@author: dlive

@date: 2016/12/19

0x01 SetWindowsHookEx()

HHOOK SetWindowsHookEx(

	int idHook,   //hook type

	HOOKPROC lpfn, //hook procedure(回调函数)

	HINSTANCE hMod, //hook procedure所属的DLL句柄

	DWORD dwThreadId //想要挂钩的线程ID

);

使用SetWindowsHookEx() API可以轻松实现消息钩子。用于将制定的“钩子过程”注册到钩链中。无论在DLL内部还是外部都可以调用。(下面的例子是在DLL内部调用的)

hook procedure(钩子过程) 是由操作系统调用的回调函数,安装消息钩子时,钩子过程需要存在于某个DLL内部,且该DLL的instance handle(示例句柄)即是hMod

若dwThreadID参数被设置为0,则安装的钩子为全局钩子,它会影响到运行中的所有进程

0x02 HookMain.exe

#include "stdio.h"

#include "conio.h"

#include "windows.h"

#define	DEF_DLL_NAME		"KeyHook.dll"

#define	DEF_HOOKSTART		"HookStart"

#define	DEF_HOOKSTOP		"HookStop"

typedef void (*PFN_HOOKSTART)();

typedef void (*PFN_HOOKSTOP)();

void main()

{

	HMODULE			hDll = NULL;

	PFN_HOOKSTART	HookStart = NULL;

	PFN_HOOKSTOP	HookStop = NULL;

	char			ch = 0;

	//加载DLL

	hDll = LoadLibraryA(DEF_DLL_NAME);

    if( hDll == NULL )

    {

        printf("LoadLibrary(%s) failed!!! [%d]", DEF_DLL_NAME, GetLastError());

        return;

    }

  	//从DLL中获取函数地址

	HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, DEF_HOOKSTART);

	HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, DEF_HOOKSTOP);

  	//执行HookStart函数

	HookStart();

	printf("press 'q' to quit!\n");

	while( _getch() != 'q' )	;

	HookStop();

  	//卸载DLL

	FreeLibrary(hDll);

}

0x03 KeyHook.dll

#include "stdio.h"

#include "windows.h"

#define DEF_PROCESS_NAME		"notepad.exe"

HINSTANCE g_hInstance = NULL;

HHOOK g_hHook = NULL;

HWND g_hWnd = NULL;

//DLL中的Main函数

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved)

{

	switch( dwReason )

	{

        //DLL加载的时候

        case DLL_PROCESS_ATTACH:

        	//钩子过程(KeyboardProc)所属DLL句柄,即本DLL

			g_hInstance = hinstDLL;

			break;

		//DLL卸载的时候

        case DLL_PROCESS_DETACH:

			break;

	}

	return TRUE;

}

//钩子过程

//MSDN对KeyboardProc的定义:https://msdn.microsoft.com/en-us/library/ms644984(v=vs.85).aspx

//nCode :HC_ACTION(0), HC_NOREMOVE(3)

//wParam : 虚拟键值(virtual key code),对于键盘而言a和A具有相同的虚拟键值

//lParam 额外信息

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)

{

	char szPath[MAX_PATH] = {0,};

	char *p = NULL;

	if( nCode >= 0 )

	{

		// bit 31 : 0 => press, 1 => release

		if( !(lParam & 0x80000000) )

		{

			//获得应用程序的目录路径

			GetModuleFileNameA(NULL, szPath, MAX_PATH);

			p = strrchr(szPath, '\\');

			//对比当前进行是否为notepad.exe

			if( !_stricmp(p + 1, DEF_PROCESS_NAME) )

              	//终止KeyboardProc函数,意味着截获并删除信息

				return 1;

		}

	}

	//Passes the hook information to the next hook procedure in the current hook chain.

	return CallNextHookEx(g_hHook, nCode, wParam, lParam);

}

#ifdef __cplusplus

//关于为何使用ifdef __cplusplus

//参考:http://blog.csdn.net/miyunhong/article/details/4589541

extern "C" {

#endif

  	//DLL的导出函数

	__declspec(dllexport) void HookStart()

	{

      	//设置消息钩子

      	//WH_KEYBOARD 钩子类型

      	//参考:https://msdn.microsoft.com/en-us/library/ms644959(v=vs.85).aspx#wh_keyboardhook

      	//KeyboardProc 钩子过程(回调函数)

      	//g_hInstance 钩子过程所在DLL的句柄

      	//0 想要挂钩的线程ID,若为0则为全局Hook

		g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);

	}

	__declspec(dllexport) void HookStop()

	{

		if( g_hHook )

		{

			UnhookWindowsHookEx(g_hHook);

			g_hHook = NULL;

		}

	}

#ifdef __cplusplus

}

#endif

0x04 调试KeyLogger.dll

首先运行notepad.exe

然后再OD的”调试选择“中选择Event->Break on new moudle(DLL)

开启该选项后,每当有新的DLL装入被调试进程时就会停止调试

0x05 参考资料

  1. MSDN Hook

    https://msdn.microsoft.com/en-us/library/ms644959(v=vs.85).aspx

Reverse Core 第三部分 - 21章 - Windows消息钩取的更多相关文章

  1. DLL注入之windows消息钩取

    DLL注入之windows消息钩取 0x00 通过Windows消息的钩取 通过Windows消息钩取可以使用SetWindowsHookEx.该函数的原型如下: SetWindowsHookEx( ...

