常見註入手法第四講,SetWindowsHookEx全局鉤子註入.以及註入QQ32位實戰.
常見註入手法第四講,SetWindowsHookEx全局鉤子註入.以及註入QQ32位實戰.
PS:上面是操作.最後是原理
一丶需要了解的API
使用全局鉤子註入.我們需要了解幾個WindowsAPI. 不需要太多.
1. 設置鉤子API
HHOOK WINAPI SetWindowsHookEx( _In_ int idHook, 設置鉤子的類型.意思就是我要設置的鉤子是什麽鉤子. 可以是監視窗口過程.可以是監視消息隊列. _In_ HOOKPROC lpfn, 根據鉤子類型.設置不同的回調函數. _In_ HINSTANCE hMod, 鉤子設置的Dll實例句柄,就是DLL的句柄 _In_ DWORD dwThreadId 設置鉤子的線程ID. 如果為0 則設置為全局鉤子. );
HHOOK 返回值. 是一個鉤子過程句柄.
2.獲取模塊句柄API
HMODULE WINAPI GetModuleHandle(
_In_opt_ LPCTSTR lpModuleName 獲取的實例句柄的文件名.可以是Dll可以使exe 如果為NULL 這是當前dll/exe的實例句柄
); 返回值 返回實例句柄.
3.取消設置鉤子API
BOOL WINAPI UnhookWindowsHookEx( _In_ HHOOK hhk 參數一是 SetWindowHookEx的返回值.也就是鉤子過程句柄. ); 返回值: 返回值是BOOL類型.表示設置是否成功或者失敗.
4.繼續調用鉤子鏈中的鉤子過程.
LRESULT WINAPI CallNextHookEx( _In_opt_ HHOOK hhk, 保存的鉤子過程,也就是SetWindowsHookEx返回值. _In_ int nCode, 根據SetWindowsHookEx設置的鉤子回調而產生的不同的nCode代碼. 什麽意思? 意思就是如果設置的鉤子類型是鼠標消息.那麽那個nCode就是鼠標消息.如果是鍵盤這是鍵盤 _In_ WPARAM wParam, 同2參數一樣.附加參數. 根據鉤子回調類型.附加參數有不同的意義.比如如果是鼠標.那麽這個有可能代表的就是鼠標的x位置.鍵盤就可能是鍵代碼 _In_ LPARAM lParam 同3參數一樣.附加參數. );
5.鉤子回調
鉤子回調根據SetWindowsHookEx參數1來設定的.比如如果我們設置WH_CBT 那麽我們設置的回調函數就是CBT回調. 具體查詢MSDN
LRESULT CALLBACK CBTProc( 這個回調函數裏面寫我們的代碼就可以了. _In_ int nCode, _In_ WPARAM wParam, _In_ LPARAM lParam );
二丶全局鉤子註入步驟.
其實看上面幾個API其實註入就不難了.
那麽鑒於學習.說一下註入的步驟.
1.調用SetWindowsHookEx設置鉤子.
2.在設置過程中.需要一個回調.所以我們填入一個回調.
3.回調函數中調用CallNextHookEx函數. 如果不調用.那麽相當於我們設置了不反悔.程序可能出現問題.當然是按需返回.
4.取消HOOK設置.
步驟就四步.那麽我們開始.
1.建立DLL工程. 建立DLL工程可以使用VC++6.0 也可以使用VS系列都可以.這裏就不在累贅. 建立DLL工程很簡單.如果不會網絡百度.
2.工程中添加一個HOOK.h的頭文件.以及一個HOOK.cpp的實現文件.
3.編寫代碼.
HOOK.h中的代碼.
#pragma once #define MYWINDAPIEXPORT __declspec(dllexport) HHOOK g_HookProc; //定義為全局HOOK 返回的鉤子過程 void MYWINDAPIEXPORT SetHook();//設置HOOK鉤子. //我們的啟動函數.導出函數.外部設置HOOK void MYWINDAPIEXPORT UnHook(); //取消設置HOOK LRESULT CALLBACK MyProc(int nCode, WPARAM wParam, LPARAM lParam); //設置HOOK過程中需要的回調函數
HOOK.cpp的代碼.
