@author: dlive

@date: 2016/12/19

0x01 SetWindowsHookEx()

HHOOK SetWindowsHookEx(

	int idHook,   //hook type

	HOOKPROC lpfn, //hook procedure(回调函数)

	HINSTANCE hMod, //hook procedure所属的DLL句柄

	DWORD dwThreadId //想要挂钩的线程ID

);

使用SetWindowsHookEx() API可以轻松实现消息钩子。用于将制定的“钩子过程”注册到钩链中。无论在DLL内部还是外部都可以调用。(下面的例子是在DLL内部调用的)

hook procedure(钩子过程) 是由操作系统调用的回调函数,安装消息钩子时,钩子过程需要存在于某个DLL内部,且该DLL的instance handle(示例句柄)即是hMod

若dwThreadID参数被设置为0,则安装的钩子为全局钩子,它会影响到运行中的所有进程

0x02 HookMain.exe

#include "stdio.h"

#include "conio.h"

#include "windows.h"

#define	DEF_DLL_NAME		"KeyHook.dll"

#define	DEF_HOOKSTART		"HookStart"

#define	DEF_HOOKSTOP		"HookStop"

typedef void (*PFN_HOOKSTART)();

typedef void (*PFN_HOOKSTOP)();

void main()

{

	HMODULE			hDll = NULL;

	PFN_HOOKSTART	HookStart = NULL;

	PFN_HOOKSTOP	HookStop = NULL;

	char			ch = 0;

	//加载DLL

	hDll = LoadLibraryA(DEF_DLL_NAME);

    if( hDll == NULL )

    {

        printf("LoadLibrary(%s) failed!!! [%d]", DEF_DLL_NAME, GetLastError());

        return;

    }

  	//从DLL中获取函数地址

	HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, DEF_HOOKSTART);

	HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, DEF_HOOKSTOP);

  	//执行HookStart函数

	HookStart();

	printf("press 'q' to quit!\n");

	while( _getch() != 'q' )	;

	HookStop();

  	//卸载DLL

	FreeLibrary(hDll);

}

0x03 KeyHook.dll

#include "stdio.h"

#include "windows.h"

#define DEF_PROCESS_NAME		"notepad.exe"

HINSTANCE g_hInstance = NULL;

HHOOK g_hHook = NULL;

HWND g_hWnd = NULL;

//DLL中的Main函数

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved)

{

	switch( dwReason )

	{

        //DLL加载的时候

        case DLL_PROCESS_ATTACH:

        	//钩子过程(KeyboardProc)所属DLL句柄,即本DLL

			g_hInstance = hinstDLL;

			break;

		//DLL卸载的时候

        case DLL_PROCESS_DETACH:

			break;

	}

	return TRUE;

}

//钩子过程

//MSDN对KeyboardProc的定义:https://msdn.microsoft.com/en-us/library/ms644984(v=vs.85).aspx

//nCode :HC_ACTION(0), HC_NOREMOVE(3)

//wParam : 虚拟键值(virtual key code),对于键盘而言a和A具有相同的虚拟键值

//lParam 额外信息

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)

{

	char szPath[MAX_PATH] = {0,};

	char *p = NULL;

	if( nCode >= 0 )

	{

		// bit 31 : 0 => press, 1 => release

		if( !(lParam & 0x80000000) )

		{

			//获得应用程序的目录路径

			GetModuleFileNameA(NULL, szPath, MAX_PATH);

			p = strrchr(szPath, '\\');

			//对比当前进行是否为notepad.exe

			if( !_stricmp(p + 1, DEF_PROCESS_NAME) )

              	//终止KeyboardProc函数,意味着截获并删除信息

				return 1;

		}

	}

	//Passes the hook information to the next hook procedure in the current hook chain.

	return CallNextHookEx(g_hHook, nCode, wParam, lParam);

}

#ifdef __cplusplus

//关于为何使用ifdef __cplusplus

//参考:http://blog.csdn.net/miyunhong/article/details/4589541

extern "C" {

#endif

  	//DLL的导出函数

	__declspec(dllexport) void HookStart()

	{

      	//设置消息钩子

      	//WH_KEYBOARD 钩子类型

      	//参考:https://msdn.microsoft.com/en-us/library/ms644959(v=vs.85).aspx#wh_keyboardhook

      	//KeyboardProc 钩子过程(回调函数)

      	//g_hInstance 钩子过程所在DLL的句柄

      	//0 想要挂钩的线程ID,若为0则为全局Hook

		g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);

	}

	__declspec(dllexport) void HookStop()

	{

		if( g_hHook )

		{

			UnhookWindowsHookEx(g_hHook);

			g_hHook = NULL;

		}

	}

#ifdef __cplusplus

}

#endif

0x04 调试KeyLogger.dll

首先运行notepad.exe

然后再OD的”调试选择“中选择Event->Break on new moudle(DLL)

开启该选项后,每当有新的DLL装入被调试进程时就会停止调试

0x05 参考资料

  1. MSDN Hook

    https://msdn.microsoft.com/en-us/library/ms644959(v=vs.85).aspx

Reverse Core 第三部分 - 21章 - Windows消息钩取的更多相关文章

  1. DLL注入之windows消息钩取

    DLL注入之windows消息钩取 0x00 通过Windows消息的钩取 通过Windows消息钩取可以使用SetWindowsHookEx.该函数的原型如下: SetWindowsHookEx( ...