  2. 《逆向工程核心原理》Windows消息钩取

    DLL注入--使用SetWindowsHookEx函数实现消息钩取 MSDN: SetWindowsHookEx Function The SetWindowsHookEx function inst ...

  3. 逆向学习-Windows消息钩取

    钩子 Hook,就是钩子.偷看或截取信息时所用的手段或工具. 消息钩子 常规Windows流: 1.发生键盘输入事件时,WM_KEYDOWN消息被添加到[OS message queue]. 2.OS ...

  4. Windows消息钩取

    @author: dlive @date: 2016/12/19 0x01 SetWindowsHookEx() HHOOK SetWindowsHookEx( int idHook, //hook ...

  5. Reverse Core 第二部分 - 16&17章 - 基址重定位表&.reloc节区

    第16-17章 - 基址重定位表&.reloc节区 @date: 2016/11/31 @author: dlive 0x00 前言 这几天忙着挖邮箱漏洞,吃火锅,马上要被关禁闭,看书进度比较 ...

  6. Reverse Core 第二部分 - 14&15章 - 运行时压缩&调试UPX压缩的notepad

    @date: 2016/11/29 @author: dlive 0x00 前言 周六周日两天在打HCTF2016线上赛,没时间看书,打完比赛接着看~~ 0x01 运行时压缩 对比upx压缩前后的no ...

  7. 第三十四章 POSIX消息队列

    POSIX消息队列相关函数 mq_open 功能: 用来创建和访问一个消息队列 原型: mqd_t mq_open(const char *name, int oflag); //只能用来打开消息队列 ...

  8. C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(上)

    译文,个人原创,转载请注明出处(C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(上)),不对的地方欢迎指出与交流. 章节出自<Professional C ...

  9. C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(下)

    译文,个人原创,转载请注明出处(C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(下)),不对的地方欢迎指出与交流. 章节出自<Professional C ...

随机推荐

  1. php代码小实例

    php多图上传 <html> <meta http-equiv="Content-Type" content="text/html; charset=u ...

  2. 锋利的jQuery-读书笔记(二)

    知识小点: 1.由于$()获取的永远是对象,不管括号里面的元素是否存在都会获得对象.所以检测某个元素在网页上是否存在时,不能使用以下代码: if($("#tt")){ //do s ...

  3. 【codeforces 148D】 Bag of mice

    http://codeforces.com/problemset/problem/148/D (题目链接) 题意 包中有w个白鼠,b个黑鼠.公主和龙轮流画老鼠,公主先画,谁先画到白鼠谁就赢.龙每画完一 ...

  4. ubuntu10.04编译安装LAMP

    ubuntu10.04编译安装LAMP以及简单wordpress的使用 : http://linuxme.blog.51cto.com/1850814/971631 一.源码安装LAMP 网上有一堆关 ...

  5. 修改github.com域名解析

    http://ping.chinaz.com/  首先在这个网站查询 github.com 然后选择ping速度最好的IP地址 将其填充到hosts文件中.win7路径:C:\Windows\Syst ...

  6. Struts2之HelloWorld

    首先既然是开发Struts程序的话,那么自然需要用到Struts2开发包,Struts2是apache旗下的开源框架,所有的开发包和源代码都可以在Apache官网下载. 那么,就来开始编写第一个Str ...

  7. jetty9内嵌到应用,并在启动后加载WebApplicationInitializer,可运行jsp

    声明:本文所介绍的两功能都已经测试通过. 第一步先确保你用的是java 8,并依赖需要的相关jar包,以下是用gradle进行依赖的信息: ext { taglibsStandardVersion = ...

  8. hao916,hao123,2345.com浏览器劫持-分析与清除

    装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)结果浏览器总是被加小尾巴跳转到hao123 http://hao.qquu8.com/?v=108 ...

  9. EBS中利用Socket与外系统通信

    某银行要求做一个签到签退功能,日终EBS系统发送报文与核心系统对帐,规定利用Socket来做传送,记录下步骤: 1.编辑: $INST_TOP/ora/10.1.3/j2ee/oacore/appli ...

  10. 常用ubuntu命令

    解压缩.7z sudo apt-get install p7zip-full 7z x PACKAGE.7z 查看图片 eog A.png 关闭打开触摸板(触点) sudo rmmod psmouse ...