Dll注入：Windows消息钩子注入

SetWindowsHook() 是Windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。

钩子机制允许应用程序截获处理window消息或特定事件。

HHOOK WINAPI SetWindowsHookEx(
__in int idHook, \\钩子类型
__in HOOKPROC lpfn, \\回调函数地址
__in HINSTANCE hMod, \\实例句柄
__in DWORD dwThreadId); \\线程ID

使用API函数SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。 SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时，系统就调用与这个Hook关联的 Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个 Hook子程需要调用CallNextHookEx函数。

系统钩子

SetWindowsHookEx()函数的最后一个参数决定了此钩子是系统钩子还是线程钩子。

线程钩子

线程勾子用于监视指定线程的事件消息。线程勾子一般在当前线程或者当前线程派生的线程内。

 

系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL) 中。系统自动将包含"钩子回调函数"的DLL映射到受钩子函数影响的所有进程的地址空间中，即将这个DLL注入了那些进程。

 

如果对于同一事件（如鼠标消息）既安装了线程钩子又安装了系统钩子，那么系统会自动先调用线程钩子，然后调用系统钩子。

 

对同一事件消息可安装多个钩子处理过程，这些勾子处理过程形成了钩子链。当前钩子处理结束后应把钩子信息传递给下一个钩子函数。

 

每一种类型的Hook可以使应用程序能够监视不同类型的系统消息处理机制。下面描述所有可以利用的Hook类型。

1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks

WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程，并且在窗口过程处理完消息之后调用WH_CALLWNDPROCRET Hook子程。

WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT结构，再传递到Hook子程。

CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值，同样也包括了与这个消息关联的消息参数。

2、WH_CBT Hook

在以下事件之前，系统都会调用WH_CBT Hook子程，这些事件包括：

1）激活，建立，销毁，最小化，最大化，移动，改变尺寸等窗口事件；

2）完成系统指令；

3）来自系统消息队列中的移动鼠标，键盘事件；

4）设置输入焦点事件；

5）同步系统消息队列事件。

Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。

3、WH_DEBUG Hook

在系统调用系统中与其他Hook关联的Hook子程之前，系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。

4、WH_FOREGROUNDIDLE Hook

当应用程序的前台线程处于空闲状态时，可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时，系统就会调用WH_FOREGROUNDIDLE Hook子程。

5、WH_GETMESSAGE Hook

应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和键盘输入，以及其他发送到消息队列中的消息。

6、WH_JOURNALPLAYBACK Hook

WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到系统消息队列。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装，正常的鼠标和键盘事件就是无效的。

WH_JOURNALPLAYBACK Hook是全局Hook，它不能象线程特定Hook一样使用。

WH_JOURNALPLAYBACK Hook返回超时值，这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间（毫秒）。这就使Hook可以控制实时事件的回放。

WH_JOURNALPLAYBACK是system-wide local hooks，它们不会被注射到任何行程位址空间。

7、WH_JOURNALRECORD Hook

WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的，可以使用这个Hook记录连续的鼠标和键盘事件，然后通过使用WH_JOURNALPLAYBACK Hook来回放。

WH_JOURNALRECORD Hook是全局Hook，它不能象线程特定Hook一样使用。

WH_JOURNALRECORD是system-wide local hooks，它们不会被注射到任何行程位址空间。

8、WH_KEYBOARD Hook

在应用程序中，WH_KEYBOARD Hook用来监视WM_KEYDOWN and WM_KEYUP消息，这些消息通过GetMessage or PeekMessage function返回。可以使用这个Hook来监视输入到消息队列中的键盘消息。

9、WH_KEYBOARD_LL Hook

WH_KEYBOARD_LL Hook监视输入到线程消息队列中的键盘消息。

10、WH_MOUSE Hook

WH_MOUSE Hook监视从GetMessage 或者 PeekMessage 函数返回的鼠标消息。使用这个Hook监视输入到消息队列中的鼠标消息。

11、WH_MOUSE_LL Hook

WH_MOUSE_LL Hook监视输入到线程消息队列中的鼠标消息。

12、WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以监视菜单，滚动条，消息框，对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。WH_MSGFILTER Hook只能监视传递到菜单，滚动条，消息框的消息，以及传递到通过安装了Hook子程的应用程序建立的对话框的消息。WH_SYSMSGFILTER Hook监视所有应用程序消息。

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以在模式循环期间过滤消息，这等价于在主消息循环中过滤消息。

通过调用CallMsgFilter function可以直接的调用WH_MSGFILTER Hook。通过使用这个函数，应用程序能够在模式循环期间使用相同的代码去过滤消息，如同在主消息循环里一样。

