Windows Hook的简单实现

最新推荐文章于 2022-09-08 17:22:24 发布
原创 最新推荐文章于 2022-09-08 17:22:24 发布 · 623 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #windows

这篇博客详细解析了Windows下的钩子机制和DLL注入,通过FirstHook.exe和KeyHook.dll的例子展示了如何实现键盘钩子。FirstHook负责加载KeyHook.dll并调用其导出的HookStart和HookStop函数,KeyHook.dll则通过SetWindowsHookEx设置键盘钩子,拦截特定进程(如notepad.exe)的键盘输入。KeyboardProc作为回调函数,处理键盘消息。文章还探讨了CALLBACK和WINAPI的含义,以及extern C在DLL中的作用。

 

源代码:

FirstHook.exe的源代码(起到加载KeyHook.dll——安装钩子的作用)

FirstHook.cpp:

#include <iostream>
#include <Windows.h>
#include <conio.h>

#define DEF_DLL_NAME "KeyHook.dll"
#define DEF_HOOKSTART "HookStart"
#define DEF_HOOKSTOP "HookStop"

// 定义了两个返回值为void的函数类型
typedef void(*PFN_HOOKSTART)();
typedef void(*PFN_HOOKSTOP)();

using namespace std;
int main()
{
	HMODULE hDll = NULL;
	PFN_HOOKSTART HookStart = NULL;
	PFN_HOOKSTOP HookStop = NULL;
	char ch = 0;

	// 加载KeyHook.DLL
	hDll = LoadLibraryA(DEF_DLL_NAME);

	// 获取导出函数地址
	HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, DEF_HOOKSTART);
	HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, DEF_HOOKSTOP);

	// 开始勾取
	HookStart();

	// 等待,直到用户输入"q"
	cout << "press 'q' to quit." << endl;
	while(_getch() != 'q');

	// 终止勾取
	HookStop();

	// 卸载KeyHook.DLL
	FreeLibrary(hDll);
}

我们来分析FirstHook.cpp中不清楚的点

SetWindowsHookEx:

WinUser.h中对SetWindowsHookEx的定义 :

SetWindowsHookExW(
    int idHook, // Hook响应的事件
    HOOKPROC lpfn, // Hook后系统请求的回调函数
    HINSTANCE hmod, // 当前所处的DLL句柄
    DWORD dwThreadId // 想要挂钩的线程ID(若为0则是全局钩子,影响所有进程)
);

// 以下是针对UNICODE和ANSI不同版本的SetWindowsHookEx的宏定义
// 其中SetWindowsHookExW是针对UNICODE编码的,SetWindowsHookExA是针对ANSI的
#ifdef UNICODE
#define SetWindowsHookEx  SetWindowsHookExW
#else
#define SetWindowsHookEx  SetWindowsHookExA
#endif // !UNICODE

KeyHook.dll的源代码

KeyHook.dll:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <iostream>
#include <Windows.h>

#define DEF_PROCESS_NAME "notepad.exe" // 宏定义我们需要拦截输入的进程

HMODULE g_hInstance = NULL;
HHOOK g_hHook = NULL;
HWND g_hWnd = NULL;

BOOL WINAPI DllMain(HINSTANCE hinstDLL,
	DWORD  ul_reason_for_call,
	LPVOID lpReserved
)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		g_hInstance = hinstDLL;
		break;
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
{
	char szPath[MAX_PATH] = { 0, };
	char *p = NULL;

	if (nCode >= 0)
	{
		// lParam第三十一位若为0,则表示KeyDown,反之为KeyUp
		if (!(lParam & 0x80000000))
		{
			GetModuleFileNameA(NULL, szPath, MAX_PATH);
			p = strrchr(szPath, '\\');

			// 比较当前进程名称,若为notepad.exe,则消息不会传递给应用程序(或下一个“钩子”)
			if (!_stricmp(p + 1, DEF_PROCESS_NAME))
				return 1;
		}
	}

	// 若非notepad.exe,则调用CallNextHookEx()函数,将消息传递给应用程序(或下一个“钩子”)
	return CallNextHookEx(g_hHook, nCode, wParam, lParam);
}

