要像系统注册一个全局热键,需要用到RegisterHotKey,函数用法如下(MSDN):
BOOL RegisterHotKey(      
                                          HWND hWnd,
                                          int id,
                                          UINT fsModifiers,
                                          UINT vk
);
    函数功能:该函数定义一个系统范围的热键。
  函数原型:BOOL RegisterHotKey(HWND hWnd,int id,UINT fsModifiers,UINT vk);
  参数:
  hWnd:接收热键产生WM_HOTKEY消息的窗口句柄。若该参数NULL,传递给调用线程的WM_HOTKEY消息必须在消息循环中中进行处理。
  id:定义热键的标识符。调用线程中的其他热键不能使用同样的标识符。应用功能程序必须定义一个0X0000-0xBFFF范围的值。一个共享的动态链接库(DLL)必须

定义一个0xC000-0xFFFF范围的值伯GlobalAddAtom函数返回该范围)。为了避免与其他动态链接库定义的热键冲突,一个DLL必须使用GlobalAddAtom函数获得热键的标

识符。
  fsModifoers:定义为了产生WM_HOTKEY消息而必须与由nVirtKey参数定义的键一起按下的键。该参数可以是如下值的组合:
  MOD_ALT:按下的可以是任一Alt键。MOD_CONTROL:按下的可以是任一Ctrl键。
  MOD_SHIFT:按下的可以是任一Shift键。
  MOD_WIN:按下的可以是任一Windows按键。这些键可以用Microsoft Windows日志记录下来。
  MOD_NOREPEAT:Windows 7或者后续版本: 更改热键行为,以便键盘自动重复不会产生多个热键通知。
  vk:定义热键的虚拟键码。
  返回值:若函数调用成功,返回一个非O值。若函数调用失败,则返回值为0。若要获得更多的错误信息,可以调用GetLastError函数。
  备注:当某键被接下时,系统在所有的热键中寻找匹配者。一旦找到一个匹配的热键,系统将把WM_HOTKEY消息传递给登记了该热键的线程的消息队列。该消息被传

送到队列头部,因此它将在下一轮消息循环中被移去。该函数不能将热键同其他线程创建的窗口关联起来。
  若为一热键定义的击键己被其他热键所定义,则RegisterHotKey函数调用失败。
  若hWnd参数标识的窗口已用与id参数定义的相同的标识符登记了一个热键,则参数fsModifiers和vk的新值将替代这些参数先前定义的值。
  Windows CE:Windows CE 2.0以上版本对于参数fsModifiers支持一个附加的标志位。叫做MOD_KEYUP。
  若设置MOD_KEYUP位,则当发生键被按下或被弹起的事件时,窗口将发送WM_HOTKEY消息。
  RegisterHotKey可以被用来在线程之间登记热键。
  速查:Windows NT:3.1及以上版本;Windows:95及以上版本;Windows CE:不支持;头文件:winuser.h;库文件:Hotkey.lib。
    F12键是调试器所使用的保留,所以不应将其注册为热键

1
2
3
4
#define MOD_ALT         0x0001 =    1
#define MOD_CONTROL     0x0002 =   10
#define MOD_SHIFT       0x0004 =  100
#define MOD_WIN         0x0008 = 1000

在IDA中反汇编RegisterHotKey

1
2
3
4
5
.text:77D1EBB3                 mov     eax, 11EAh       //系统服务号
.text:77D1EBB8                 mov     edx, 7FFE0300h  
.text:77D1EBBD                 call    dword ptr [edx]
.text:77D1EBBF                 retn    10h
.text:77D1EBBF _NtUserRegisterHotKey@16 endp

系统把服务号保存在eax寄存器,直接call [edx]
OD查看得到7FFE0300

1
2
3
dd 7FFE0300
7FFE0300  7C92E510  ntdll.KiFastSystemCall
7FFE0304  7C92E514  ntdll.KiFastSystemCallRet

Windbg查看得到

1
2
3
4
5
6
lkd> dd ffdf0300 l2
ffdf0300  7c92e510 7c92e514
 
lkd> u 7c92e510
7c92e510 8bd4            mov     edx,esp
7c92e512 0f34            sysenter

windows中0x7FFE0000和0x0FFDF0000被映射到同一个物理地址,供4KB,但在用户模式下该地址是不可写的,内核模式下的可写,4K空间操作系统占用一部分,
余下的大约有3K
USER:0x7FFE0000
KERNEL:0x0FFDF0000
在Windbg可用dt nt!_KUSER_SHARED_DATA命令查看该共享区域