13、WH_SHELL Hook

外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时，系统调用WH_SHELL Hook子程。

WH_SHELL 共有5钟情况：

1）只要有个top-level、unowned 窗口被产生、起作用、或是被摧毁；

2）当Taskbar需要重画某个按钮；

3）当系统需要显示关于Taskbar的一个程序的最小化形式；

4）当如今的键盘布局状态改变；

5）当使用者按Ctrl+Esc去执行Task Manager（或相同级别的程序）。

 

使用键盘钩子实现注入的一个Demo

实现过程：

1.在动态库里导出一个自己的函数MyMessageProcess，在这里面可是实现自己对消息的处理。

2.输入所需要注入的进程ID，并获得线程ID

3.SetWindowsHookEx(WH_KEYBOARD, MyMessageProcess, DllModule, ThreadID)；

4.在注入的进程内输入键盘消息 会触发Dll内的MyMessageProcess，实现钩子注入

cpp部分：

#include "stdafx.h"
#include <Windows.h>
#include<TlHelp32.h>
#include<iostream>

using namespace std;

BOOL InjectDllBySetWindowsHook(ULONG32 ulTargetProcessID);
DWORD getThreadID(ULONG32 ulTargetProcessID);
int main()
{

    ULONG32 ulTargetProcessID;
    cout << "请输入目标进程ID：";
    cin >> ulTargetProcessID;

    if (!InjectDllBySetWindowsHook(ulTargetProcessID))
    {
        cout << "Set Hook Unsuccess!\r\n" << endl;
        return ;
    }
    cout << "Inject Success!\r\n" << endl;
    return ;
    return ;
}

BOOL InjectDllBySetWindowsHook(ULONG32 ulTargetProcessID)
{
    HANDLE  TargetProcessHandle = NULL;
    TargetProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ulTargetProcessID);

    if (NULL == TargetProcessHandle)
    {
        printf("Couldn't get Target Process Handle\r\n");
        return FALSE;
    }

    HMODULE DllModule = LoadLibrary(L"Dll.dll");

    if (DllModule == NULL)
    {
        printf("cannt find dll\r\n");
        return FALSE;
    }

    //获取Dll中导出的函数的地址
    HOOKPROC   Sub_1Address = NULL;
    Sub_1Address = (HOOKPROC)GetProcAddress(DllModule, "MyMessageProcess");
    if (Sub_1Address == NULL)
    {
        printf("cannt found MyMessageProcess");
        return FALSE;
    }

    DWORD ThreadID = getThreadID(ulTargetProcessID);

    HHOOK Handle = SetWindowsHookEx(WH_KEYBOARD,
        Sub_1Address, DllModule, ThreadID);

    if (Handle == NULL)
    {
        printf("cannt hook\r\n");
        return FALSE;
    }
    printf("hook success\r\n");
    getchar();
    getchar();
    getchar();
    UnhookWindowsHookEx(Handle);

    FreeLibrary(DllModule);
}

DWORD getThreadID(ULONG32 ulTargetProcessID)
{
    HANDLE Handle = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, );
    if (Handle != INVALID_HANDLE_VALUE)
    {
        THREADENTRY32 te;
        te.dwSize = sizeof(te);
        if (Thread32First(Handle, &te))
        {
            do
            {
                if (te.dwSize >= FIELD_OFFSET(THREADENTRY32, th32OwnerProcessID) + sizeof(te.th32OwnerProcessID))
                {
                    if (te.th32OwnerProcessID == ulTargetProcessID)
                    {
                        HANDLE hThread = OpenThread(READ_CONTROL, FALSE, te.th32ThreadID);
                        if (!hThread)
                        {
                            printf("Couldn't get thread handle\r\n");
                        }
                        else
                        {
                            return te.th32ThreadID;
                        }
                    }
                }
            } while (Thread32Next(Handle, &te));
        }
    }
    CloseHandle(Handle);
    return (DWORD);
}

Dll部分：

#pragma data_seg(SHARD_SEG_NAME)
static HHOOK g_hHook;
#pragma data_seg()

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    {
        MessageBox(NULL, L"Inject Success!", L"", );
    }

    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

extern "C"

__declspec(dllexport)LRESULT MyMessageProcess(int Code, WPARAM wParam, LPARAM lParam)
{
    //
    //你自己对消息的处理
    //
    MessageBox(NULL, L"GetMessage!", L"Message", );
    return CallNextHookEx(g_hHook, Code, wParam, lParam);
}

可参考百度百科