• HOOK 系统消息


    微软提供了一个消息HOOKAPI

    SetWindowsHookEx()

    一般情况下此API函数多用于注入。

    HHOOK WINAPI SetWindowsHookEx(
    __in int idHook,            //钩子类型
    __in HOOKPROC lpfn,         //回调函数地址
    __in HINSTANCE hMod,         //实例句柄
    __in DWORD dwThreadId);     //线程ID

    详情:https://msdn.microsoft.com/en-us/library/windows/desktop/ms644990(v=vs.85).aspx

    此API参数钩子的种类很多。从不同的角度可以把钩子分为不同的种类。

    按使用范围分类,主要有线程钩子和系统钩子:

     (1)线程钩子监视指定线程的事件消息或者API函数。

     (2)系统钩子监视系统中的所有线程的事件消息或者API函数。因为系统钩子会影响系统中所有的应用程序,所以钩子函数必须放在独立的动态链接库(DLL)中。

    按拦截对象分类,主要有消息钩子和API钩子 :

    (1)消息钩子是截获程序中的消息或事件的。

    (2)API钩子是拦截目标程序中调用的函数,替换或者修改调用函数的功能。

    消息钩子按事件消息分类,有如下的6种常用类型:

     (1)键盘钩子和低级键盘钩子可以监视各种键盘消息。

     (2)鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。

     (3)外壳钩子可以监视各种Shell事件消息,如启动和关闭应用程序。

     (4)日志钩子可以记录从系统消息队列中取出的各种事件消息。

     (5)窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。

     (6)还有一些其它的特定事件的钩子。

    如通过 Hook 监视目标的屏幕

    这里讲的监控跟平常的远程查看桌面不一样,也算是比较容易实现的版本。即,当用户鼠标发生点击的时候就把当前的页面截图留下。通过鼠标在多种情况下的屏幕截图来达到监视目标计算机的目的。

    以下为逻辑示例代码:

    /**
     * Hook 钩子处理函数
     */
    LRESULT CALLBACK MouseProc(int nCode, WPARAM wParam, LPARAM lParam) 
    {   
      // 变量定义 ...  
    
      if (nCode >= 0)
      {
        /* ... */
    
        // 左键按下时将屏幕截图
        if(wParam == WM_LBUTTONDOWN)
        {
          // 通过当前时间拼凑截图文件名
          getCurrentDateTime( /*...*/ );
          // 屏幕截图并保存到指定地址
          CaptureImage( /*... */);
        }
     
        /* ... */
      }
       
      // 将消息继续传递给窗口
      return CallNextHookEx(myhook, nCode, wParam, lParam);
    
      // 如果不调用 CallNextHookEx 的话消息就被你的 Hook 截断了
    }

    监测API:

    以上Ring3 Hook方法都会用到修改opcode字节即修改硬编码实现,所以都会使用修改内存保护属性API来修改内存属性,VirtualProrectEx();

    大多情况下会使用写内存API函数WriteProcessMemory()进行改写内存。

    系统消息钩子API SetWindowsHookEx();

    设置异常捕获函数 SetUnhandleExceptionFilter();

    注册一个向量的异常处理程序 AddVectoredExceptionHandler();

    
    
  • 相关阅读:
    jqueryUI弹出框问题
    spring data jpa分页
    解决eclipse编辑js和html卡的问题
    web.xml添加编码过滤器
    Apache SolrCloud安装
    搭建zookeeper集群
    html页面读取PDF小案例
    .NET 使用Process调用7_zip解压文件
    .NET 中三种正确的单例写法
    Git 笔记
  • 原文地址:https://www.cnblogs.com/Viwilla/p/5393197.html
Copyright © 2020-2023  润新知