#ifdef __cplusplus
extern "C" {
#endif
	__declspec(dllexport) void HookStart()
	{
		g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);
	}
	__declspec(dllexport) void HookStop()
	{
		if (g_hHook)
		{
			UnhookWindowsHookEx(g_hHook);
			g_hHook = NULL;
		}
	}
#ifdef __cplusplus
}
#endif

这个DLL中有些不清楚的点,我们分析一下。

KeyboardProc:

以下是MSDN上对KeyboardProc的解释:

An application-defined or library-defined callback function used with the SetWindowsHookEx function. The system calls this function whenever an application calls the GetMessage or PeekMessage function and there is a keyboard message (WM_KEYUP or WM_KEYDOWN) to be processed.

The HOOKPROC type defines a pointer to this callback function. KeyboardProc is a placeholder for the application-defined or library-defined function name.

来自:https://docs.microsoft.com/zh-cn/previous-versions/windows/desktop/legacy/ms644984(v=vs.85)

 简单的说,KeyboardProc是一个与SetWindowsHookEx一起使用的回调函数。当GetMessagePeekMessage获取到了有关键盘的消息(如:WM_KEYUP或WM_KEYDOWN)时,系统会调用它。

那么回调函数是什么呢?我当前基于以下的博客内容理解:

凡是由你设计却由windows系统呼叫的函数,统称为callback函数。某些API函数要求以callback作为你参数之一。如SetTimer,LineDDA,EnumObjects。用某个函数(通常是API函数)时,将自己的一个函数(这个函数为回调函数)的地址作为参数传递给那个函数。而那个函数在需要的时候,利用传递的地址调用回调函数,这时你可以利用这个机会在回调函数中处理消息或完成一定的操作。至于如何定义回调函数,跟具体使用的API函数有关,一般在帮助中有说明回调函数的参数和返回值等。C++中一般要求在回调函数前加CALLBACK,这主要是说明该函数的调用方式。

    回调函数是由开发者按照一定的原形进行定义的函数(每个回调函数都必须遵循这个原则来设计)

说明:
    1  回调函数必须有关键词 CALLBACK;回调函数本身必须是全局函数或者静态函数。不要使用类的成员函数(也就是说 要使用全局函数) 作为callback函数,在成员函数前使用static,也就是在函数前加上static修饰词,可以声明回调函数。

    2  回调函数并不由开发者直接调用执行(只是使用系统接口API函数作为起点)
    3  回调函数通常作为参数传递给系统API,由该API来调用
    4  回调函数可能被系统API调用一次,也可能被循环调用多次

来自:https://blog.youkuaiyun.com/julius819/article/details/6882095

 系统在收到相应 消息 时,会调用回调函数。那么 消息 又是什么呢?

于是我们又谈到了windows的消息机制

这里我先用《逆向工程核心原理》的话简单理解:

以记事本键盘敲击事件为例:

  1. 发生键盘输入事件时,WM_KEYDOWN消息被添加到系统消息队列
  2. 系统判断哪个应用程序中发生了事件,然后从系统消息队列取出消息,添加到相应应用程序的线程消息队列(应用程序消息队列)中。
  3. 应用程序(如记事本)监视自身的应用程序消息队列,发现新添加的WM_KEYDOWN消息后,调用相应的事件处理程序(回调函数)处理。

 如图:

3

现在对消息机制的理解还比较浅显,后续会进一步理解:

https://blog.youkuaiyun.com/dandycheung/article/details/7304151

https://blog.youkuaiyun.com/Jacoob1024/article/details/80849972?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control

https://www.cnblogs.com/zhoug2020/p/6239018.html

https://www.cnblogs.com/weekbo/p/10442165.html

CALLBACK与WINAPI:

刚开始并不清楚函数名前的CALLBACK和WINAPI是什么意思,于是转到定义便豁然开朗

在WinUser.h中是这么定义的:

#define CALLBACK    __stdcall
#define WINAPI      __stdcall
#define WINAPIV     __cdecl
#define APIENTRY    WINAPI
#define APIPRIVATE  __stdcall
#define PASCAL      __stdcall