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
lkd> dt nt!_KUSER_SHARED_DATA
   +0x000 TickCountLow     : Uint4B
   +0x004 TickCountMultiplier : Uint4B
   +0x008 InterruptTime    : _KSYSTEM_TIME
   +0x014 SystemTime       : _KSYSTEM_TIME
   +0x020 TimeZoneBias     : _KSYSTEM_TIME
   +0x02c ImageNumberLow   : Uint2B
   +0x02e ImageNumberHigh  : Uint2B
   +0x030 NtSystemRoot     : [260] Uint2B
   +0x238 MaxStackTraceDepth : Uint4B
   +0x23c CryptoExponent   : Uint4B
   +0x240 TimeZoneId       : Uint4B
   +0x244 Reserved2        : [8] Uint4B
   +0x264 NtProductType    : _NT_PRODUCT_TYPE
   +0x268 ProductTypeIsValid : UChar
   +0x26c NtMajorVersion   : Uint4B
   +0x270 NtMinorVersion   : Uint4B
   +0x274 ProcessorFeatures : [64] UChar
   +0x2b4 Reserved1        : Uint4B
   +0x2b8 Reserved3        : Uint4B
   +0x2bc TimeSlip         : Uint4B
   +0x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE
   +0x2c8 SystemExpirationDate : _LARGE_INTEGER
   +0x2d0 SuiteMask        : Uint4B
   +0x2d4 KdDebuggerEnabled : UChar
   +0x2d5 NXSupportPolicy  : UChar
   +0x2d8 ActiveConsoleId  : Uint4B
   +0x2dc DismountCount    : Uint4B
   +0x2e0 ComPlusPackage   : Uint4B
   +0x2e4 LastSystemRITEventTickCount : Uint4B
   +0x2e8 NumberOfPhysicalPages : Uint4B
   +0x2ec SafeBootMode     : UChar
   +0x2f0 TraceLogging     : Uint4B
   +0x2f8 TestRetInstruction : Uint8B
   +0x300 SystemCall       : Uint4B
   +0x304 SystemCallReturn : Uint4B
   +0x308 SystemCallPad    : [3] Uint8B
   +0x320 TickCount        : _KSYSTEM_TIME
   +0x320 TickCountQuad    : Uint8B
   +0x330 Cookie           : Uint4B

11EA = 1000111101010 = 13~14位选择服务描述表,选择KeServiceDescriptorTableShadow,系统共有4个服务描述表,第一个在ntoskrnl.exe中
并导出KeServiceDescriptorTable指针

可见该函数没做任何处理直接进入内核(win32k.sys)中,在Windbg反汇编:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
lkd> uf win32k!NtUserRegisterHotKey
win32k!NtUserRegisterHotKey+0x34:
bf899720 33c0            xor     eax,eax        //eax = NULL
bf899722 eb29            jmp     win32k!NtUserRegisterHotKey+0x36 (bf89974d)
 
win32k!NtUserRegisterHotKey:
bf899729 8bff            mov     edi,edi
bf89972b 55              push    ebp
bf89972c 8bec            mov     ebp,esp
bf89972e 56              push    esi
bf89972f e8b673f6ff      call    win32k!EnterCrit (bf800aea)
bf899734 f74510f07fffff  test    dword ptr [ebp+10h],0FFFF7FF0h     //fsModifiers是否有效,是否大于1000b 11111111111111110111111111110000
 
 
bf89973b 752d            jne     win32k!NtUserRegisterHotKey+0x14 (bf89976a)//fsModifiers无效则跳转
 
win32k!NtUserRegisterHotKey+0x20:
bf89973d 8b4d08          mov     ecx,dword ptr [ebp+8]  //hWnd
bf899740 85c9            test    ecx,ecx   
bf899742 74dc            je      win32k!NtUserRegisterHotKey+0x34 (bf899720)//hWnd == NULL
 
win32k!NtUserRegisterHotKey+0x27:
bf899744 e86a7ef6ff      call    win32k!ValidateHwnd (bf8015b3)//则验证句柄
bf899749 85c0            test    eax,eax   
bf89974b 7427            je      win32k!NtUserRegisterHotKey+0x30 (bf899774) //返回NULL
 
