Windows消息钩取

最新推荐文章于 2024-09-01 19:26:11 发布
最新推荐文章于 2024-09-01 19:26:11 发布
阅读量345 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/learn112/article/details/112133161

Windows消息钩取

什么是Windows消息钩取

Windows消息钩取就是利用Windows的消息机制,将消息在发往应用程序之前拦截,从而完成我们需要的一些功能,再将消息发给应用程序。

举个例子:

当我按下键盘的时候,OS会将消息放大消息列表,然后查看是哪个应用程序中发生了消息事件,然后将消息发给应用程序;

应用程序将OS发过来的消息放到自己的消息队列中;

应用程序监视自己的消息队列,发现OS发过来的消息后,再调用相应的事件处理程序。

那么消息钩取就是在这中间做文章,利用SetWindowsHookEx()API在OS将消息发给应用程序之间建立钩链拦截消息,完成我们自己的处理后,再将消息发给应用程序

SetWindowsHookEx

SetWindowsHookEx()API原型如下:

HHOOK SetWindowsHookEx(
	int idHook,			//钩子的类型,如钩取键盘消息(WH_KEYBOARD)
    HOOKPROC lpfn,		//钩子过程函数,里面就是我们想要添加或修改的功能
    HINSTANCE hMod,		//钩子过程函数所属的DLL模块句柄
    DWORD dwThreadId	//想要挂钩的线程ID,如果设置为0,则为全局钩子
);

该API的第二个参数就是钩子过程,

比如键盘钩子过程函数:

原型如下:

LRESULT CALLBACK KeyboardProc(
	int code,		//表示钩子过程如何处理消息,如果该参数小于0,那么钩子过程必须将
    				//消息传递给CallNextHookEx函数,而不用进一步处理,并且返回
    				//CallNextHookEx函数返回的值
    WPARAM wParam,	//指用户按下的虚拟按键
    LPARAM lParam	//这个参数的最高位的值不同会有不同的含义,
);					//如0=key press,1=key release

注意:

钩子过程函数必须放在DLL文件中,SetWindowsHookEx()API可以放在任何位置,可以在钩取主程序内,也可以在DLL内

开始钩取

有了上述2个API,我们可以开始编写钩子程序了

windows_news_gouqu.cpp

先理一下思路,在钩子主程序中需要什么东西:

1.将SetWindowsHookEx写在DLL内,设置为导出函数

2.要加载我们编写的DLL(这个DLL文件就是用来放钩子过程的)

3.加载了DLL之后,得到导出函数地址,再将地址转换为函数

4.调用导出函数

5.完成钩取

6.终止钩取

7.卸载DLL

在这里插入图片描述

注意:

1.这里可以使用指针函数将函数地址转化为相应函数

2.要使用DLL中的函数,必须将该函数设置为导出函数,也就是使用关键字__declspec(dllexport)

再来看看DLL源文件:

在这里插入图片描述

控制台输入指令:

在这里插入图片描述

可以看到,钩子设置成功:

在这里插入图片描述

打开notepad,发现键盘输入无响应:

在这里插入图片描述

但是其他程序正常工作:

在这里插入图片描述

钩取成功

注意点:

1.回调函数会在每一次发生键盘消息的时候被调用,也就是说你每按一次键盘,回调函数都会被调用

2.当调用SetWindowsHookEx的时候,一定要先给定DLL的句柄,否则会调用无效!!!

