@author: dlive

@date: 2016/12/19

0x01 SetWindowsHookEx()

HHOOK SetWindowsHookEx(

	int idHook,   //hook type

	HOOKPROC lpfn, //hook procedure(回调函数)

	HINSTANCE hMod, //hook procedure所属的DLL句柄

	DWORD dwThreadId //想要挂钩的线程ID

);

使用SetWindowsHookEx() API可以轻松实现消息钩子。用于将制定的“钩子过程”注册到钩链中。无论在DLL内部还是外部都可以调用。(下面的例子是在DLL内部调用的)

hook procedure(钩子过程) 是由操作系统调用的回调函数,安装消息钩子时,钩子过程需要存在于某个DLL内部,且该DLL的instance handle(示例句柄)即是hMod

若dwThreadID参数被设置为0,则安装的钩子为全局钩子,它会影响到运行中的所有进程

0x02 HookMain.exe

#include "stdio.h"

#include "conio.h"

#include "windows.h"

#define	DEF_DLL_NAME		"KeyHook.dll"

#define	DEF_HOOKSTART		"HookStart"

#define	DEF_HOOKSTOP		"HookStop"

typedef void (*PFN_HOOKSTART)();

typedef void (*PFN_HOOKSTOP)();

void main()

{

	HMODULE			hDll = NULL;

	PFN_HOOKSTART	HookStart = NULL;

	PFN_HOOKSTOP	HookStop = NULL;

	char			ch = 0;

	//加载DLL

	hDll = LoadLibraryA(DEF_DLL_NAME);

    if( hDll == NULL )

    {

        printf("LoadLibrary(%s) failed!!! [%d]", DEF_DLL_NAME, GetLastError());

        return;

    }

  	//从DLL中获取函数地址

	HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, DEF_HOOKSTART);

	HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, DEF_HOOKSTOP);

  	//执行HookStart函数

	HookStart();

	printf("press 'q' to quit!\n");

	while( _getch() != 'q' )	;

	HookStop();

  	//卸载DLL

	FreeLibrary(hDll);

}

0x03 KeyHook.dll

#include "stdio.h"

#include "windows.h"

#define DEF_PROCESS_NAME		"notepad.exe"

HINSTANCE g_hInstance = NULL;

HHOOK g_hHook = NULL;

HWND g_hWnd = NULL;

//DLL中的Main函数

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved)

{

	switch( dwReason )

	{

        //DLL加载的时候

        case DLL_PROCESS_ATTACH:

        	//钩子过程(KeyboardProc)所属DLL句柄,即本DLL

			g_hInstance = hinstDLL;

			break;

		//DLL卸载的时候

        case DLL_PROCESS_DETACH:

			break;

	}

	return TRUE;

}

//钩子过程

//MSDN对KeyboardProc的定义:https://msdn.microsoft.com/en-us/library/ms644984(v=vs.85).aspx

//nCode :HC_ACTION(0), HC_NOREMOVE(3)

//wParam : 虚拟键值(virtual key code),对于键盘而言a和A具有相同的虚拟键值

//lParam 额外信息

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)

{

	char szPath[MAX_PATH] = {0,};

	char *p = NULL;

	if( nCode >= 0 )

	{

		// bit 31 : 0 => press, 1 => release

		if( !(lParam & 0x80000000) )

		{

			//获得应用程序的目录路径

			GetModuleFileNameA(NULL, szPath, MAX_PATH);

			p = strrchr(szPath, '\\');

			//对比当前进行是否为notepad.exe

			if( !_stricmp(p + 1, DEF_PROCESS_NAME) )

              	//终止KeyboardProc函数,意味着截获并删除信息

				return 1;

		}

	}

	//Passes the hook information to the next hook procedure in the current hook chain.

	return CallNextHookEx(g_hHook, nCode, wParam, lParam);

}

#ifdef __cplusplus

//关于为何使用ifdef __cplusplus

//参考:http://blog.csdn.net/miyunhong/article/details/4589541

extern "C" {

#endif

  	//DLL的导出函数

	__declspec(dllexport) void HookStart()

	{

      	//设置消息钩子

      	//WH_KEYBOARD 钩子类型

      	//参考:https://msdn.microsoft.com/en-us/library/ms644959(v=vs.85).aspx#wh_keyboardhook

      	//KeyboardProc 钩子过程(回调函数)

      	//g_hInstance 钩子过程所在DLL的句柄

      	//0 想要挂钩的线程ID,若为0则为全局Hook

		g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);

	}

	__declspec(dllexport) void HookStop()

	{

		if( g_hHook )

		{

			UnhookWindowsHookEx(g_hHook);

			g_hHook = NULL;

		}

	}

#ifdef __cplusplus

}

#endif

0x04 调试KeyLogger.dll

首先运行notepad.exe

然后再OD的”调试选择“中选择Event->Break on new moudle(DLL)

开启该选项后,每当有新的DLL装入被调试进程时就会停止调试

0x05 参考资料

  1. MSDN Hook

    https://msdn.microsoft.com/en-us/library/ms644959(v=vs.85).aspx

Windows消息钩取的更多相关文章

  1. DLL注入之windows消息钩取

    DLL注入之windows消息钩取 0x00 通过Windows消息的钩取 通过Windows消息钩取可以使用SetWindowsHookEx.该函数的原型如下: SetWindowsHookEx( ...