win32k!NtUserRegisterHotKey+0x36:
bf89974d ff7514          push    dword ptr [ebp+14h]    //vk
bf899750 ff7510          push    dword ptr [ebp+10h]    //fsModifiers
bf899753 ff750c          push    dword ptr [ebp+0Ch]    //id
bf899756 50              push    eax            //pWnd
bf899757 e8aefeffff      call    win32k!_RegisterHotKey (bf89960a)
bf89975c 8bf0            mov     esi,eax
 
win32k!NtUserRegisterHotKey+0x47:
bf89975e e8b373f6ff      call    win32k!LeaveCrit (bf800b16)
bf899763 8bc6            mov     eax,esi
bf899765 5e              pop     esi
bf899766 5d              pop     ebp
bf899767 c21000          ret     10h
 
win32k!NtUserRegisterHotKey+0x14:
bf89976a 68ec030000      push    3ECh       //错误码:1004,参数无效
bf89976f e83da0f6ff      call    win32k!UserSetLastError (bf8037b1)
 
win32k!NtUserRegisterHotKey+0x30:
bf899774 33f6            xor     esi,esi
bf899776 ebe6            jmp     win32k!NtUserRegisterHotKey+0x47 (bf89975e)
 
/***************************************/
PWND FASTCALL ValidateHwnd(
     HWND hwnd);

//NtUserRegisterHotKey伪代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
BOOLEN APIENTRY
NtUserRegisterHotKey(HWND hWnd,
                     int id,
                     UINT fsModifiers,
                     UINT vk)
{
    BOOLEN bRet;
    PWND pWnd = NULL;
    EnterCrit();
    if(!(fsModifiers & 0x0FFFF7FF0h))
    {
        if(hWnd)
        {
            pWnd = ValidateHwnd(hWnd);
        }
        bRet = _RegisterHotKey(pWnd,id,fsModifiers,vk);
    }
    else
    {
        UserSetLastError(1004);//1004无效标志
        bRet = FALSE;
    }      
    LeaveCrit();
    return bRet;
}

//系统热键结构:

1
2
3
4
5
6
7
8
9
typedef struct _HOT_KEY_ITEM
    PETHREAD Thread;
    HWND spwnd;
    UINT fsModifiers;   
    UINT vk;
    int id;
    struct _HOT_KEY_ITEM phkNext;
} HOT_KEY_ITEM, *PHOT_KEY_ITEM;

_RegisterHotKey伪代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
BOOL _RegisterHotKey(
                     PWND pwnd,
                     int id,
                     UINT fsModifiers,
                     UINT vk)
{
    PHOT_KEY_ITEM phk;
    BOOL fKeysExist = FALSE;
    PTHREADINFO ptiCurrent;
    PWINDOWSTATION pwinsta = _GetProcessWindowStation(NULL);
    DWORD ErrorCode;
     
    ptiCurrent = gptiCurrent;
 
    //如果调用者不是WindowStation初始化的线程和不适当的权限
    if(grpwinstaList && !CheckWinstaWriteAttributesAccess())
    {
        return FALSE;
    }
 
    //不能为其他线程的窗口注册热键
    if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER))
    {
        if (GETPTI(pwnd) != ptiCurrent)
        {
            UserSetLastError(1408); //1408错误码:无效窗口;它属于另一线程。
            return FALSE;
        }
    }
     
    phk = FindHotKey(ptiCurrent, pwnd, id, fsModifiers, vk, FALSE, &fKeysExist);
 
    //如果其他线程已经注册过该热键,返回FALSE
    if (fKeysExist)
    {
        UserSetLastError(1409); //1409错误码:热键已被注册
        return FALSE;
    }
     
    if (phk == NULL)
    {
 
        //热键并未被注册
        phk = (PHOT_KEY_ITEM)HeavyAllocPool(sizeof(HOT_KEY_ITEM), TAG_HOTKEY);
 
        //分配失败,返回FALSE
        if (phk == NULL)
        {
            return FALSE;
        }
         
        phk->pti = ptiCurrent;
         
        if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER))
        {
            phk->spwnd = NULL;
            HMAssignmentLock(&phk->spwnd, pwnd);
        }
        else
        {
            phk->spwnd = pwnd;
        }
        phk->fsModifiers = fsModifiers;
        phk->vk = vk;
        phk->id id;
 