#include <Windows.h> #include "HOOK.H" void MYWINDAPIEXPORT SetHook() { g_HookProc = ::SetWindowsHookEx(WH_CBT, MyProc,GetModuleHandle(TEXT("Win32Project1.dll")),0); //參數1.HOOK的類型. Hook的回調地址 模塊句柄. 線程ID,為0代表是全局鉤子 } void MYWINDAPIEXPORT UnHook() //取消設置HOOK { if (NULL != g_HookProc) ::UnhookWindowsHookEx(g_HookProc); } LRESULT CALLBACK MyProc(int nCode, WPARAM wParam, LPARAM lParam) //我們自己的程序處理 { /* 執行我們的程序 */ ::MessageBox(NULL, NULL, NULL, NULL); return CallNextHookEx(g_HookProc, nCode, wParam, lParam); //繼續調用鉤子過程 }
上面的.h + cpp就是我們的的代碼的.那麽我們還需要一個外部程序來調用我們的導出函數 SetHOOK() 以及 UnHOOK.
因為SetHook 和 UnHOOK導出函數是在dll中使用的.所以我們想要使用 這兩個函數有兩種方法.
1.靜態調用: 再生成DLL的時候會生成對應的lib. 我們需要在我們的程序中 添加 .h頭文件. 使用宏指令包含.lib文件.
2.動態調用. 動態調用涉及到兩個API. 一個是Loadlibaray() GetProcAddress() 第一個是獲取dll的實例句柄. 第二個是根據實例句柄以及函數名來獲取函數的地址. 也稱為函數指針.
這裏采用第一種方法.如果采用第二種方法.也可以.但是我們的代碼需要加上 extends "C" 來導出.不然就名稱粉碎了.那麽使用GetProcAddress填寫函數名就獲取不到函數指針了.
新建MFC工程.
1.添加HOOK.h頭文件.
2.使用宏命令包含我們的dll的lib #pragam comment(lib,"xxxx.lib")
3.在Hook按鈕點擊位置調用導出函數SetHOOK.
4.在UnHOOK按鈕點位置.調用導出函數UnHOOK.
1.界面:
2.我們原有的HOOK.H文件.
3.靜態使用的lib庫.
4.按鈕點擊裏面的函數調用.
5.使用工具查看是否註入了DLL 推薦是Pchunter工具.
可以看到已經註入了.
PS: 因為我們寫的是32位DLL所以註入的程序都是32位的.如果是64位DLL那麽註入到程序應該為64.詳情請查詢MSDN SetWindosHookEx.
三丶原理講解
上面講了這麽多操作.原理應該不是太懂.
其實SetWindowsHookEx就是在應用程序執行過程中.替我們加了一層. 而我們提供回調地址那麽當操作來了就會通知我們回調.這個時候我們回調函數就可以做我們的事情了.
比如:
A函數 -> B函數 -> C函數. 正常執行流程是 A函數調用B B調用C.
而我們添加了一層.
A - 我們 (利用CallNextHookEx決定是否調用下一個過程) 是 - >B ->C
A ->我們(不是的情況下) 不調用B.
DLL怎麽註入的疑問?
上圖我們寫的這麽多.並沒有針對QQ或者其他32位程序註入DLL. 為什麽會註入了DLL.
原理:
原理就是我們的窗口程序. 直接使用DLL裏面的SetWindowsHookEx設置了一個回調. 而這個API是給全局所有應用程序都設置了這個回調.那麽如果有32位程序會觸發回調.那麽我們的DLL就會註入到裏面去了.
常見註入手法第四講,SetWindowsHookEx全局鉤子註入.以及註入QQ32位實戰.