Windows编程之钩子程序

最新推荐文章于 2014-10-04 13:51:00 发布
原创 最新推荐文章于 2014-10-04 13:51:00 发布 · 516 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #钩子程序

本文介绍了Windows钩子机制的基本概念,包括其工作原理和应用场景。钩子机制允许应用程序监视并处理Windows消息或特定事件,例如监控下载文件进行病毒扫描、监控运行程序以保护敏感操作等。同时,本文也提到了钩子机制在恶意软件中的潜在应用。
1,钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,
而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许
应用程序截获处理window消息或特定事件。
2,钩子程序是windows上监控软件的基础之一,例如杀毒软件对下载文件的监控,当下载完之后对其进行杀毒,
对运行程序的监控,当这个运行程序试图修改敏感问题时,给予提示和阻止。钩子程序是有些病毒的原理之一,
病毒含有钩子程序,监控QQ、其他游戏,盗取敏感账号和密码。
3,相关内容链接:
http://bbs.pediy.com/showthread.php?t=141059
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局子、远线程子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局子、远线程子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
一个简单的键盘子程序
09-19
最近新买了Acer4741G的笔记本,但是笔记本上面的显示状态灯太少,比如没有显示大小写状态的灯,小键盘数字键的状态灯等,所以就写了一个键盘子程序,给自己做显示。 其中操作系统使用的是Win7,SetWindowsHookEx这个函数的第一个参数如果不是13的话,键盘子是没有作用的,一般在WinXP下面可以使用的键盘子,在Win7下面没有效果,也大部分是这个原因。 一个简单的个人作品,还希望高手多多指教
基于consle的windows键盘子程序
11-22
1、包含windows控制台程序runhook.exe与hook.dll; 2、实现了windows系统下中英文键盘的子; 3、exe与dll源码在vc6编译通过,含工程文件; 4、纯属研究,违法必究!
windows
01-30
有关windows子的工程文件,包括实现全局windows子的dll工程和windows子的应用实例工程两部分,windows子工程同时实现了鼠标和键盘子,本工程可以作为windows子应用的框架,加以改造后就可以实现不同的功能。
windows编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLL的API时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
windows核心编程系列》十八谈谈windows
weixin_34375251的博客
10-04 124
         windows应用程序是基于消息驱动的。各种应用程序对各种消息作出响应从而实现各种功能。       windows子是windows消息处理机制的一个监视点,通过安装子能够达到监视指定窗体某种类型的消息的功能。所谓的指定窗体并不局限于当前进程的窗体,也能够是其它进程的窗体。当监视的某一消息到达指定的窗体时,在指定的窗体处理消息之前,子函数将截获此消息,子函数...
HOOK子机制学习笔记(1)
popkiler的专栏
08-24 1197
  HOOK子机制学习笔记(1) 一、什么是子(hook)    Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。子(hook)是一种特殊的消息处理机制,子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输
Windows子机制详解
09-04
创建Windows子程序通常涉及以下几个步骤: 1. 定义子处理函数:这是一个回调函数,当指定的事件发生时,系统会调用这个函数。例如,`MouseProc`是一个鼠标子处理函数,它接收消息代码、wParam和lParam参数,...
利用键盘子开发按键发音程序.rar_键盘子_键盘子程序
09-19
标题"利用键盘子开发按键发音程序.rar_键盘子_键盘子程序" 提到了一个项目,该项目是关于创建一个能够监听并响应键盘输入的程序,当用户按下特定键时,该程序会发出声音。关键词“键盘子”在这里指的是编程...
某智能医学软件键盘子程序.rar
05-25
在这个名为“某智能医学软件键盘子程序.rar”的压缩包中,包含了一个古老的键盘子组件,它主要用于医学软件中的特殊输入控制。该组件由作者在2009年使用Visual C++ 6.0(VC6.0)开发,适用于Windows 2000和...
Windows API Hook子大揭密.zip
03-28
通过深入研究"Windows API Hook子大揭密"这个主题,开发者不仅可以学习到如何监控和控制应用程序的行为,还可以了解到操作系统级别的编程技巧,提升自己的编程技能和解决问题的能力。同时,对Hook技术的熟练掌握也...
C# 子程序
07-16
记录用户的键盘操作,可进行存储。程序用途很广。 安装子: [DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)] private static extern IntPtr SetWindowsHookEx(int idHook, LowLevelKeyboardProc lpfn, IntPtr hMod, uint dwThreadId);调用API 具体参数可以百度,LowLevelKeyboardProc lpfn:这个参数实际上是一个回调函数,如下 处理函数 private static IntPtr HookCallback(int nCode, IntPtr wParam, IntPtr lParam) { //键盘按下时 if (nCode >= 0 && wParam == (IntPtr)WM_KEYDOWN) { int vkCode = Marshal.ReadInt32(lParam); Keys key = (Keys)vkCode; MessageBox.Show(key.ToString()); } return CallNextHookEx(_hookID, nCode, wParam, lParam); } 当子安装后,自动写如子链表,挂入系统,监视指定的事件,这里是键盘事件,当事件发生时先通过
C++子程序
05-23
我自己写的C++子程序HOok技术学习。欢迎下载!
EasyHook 函数子 最好的完整稳定的子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下子的机制,以后对函数下子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModuleName) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModuleName, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
一个简单的鼠标子程序
Y.Sun's Special Column
05-04 1604
代码名称:一个简单的鼠标子程序更新日期:2005-4-9代码作者:贺成士代码来源:www.czvc.com文件大小:27KB下载次数:240评论条数:1代码下载:浏览次数:460演示截图:代码简介或代码解析:       一个简单的鼠标子程序实现适时获取当前鼠标所在窗口的标题,并将其显示在一个EDITBOX中Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实
子程序
sunears的专栏
11-01 4205
子程序子程序是在内存中可以不断的在内存中拦截你要控制设备的消息并且可以对该消息进行处理过滤。 子是WINDOWS留给我们的后门,比如你想控制键盘,在DOS时代很简单通过INT即可,而WINDOWS时代不允许我们直接操作硬件;由于WINDOWS是消息驱动,所以我们可以拦截键盘消息以达到控制键盘的目的。但是控制自己进程的消息固然很简单,要控制所有进程消息要利用子了。将子函数放在DLL中
消息子函数入门篇
11-28 830
      Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、
C++ Windows编程实例详解
3. C++语言开发Windows子:使用C++进行Windows子的开发允许开发者利用C++强大的面向对象和系统级编程功能,实现复杂的逻辑处理和更好的性能优化。C++与Windows API的结合使得直接与底层系统交互成为可能。 4. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值