在这里插入图片描述

简单的Windows消息钩取
T2hunz1
11-14 766
利用Windows消息钩取机制实现键盘监听。
Windows 消息钩取
4ct10n
11-21 1511
Windows 消息钩子的机理,对一些基本概念的补充
逆向工程核心原理 Chapter 21 | Windows消息钩取
最新发布
ULGANOY的博客
09-01 901
逆向工程核心原理 第21章学习记录
逆向工程核心原理——消息钩取
weixin_46601374的博客
12-07 4498
钩子(HOOK) 英文Hook一词,翻成中文是“钩子”、“鱼钩”的意思,泛指钓取所需东西而使用的一切工 具。“钩子”这一基本含义延伸发展为“偷看或截取信息时所用的手段或工具”。下面举例向各位 进一步说明“钩子”这一概念。 消息钩取 Windows操作系统向用户提供GUI (Graphic User Interface,图形用户界面),它以事件驱动 (Event Driven)方式工作。在操作系统中借助键盘、鼠标,选择菜单、按钮,以及移动鼠标、改 变窗口大小与位置等都是事件(Event )o发生这样的事
Windows消息钩子[键盘监控]
Hello World.c
12-08 2011
之前看书,看到一眼消息钩子,一直没实践,现在有空弄了下, 主要原理是利用windows自带SetWindowsHookEx API函数 HHOOK SetWindowsHookEx( int idHook,                     //hook形式 HOOKPROC lpfn           //hook过程 HINSTANCE hmod        //钩子所属的...
HOOK勾子,勾取窗口消息,远线程注入DLL
11-14
记事本,,大家电脑里都有吧,这个例子就是勾取《记事本》的窗口消息,当然包括Edit控件消息了哟, 稍改一下,就可以制成 游戏外挂,或者木马,费话不多说了。 *http://www.yjxsoft.net 提供 专业的游戏外挂教程
使用钩子仿照Spy++截取消息
01-21
Win32程序对不同类型Message的处理过程不一样,对于Post过来的Message(通过PostMessage发送),会由GetMessage来处理,对于Send过来的Message(通过SendMessage发送),则由CallWndProc来处理,并在处理完成后执行CallWndRetProc,所以要HOOK并区分这两种Message需要同时处理三个HOOK:WH_GETMESSAGE、WH_CALLWNDPROC和WH_CALLWNDPROCRET。 所以: 1、'P': 通过WH_GETMESSAGE可以得到PostMessage发送的Message 2、'S': 通过WH_CALLWNDPROC可以得到SendMessage发送的Message 3、'R': 通过WH_CALLWNDPROCRET则可以得到SendMessage的结果,也就是你要的IResult
钩子,hook来获取消息
06-08
\ 钩子获取windows消息
我写的几篇技术文章之一:Windows消息拦截技术的应用
weixin_30408309的博客
05-20 161
Windows消息拦截技术的应用 民航合肥空管中心 周毅 一、前 言 众所周知,Windows程式的运行是依靠发生的事件来驱动。换句话说,程式不断等待一个消息的发生,然后对这个消息的类型进行判断,再做适当的处理。处理完此次消息后又回到等待状态。从上面对Windows程式运行机制的分析不难发现,消息在用户与程式之间进行交流时起了一种中间“语言”的作用。在程式中接收和处理消息的主角是窗口,...
Windows消息钩子实现原理
xsinlink的博客
10-23 1031
消息钩子的枚举。消息钩子的摘除。很多的ARK工具都包含了上述两个功能,大致来说也是枚举和摘除相关链表。
windows简单消息勾取和dll注入
九层台
10-03 940
来源《逆向工程核心原理》 运行notepad.exe可以劫持notepad.exe的键盘输入 HookMain.cpp //HookMain.cpp #include"stdio.h" #include"conio.h" #include"windows.h" #define DEF_DLL_NAME "HookKey.dll" #define DEF_HOOKS
逆向工程核心原理 之 windows消息钩取
wangtiankuo的博客
03-14 792
春节结束之后,感觉分析难一点的代码有点力不从新,尤其是模拟通信这一块。要是有的时候通信部分写的代码多一点,动态调试非常浪费时间,可是直接看伪代码我又看不懂,尤其是大片大片的没有名称的函数简直要我的命。之前分析成功一个远控木马,里面的通信是三层函数,靠着耐心算是分析出来了控制指令,也提取了特征,但是之后又遇到了一个样本,通信那一部分的函数超级多,看伪代码根本没头绪。我猜可能是我代码打的太少了,所以看...
windows 消息钩取
m0_62690279的博客
04-27 2122
windows 消息钩取 当键盘发生输入事件时,键盘消息钩子就会提前获得消息的内容、类型 并且可以对其做出修改 实现消息钩子的api:SetWindowsHookEx HHOOK WINAPI SetWindowsHookEx( _In_ int idHook,            设置钩子的类型.意思就是我要设置的钩子是什么钩子. 可以是监视窗口过程.可以是监视消息队列. _In_ HOOKPROC lpfn,             根据钩子类型.设置不同的回调函数. _In_ H
不用钩子 截获系统消息!
aibi9196的博客
09-23 135
不用钩子 截获系统消息! Delphi / Windows SDK/APIhttp://www.delphi2007.net/DelphiAPI/html/delphi_20061202122312131.html 有办法? 没有~ 特定消息. --> windows dll-->修改该 dll mark 转载于:https://www.c...
记事本窗口消息钩取技术与DLL注入
描述中提到的例子是通过HOOK技术勾取记事本程序的窗口消息,这涉及到对记事本中的文本操作进行监视或控制。 **游戏外挂与木马的制作暗示** 虽然描述中简短地提及了通过修改程序可以制作游戏外挂或木马,但这里需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值