CALLBACK与WINAPI都是函数调用方式,被定义为__stdcall。

有关函数调用方式,可以看这篇文章: https://blog.youkuaiyun.com/qinrenzhi/article/details/94997119

有空(并不 想自己再写一篇有关函数调用方式的探索,也算对CSAPP的复习。

编写dll时为什么有extern "C":

原因:因为C和C++的重命名规则是不一样的。这种重命名称为“Name-Mangling”,extern "C" 是为了确保函数名一致。

具体可以看这篇文章:https://www.cnblogs.com/cswuyg/archive/2011/09/30/dll.html

__declspec(dllexport)的作用:

_declspec(dllexport)用在dll上,用于说明这是导出的函数。

_declspec(dllimport)用在调用dll的程序中,用于说明这是从dll中导入的函数,但不是必须的。

同样看:https://www.cnblogs.com/cswuyg/archive/2011/09/30/dll.html

DllMain函数:

每一个动态链接库都会有一个DllMain函数。如果在编程时没有定义,编译器会给你加上。

格式如下:

BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                             )
{
     switch(ul_reason_for_call)
     {
     case DLL_PROCESS_ATTACH:
            printf("\nprocess attach of dll");
            break;
     case DLL_THREAD_ATTACH:
            printf("\nthread attach of dll");
            break;
     case DLL_THREAD_DETACH:
            printf("\nthread detach of dll");
            break;
     case DLL_PROCESS_DETACH:
            printf("\nprocess detach of dll");
            break;
     }
    return TRUE;
}

 