        //插入到系统热键链表中
        //gphkFirst - 这是不导出变量存储了系统结构热键(phkNext指向下一个热键结构域)地址
        phk->phkNext = gphkFirst;
        gphkFirst = phk;
         
    }
    else
    {
        //如果本线程已注册过该热键,则重新覆盖
        phk->fsModifiers = fsModifiers;
        phk->vk = vk;
    }  
    return TRUE;
}

//用Windbg查看下gphkFirst

1
2
lkd> dd gphkFirst L1
bf9af814  e2ce10d8

e2ce10d8就是最近一次软件向系统注册的全局热键,继续

1
2
3
lkd> dd e2ce10d8 l6
e2ce10d8  e2265008 bbe35a28 00000003 00000054
e2ce10e8  0000c024 e2291a68

e2265008 是ETHREAD,查看发现是QQ的一个线程
bbe35a28 是窗口句柄
00000003 是功能键11,说明有Ctrl+Alt键
00000054 是VK_?,0x54对应ASCI码的大写T,Ctrl+ATL+T(QQ上:发送腾讯微博的)
0000c024 是热键的ID
e2291a68 是下一个热键结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
PHOT_KEY_ITEM FindHotKey(
                   PTHREADINFO ptiCurrent,
                   PWND pwnd,
                   int id,
                   UINT fsModifiers,
                   UINT vk,
                   BOOL fUnregister,
                   PBOOL pfKeysExist)
{
    PHOT_KEY_ITEM phk, phkRet, phkPrev;
 
    //初始化返回值
    *pfKeysExist = FALSE;
    phkRet = NULL;
     
    phk = gphkFirst;
     
    while (phk)
    {
     
        if ((phk->pti == ptiCurrent) && (phk->spwnd == pwnd) && (phk->id == id))
        {
            if (fUnregister)
            {
 
                //摘掉热键
                if (phk == gphkFirst)
                {
                    gphkFirst = phk->phkNext;
                }
                else
                {
                    phkPrev->phkNext = phk->phkNext;
                }
                 
                if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER))
                {
                    Unlock(&phk->spwnd);
                }
                UserFreePool((PVOID)phk);
                 
                return((PHOT_KEY_ITEM)1);
            }
            phkRet = phk;
        }
 
        //如果热键已经注册过,设置已存在标志
        if ((phk->fsModifiers == fsModifiers) && (phk->vk == vk))
        {
            if (phk->spwnd == PWND_FOCUS)
            {
                if (phk->pti == ptiCurrent)
                {
                    *pfKeysExist = TRUE;
                }
            }
            else
            {
                *pfKeysExist = TRUE;
            }
        }
         
        phkPrev = phk;
        phk = phk->phkNext;
    }
     
    return phkRet;
}

//遍历系统热键

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
VOID DumpHotKeys()
{
    ULONG dwAddr;
    KAPC_STATE ApcState;
    PETHREAD pThread;
    PEPROCESS pProc;
    PHOTKEY phk;
 
    //必须在GUI线程中遍历
    KeStackAttachProcess( pExpEprocess , &ApcState );
    dwAddr = *(PULONG)gphkFirst;
    KeUnstackDetachProcess(&ApcState);
    phk = (PHOTKEY)dwAddr;
 
    //解析系统所有热键
    while( phk != NULL )
    {
        pThread = *(PULONG)phk->pti;
        //0x220位置指向当前线程的EPROCESS
        pProc   = *(PULONG)( (ULONG)pThread + 0x220 );
 
        //EPROCESS + 0x174指向进程名字
        KdPrint(("Process Name : %s\n" , (ULONG)pProc + 0x174 ));
        KdPrint(("id : %d\n" , phk->id ));
        KdPrint(("Combination : %s + %X\n" , GetButton( phk->fsModifiers ) , phk->vk ));
        KdPrint(("------------------------------------------\n"));
        phk = phk->phkNext;
    }
}

快讯:科锐逆向工程师培训(第32期,10月10日开学)!

https://bbs.pediy.com/thread-135455.htm

Windows热键注册的底层原理的更多相关文章

  1. MVC底层原理

    窥探ASP.Net MVC底层原理 实现跨越Session的分布式TempData 1.问题的引出 我相信大家在项目中都使用过TempData,TempData是一个字典集合,一般用于两个请求之间临时 ...