  2. 《逆向工程核心原理》Windows消息钩取

    DLL注入--使用SetWindowsHookEx函数实现消息钩取 MSDN: SetWindowsHookEx Function The SetWindowsHookEx function inst ...

  3. Reverse Core 第三部分 - 21章 - Windows消息钩取

    @author: dlive @date: 2016/12/19 0x01 SetWindowsHookEx() HHOOK SetWindowsHookEx( int idHook, //hook ...

  4. 逆向学习-Windows消息钩取

    钩子 Hook,就是钩子.偷看或截取信息时所用的手段或工具. 消息钩子 常规Windows流: 1.发生键盘输入事件时,WM_KEYDOWN消息被添加到[OS message queue]. 2.OS ...

  5. SetWindowsHookEx 消息钩取进程卡死

    <逆向工程核心原理> windows消息钩取部分的例子在win10下卡死,失败.通过搜索发现,要保证钩取的进程与注入的dll要保持cpu平台相同 SetWindowsHookEx可用于将d ...

  6. windows消息钩子注册底层机制浅析

    标 题: [原创]消息钩子注册浅析 作 者: RootSuLe 时 间: 2011-06-18,23:10:34 链 接: http://bbs.pediy.com/showthread.php?t= ...

  7. x64 下记事本WriteFile() API钩取

    <逆向工程核心原理>第30章 记事本WriteFile() API钩取 原文是在x86下,而在x64下函数调用方式为fastcall,前4个参数保存在寄存器中.在原代码基础上进行修改: 1 ...

  8. Windows消息机制详解

    消息是指什么?      消息系统对于一个win32程序来说十分重要,它是一个程序运行的动力源泉.一个消息,是系统定义的一个32位的值,他唯一的定义了一个事件,向 Windows发出一个通知,告诉应用 ...

  9. Windows消息机制知识点总结

    1.windows消息类型 以下四种,前三种是系统消息,范围在[0x0000, 0x03ff],第四种是用户自定义消息. 1.1 窗口消息 与窗口的内部运作有关,如创建窗口,绘制窗口,销毁窗口等.可以 ...

随机推荐

  1. 大数模板Java

    import java.util.*; import java.math.BigInteger; public class Main{ public static void main(String a ...

  2. 笔记-算法-KMP算法

    笔记-算法-KMP算法 1.      KMP算法 KMP算法是一种改进的字符串匹配算法,KMP算法的关键是利用匹配失败后的信息,尽量减少模式串与主串的匹配次数以达到快速匹配的目的.具体实现就是实现一 ...

  3. bash shell命令与监测的那点事(三)

    bash shell命令与监测的那点事之df与du 前两篇介绍了bash shell的进程监控指令,但是有时候你需要知道在某个设备上还有多少磁盘空间.首先介绍df命令: df命令 df命令就是用来轻松 ...

  4. STL 里面的几个容器简叙

    出处:http://blog.csdn.net/niushuai666/article/details/6654951 list1.list的成员函数push_back()把一个对象放到一个list的 ...

  5. Python对文本文件的简单操作(一)

    工作背景 性能测试工程师,主要测试工具--loadrunner,主要是接口测试. 实现功能 loadrunner对报文格式的转换存在问题,部分报文无法转换,故使用Python编写脚本自动将soap协议 ...

  6. 在同一个sql语句中如何写不同条件的count数量 (转)

    end) end)"描述名称2" from 表名 t

  7. 查找docker log久远数据方法

    问题描述: 同事发现几天前运行的一个文件id存在错误,需要查看docker log,但是使用docker logs -f container_id 上下翻很耗费时间. 解决思路: 每条对应的log都会 ...

  8. PAT1021

    给定一个k位整数N = dk-1*10k-1 + ... + d1*101 + d0 (0<=di<=9, i=0,...,k-1, dk-1>0),请编写程序统计每种不同的个位数字 ...

  9. 目标检测算法SSD在window环境下GPU配置训练自己的数据集

    由于最近想试一下牛掰的目标检测算法SSD.于是乎,自己做了几千张数据(实际只有几百张,利用数据扩充算法比如镜像,噪声,切割,旋转等扩充到了几千张,其实还是很不够).于是在网上找了相关的介绍,自己处理数 ...

  10. PAT 甲级 1047 Student List for Course

    https://pintia.cn/problem-sets/994805342720868352/problems/994805433955368960 Zhejiang University ha ...