  2. 《逆向工程核心原理》Windows消息钩取

    DLL注入--使用SetWindowsHookEx函数实现消息钩取 MSDN: SetWindowsHookEx Function The SetWindowsHookEx function inst ...

  3. 逆向学习-Windows消息钩取

    钩子 Hook,就是钩子.偷看或截取信息时所用的手段或工具. 消息钩子 常规Windows流: 1.发生键盘输入事件时,WM_KEYDOWN消息被添加到[OS message queue]. 2.OS ...

  4. Windows消息钩取

    @author: dlive @date: 2016/12/19 0x01 SetWindowsHookEx() HHOOK SetWindowsHookEx( int idHook, //hook ...

  5. Reverse Core 第二部分 - 16&17章 - 基址重定位表&.reloc节区

    第16-17章 - 基址重定位表&.reloc节区 @date: 2016/11/31 @author: dlive 0x00 前言 这几天忙着挖邮箱漏洞,吃火锅,马上要被关禁闭,看书进度比较 ...

  6. Reverse Core 第二部分 - 14&15章 - 运行时压缩&调试UPX压缩的notepad

    @date: 2016/11/29 @author: dlive 0x00 前言 周六周日两天在打HCTF2016线上赛,没时间看书,打完比赛接着看~~ 0x01 运行时压缩 对比upx压缩前后的no ...

  7. 第三十四章 POSIX消息队列

    POSIX消息队列相关函数 mq_open 功能: 用来创建和访问一个消息队列 原型: mqd_t mq_open(const char *name, int oflag); //只能用来打开消息队列 ...

  8. C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(上)

    译文,个人原创,转载请注明出处(C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(上)),不对的地方欢迎指出与交流. 章节出自<Professional C ...

  9. C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(下)

    译文,个人原创,转载请注明出处(C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(下)),不对的地方欢迎指出与交流. 章节出自<Professional C ...

随机推荐

  1. Fragment完全解析

    Android Fragment 的使用,一些你不可不知的注意事项 Fragment全解析系列(一):那些年踩过的坑 Fragment全解析系列(二):正确的使用姿势 Fragment之我的解决方案: ...

  2. 每日一记-mybatis碰到的疑惑:String类型可以传入多个参数吗

    碰到一个觉得很疑惑的问题,Mybatis的parameterType为String类型的时候,能够接收多个参数的吗? 背景 初学Mybatis的时候,看的教程和书籍上都是在说基本的数据类型如:int. ...

  3. 链表反转leetcode206

    最近准备结束自己的科研生涯,准备要开始找工作了,准备在LEETCODE刷刷题...刷的前40题全部用python刷的,各种调包速度奇快,后被师哥告知这样没意义,于是准备开始回归C++,Python用的 ...

  4. bat转exe工具 Bat To Exe Converter v2.4.7 绿色版

    一款非常小巧的工具,从它的名称便能知道它的功能:它能将BAT或CMD文件转换成 EXE 文件.使用它,你可以保护由自己开发的软件的软件代码,创建一个漂亮的图标,让软件看起来更专业. 下载地址: htt ...

  5. 图文混排--CoreText的简单运用

    常见的在一些微博微信中可以看见一段文字中有不同的字体,字体有不同的颜色,并且可能会有一些笑脸之类的表情,这些可以通过图文混排做到. 图文混排可以通过WebView和CoreText做到,其他还有别的方 ...

  6. iOS持续写文件到本地

    NSString *tempSavePath = [NSString stringWithFormat:@"%@/Documents",kDocumentPath]; NSFile ...

  7. pureftp在centos下与MySQL搭配使用

    概述 pure-ftpd是linux下的一个ftp服务端,据说安全性较高.我在centos6下用yum安装pure-ftpd,并配置了通过MySQL进行用户的增删改查,以及对应到apache的web目 ...

  8. .net 过滤json等字符串里的特殊字符

    JSON现在是很常见的处理数据的方式了,但是在使用JSON的时候,有些特殊字符会让我们得到非预期的结果.JSon数据中常见的特殊字符有:引号,正斜杠,反斜杠,换行符号等.下面介绍JSON中的特殊字符该 ...

  9. Scrum Meeting 20161205

    本周Sprint Master 史少帅 一. 会议概要 作为一个新的sprint的开端,本次scrum meeting总结了每个人过去以来的工作,并明确了下一步的计划,具体如下: 工作总结: · 陈双 ...

  10. 为什么FFT时域补0后,经FFT变换就是频域进行内插?

    应该这样来理解这个问题: 补0后的DFT(FFT是DFT的快速算法),实际上公式并没变,变化的只是频域项(如:补0前FFT计算得到的是m*2*pi/M处的频域值, 而补0后得到的是n*2*pi/N处的 ...