过指定进程的 Hook,但是没有尝试过全局 Hook,所以今天就来试试。全局 Hook 的用途我第一个就想到了键盘记录器(貌似我也就想到了这个 哈哈),那就写一个吧。 步伐逐渐鬼畜… 先上效果图(没图没真相,我看别人的博客都喜欢上来先看图,木哈哈 ~) U•ェ•*U 然后就是代码,我代码有点多,但是都有注释(注释就是艺术!) 其实也不多,就是 switch case 占了很大的比例...
键盘记录器 --- hook keboard event handling
deyangliu的专栏
10-06 999
<br />/*<br />file:xx.c<br />键盘记录器<br />compile: mingw-gcc xx.c -o a.exe<br />test: 以管理者权限,运行a.exe<br />当我总结这段文字的时候,cmd 显示我的击键记录,<br />被监控的感觉真好!!<br />注记:必须以管理者权限,否则只能监控对话框本身。某些书上说<br />只能以DLL方式运行,我可是以exe方式运行的!!看来不能尽信书,有些书的作者实在是不负责:大段代码一贴,连他本人都觉得难看。<br />注
Windows 如何通过 hook 来拦截截屏
最新发布
Frendguo的博客
03-07 3230
这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理,特别是拦截截屏操作。文章首先指出在传统Windows应用程序中,系统没有提供直接的权限管控,因此需要采取一些其他方式,如使用hook来进行权限管控。接着,文章演示了如何通过API Monitor来监听目标应用程序的行为,以确定其使用的截屏方式。然后,文章介绍了如何使用BitBlt接口进行hook操作,以实现拦截截屏。最后,文章提供了注入hook DLL到目标进程的方法,以实现权限管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值