  2. Docker底层原理介绍

    1.docker介绍 1.1什么是docker Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0协议开源. Docker 可以让开发者打包他们的应用以及依赖包到一个轻 ...

  3. (前篇:NIO系列 推荐阅读) Java NIO 底层原理

    出处: Java NIO 底层原理 目录 1.1. Java IO读写原理 1.1.1. 内核缓冲与进程缓冲区 1.1.2. java IO读写的底层流程 1.2. 四种主要的IO模型 1.3. 同步 ...

  4. 使用WinAPI全局热键注册和全局模拟按键

    一.全局热键注册 1.先引用DLL [System.Runtime.InteropServices.DllImport("user32.dll")] //导入WinAPI publ ...

  5. 快速构建Windows 8风格应用16-SettingContract原理及构建

    原文:快速构建Windows 8风格应用16-SettingContract原理及构建 本篇博文主要介绍Setting Contract概述.Setting Contract实现基本原理.如何构建Se ...

  6. 【T-SQL进阶】02.理解SQL查询的底层原理

    本系列[T-SQL]主要是针对T-SQL的总结. [T-SQL基础]01.单表查询-几道sql查询题 [T-SQL基础]02.联接查询 [T-SQL基础]03.子查询 [T-SQL基础]04.表表达式 ...

  7. Servlet底层原理、Servlet实现方式、Servlet生命周期

    Servlet简介 Servlet定义 Servlet是一个Java应用程序,运行在服务器端,用来处理客户端请求并作出响应的程序. Servlet的特点 (1)Servlet对像,由Servlet容器 ...

  8. 拜托!面试请不要再问我Spring Cloud底层原理

    概述 毫无疑问,Spring Cloud是目前微服务架构领域的翘楚,无数的书籍博客都在讲解这个技术.不过大多数讲解还停留在对Spring Cloud功能使用的层面,其底层的很多原理,很多人可能并不知晓 ...

  9. 拜托!面试请不要再问我Spring Cloud底层原理[z]

    [z]https://juejin.im/post/5be13b83f265da6116393fc7 拜托!面试请不要再问我Spring Cloud底层原理 欢迎关注微信公众号:石杉的架构笔记(id: ...

随机推荐

  1. C语言标准库头文件

    <assert.h><complex.h><ctype.h><errno.h><fenv.h><float.h><intt ...

  2. 搭建本地wordpress

    1.首先,下载xampp,安装按默认勾选即可. 2.安装完成后,启动Apache和MySQL这两个服务. 启动后变成绿色,表示启动成功. 3.点击MySQL项的Admin进入数据库后台. 4.点击用户 ...

  3. C#——计时器的操作

    我们可以用Stopwatch类获得程序的运行时间,在优化代码时,可以用此方法来查看优化前后程序所耗费的时间 static void Main(string[] args) { Stopwatch sw ...

  4. java 中String与StringBuilder 效率

    之前印象中string与stringbuilder操作时,如果多次改变string就使用stringbuilder,效率会提高: 今天实际遇到了问题,亲身经历过之后,这性能不是一般的影响啊:不是同一个 ...

  5. 【Caffe】Ubuntu16.04上配置安装caffe(Only CPU)

    一.首先看看自己的系统,Ubuntu16.04,cpu,没有Nvidia,没有opencv 二.安装依赖包 安装protobuf,leveldb,snappy,OpenCV,hdf5, protobu ...

  6. 在centOS环境搭建airtest时遇到 Xlib.error.DisplayNameError: Bad display name "" 和Xlib.error.XauthError异常

    现在的问题 (airtestVenv) [root@67 airtest_selenium]# python3 proxy.pyTraceback (most recent call last):  ...

  7. php base64互转pdf

    /* * base64转pdf */ function base642pdf($formTxt,$toPdf) { $file = file_get_contents($formTxt);//读 $d ...

  8. 第一节:setTimeout和setInterval定时器

    区别:  setInterval函数的用法与setTimeout完全一致,区别仅仅在于setInterval指定某个任务每隔一段时间就执行一次,也就是无限次的定时执行. 取消定时器:(clearTim ...

  9. 环形缓冲区: ringbuf.c

    #cat aa.c /*ringbuf .c*/ #include<stdio.h> #include<ctype.h> #define NMAX 8 int iput = 0 ...

  10. .NET 大数据量并发解决方案

    https://www.cnblogs.com/wxlevel/p/7484738.html