aPilot
关注
C++支持函数重载,而C语言却不支持,原来是这个原因!
X_Mrjw的博客
09-24 2637
为什么C++支持函数重载而C语言却不支持?1.函数重载的概念2.函数名修饰----造成差异的真正原因2.1函数的编译过程+链接2.2Linux下的函数名修饰规则2.3Windows下VS中的函数名修饰3.extern "C" 1.函数重载的概念 如果你接触过C++,那么一定使用过插入运算符"<<“和提取运算符”>>"。这俩个运算符是C和C++位运算符中的左移运算符和右移运算符,而C++又把它作为输入输出运算符。允许一个运算符可以用于不同场合,不同的场合就有不同的含义,这就叫做运算符的
为什么C++支持重载而C语言不支持重载
小Z的博客
07-28 3578
一个函数C++中能够被重载,但是在C语言确不能被重载的,是由于函数名在内存中存储方式不同所导致的。 C语言 例如在C语言中,有以下三个函数,只给声明不给定义! int fun(int a, int b); int fun2(int a, char b); char fun3(char a, char b); 在main函数中调用之 int main() { fun(...
vc钩子hook 截获exe调用的任何函数.visual c++
02-20
vc钩子hook 截获exe调用的任何函数.api拦截
python中reduce是什么意思_python中的reduce是什么
weixin_39950081的博客
12-08 469
reduce() 函数会对参数序列中元素进行累积。函数将一个数据集合(链表,元组等)中的所有数据进行下列操作:用传给 reduce 中的函数 function(有两个参数)先对集合中的第 1、2 个元素进行操作,得到的结果再与第三个数据用 function 函数运算,最后得到一个结果。reduce()函数接收三个参数,如下图reduce() 函数语法:reduce(function, iterab...
为什么C++支持函数重载,而C语言却不支持
qq_49613557的博客
05-29 844
函数重载 目录函数重载的概念面试提问为什么C语言不支持重载,C++却支持 函数重载的概念 函数重载是指在同一作用域内,可以有一组具有相同函数名,不同参数列表(类型不同或数目不同)的函数,这组函数被称为重载函数。重载函数通常用来命名一组功能相似的函数,这样做减少了函数名的数量,避免了名字空间的污染。 http://www.cnblogs.com/skynet/archive/2010/09/05/1818636.html 例: #include<iostream> using namespace
精选资源
Windows Inline Hook代码实现细节
04-18
本文将深入探讨如何使用内嵌汇编和Windows API来实现一个简单的`add`函数DLL注入Inline Hook,以达到修改其返回结果的目的。 首先,我们要理解Inline Hook的基本原理。Inline Hook是在目标函数的入口处插入自定义...
精选资源
windows hook
07-28
Windows Hook 是一种强大的技术,可以让开发者在 Windows 操作系统中Inject 代码到其他进程中,从而实现对目标进程的控制和 monitoring。hook 技术广泛应用于反调试、反反调试、游戏外挂、系统工具等领域。 在 ...
精选资源
Windows miniHook hookapi demo
09-14
"Windows miniHook hookapi demo" 是一个展示如何使用小型钩子库(MiniHook)来实现Windows钩子API的示例项目。在这个项目中,我们将探讨Win32钩子的基本概念,MiniHook库的使用,以及如何创建和测试一个简单的钩子...
hook windows api小测试
07-28
具体到hook MessageBox函数,这个函数Windows API中用于显示简单消息框的函数,通常包含一个标题、一条消息和几个按钮选项。通过Hook MessageBox,我们可以实现以下目标: 1. **替代行为**:在原MessageBox显示前...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
6. **实例分析**:通过具体的代码示例或者工具演示,展示如何实现一个简单的SSDT Hook,可能涉及到汇编语言、WinAPI和内核编程。 7. **安全与反Hook策略**:讨论Hook技术的安全隐患,如权限提升、恶意软件利用,...
C++对c中函数的拓展,函数重载
weixin_34397291的博客
06-10 123
函数参数的拓展 inline内联函数 最好 小的函数都写成内联函数, 写上inline 编译器不一定内联, C++中推荐使用内联函数替代宏代码片段 C++中使用inline关键字声明内联函数 内联函数声明时inline关键字必须和函数定义结合在一起,否则编译器会直接忽略内联请求。 宏替换和函数调用区别 结论: 1)内联函数在编译时直接将函数体...
C++对C的扩展之函数重载
maoliran的博客
05-18 842
C语言不支持函数重载,若出现同名函数,不管参数个数,类型,顺序是否不同,一律定为冲突 C++支持函数重载,其特点: 1.  函数名相同 2.参数类型,个数,顺序不同 函数重载与返回类型无关 函数重载调用规则: 1.完全类型匹配 2.若不存在完全类型匹配,则使用隐式类型匹配原则 注意:int 到long , double 存在二义性, float 到int, double 同
c++为什么支持函数重载,而c却不支持
weixin_57525369的博客
06-10 485
为什么c++可以函数重载而c就不可以
C++函数引用和重载
喜欢编写一些小程序的科班菜鸟,但是由于准备考研,博客不能及时更新了,不好意思!
09-08 599
引用
C语言不支持重载,但C++支持函数重载的原因
challenglistic的博客
03-16 1249
结合Linux案例分析 为什么C语言不支持重载,但是C++支持重载
ios开发 静音键设置_以编程方式静音/静音iOS设备?
weixin_39667398的博客
12-19 603
I'm trying to mute the device's ringer from within my app, but for some reason using AVSystemController like in this answer ( How to disable iOS System Sounds ) won't let me silence the device ALL the...
【从 C 向 C++ 进阶】- 对 C 的语法扩展 - 函数重载
Kong
07-13 198
从 C 向 C++ 进阶系列导航 1. 函数重载规则 在 C 中,不允许定义同名的函数。而在 C++ 中,允许定义不同的参数列表的同名函数,这便是函数重载。 重载的函数之间必须至少满足以下一个条件: 参数个数不同。 参数类型不同。 相同参数类型顺序不同。 需要注意的是,函数重载只能发生在相同的作用域中,且函数返回类型不能作为函数重载的依据。 实验: int add(int num_A...
C++——为什么C++支持函数重载而C语言不支持
qq_44745063的博客
03-09 325
作者:小 琛 欢迎转载,请标明出处
reduce python3_python-reduce函数
weixin_39667041的博客
11-25 255
0.摘要本文主要介绍functool模块中的reduce函数,并使用reduce实现阶乘等操作。1.reduce函数官方释义:Apply a function of two arguments cumulatively to the items of a sequence,from left to right, so as to reduce the sequence to a single va...
Delphi7实现Windows APIHook示例教程
由于给出的文件标题为"windows apihook示例代码",可以推断代码示例将会展示如何在Windows平台上使用Delphi7来实现API Hook。描述中特别提到了Delphi7版本,表明这是一个较老的源代码示例,以及特别指出了它不支持...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值