易语言勾子.pdf
易语言勾子勾子基本概念本期导读:什么叫勾子,勾子又起什么作用,它有那些类别,怎么使用,等等这些问题将在本期找到答案=基本概念钩子(Hook),是 Windows 消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window 消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。运行机制1、钩子链表和钩子子程:每一个 Hook 都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。这个列表的指针指向指定的,应用程序定义的,被Hook 子程调用的回调函数,也就是该钩子的各个处理子程。当与指定的Hook 类型关联的消息发生时,系统就把这个消息传递到Hook 子程。一些 Hook 子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个Hook 子程或者目的窗口。最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载,Windows 便释放其占用的内存,并更新整个Hook 链表。如果程序安装了钩子,但是在尚未卸载钩子之前就结束了,那么系统会自动为它做卸载钩子的操作。钩子子程是一个应用程序定义的回调函数(CALLBACK Function),不能定义成某个类的成员函数,只能定义为普通的C 函数。用以监视系统或某一特定类型的事件,这些事件可以是与某一特定线程关联的,也可以是系统中所有线程的事件。钩子子程必须按照以下的语法:LRESULT CALLBACK HookProc(int nCode,WPARAM wParam,LPARAM lParam);当然上面是在 C 中的表达方式,意思是说这个直定义的钩子子程必须有3 个参数,在易中应象这样表达:.子程序 HookProc,整数型,公开,钩子回调函数.参数 ncode,整数型.参数 wParam,整数型.参数 lParam,整数型HookProc 是应用程序定义的名字。nCode 参数是 Hook 代码,Hook 子程使用这个参数来确定任务。这个参数的值依赖于 Hook 类型,每一种 Hook 都有自己的 Hook 代码特征字符集。wParam 和 lParam 参数的值依赖于 Hook 代码,但是它们的典型值是包含了关于发送或者接收消息的信息。2、钩子的安装与释放:钩子的安装使用 API 函数 SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数总是在 Hook 链的开头安装 Hook 子程。当指定类型的 Hook 监视的事件发生时,系统就调用与这个Hook 关联的 Hook 链的开头的 Hook 子程。每一个 Hook 链中的 Hook 子程都决定是否把这个事件传递到下一个 Hook 子程。Hook 子程传递事件到下一个Hook 子程需要调用CallNextHookEx 函数。HHOOK SetWindowsHookEx(int idHook,/参数 HOOKPROC lpfn,/参数 HINSTANCE hMod,/参数 DWORD dwThreadId /参数);在易中则这样声明DLL:.DLL 命令 api_SetWindowsHookExA,整数型,SetWindowsHookExA .参数 idHook,整数型 .参数 lpfn,子程序指针 .参数 nMod,整数型 .参数 dwThreadID,整数型参数idHook 是钩子的类型,即它处理的消息类型参数lpfn 是钩子子程的地址指针。如果dwThreadId 参数为 0,或是一个由别的进程创建的线程的标识lpfn 必须指向 DLL 中的钩子子程。除此以外,lpfn 可以指向当前进程的一段钩子子程代码。参数nMod 是应用程序实例的句柄。标识包含 lpfn 所指的子程的 DLL,如果 dwThreadId 标识当前进程创建的一个线程,而且子程代码位于当前进程,hMod 必须为 NULL。可以很简单的设定其为本应用程序的实例句柄。参数dwThreadID:与安装的钩子子程相关联的线程的标识符,如果为 0,钩子子程与所有的线程关联即为全局钩子。函数成功则返回钩子子程的句柄,失败返回(NULL)0。钩子的循环以上所说的钩子子程与线程相关联是指在一钩子链表中发给该线程的消息同时发送给钩子子程,且被钩子子程先处理。在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另外一个 SDK 中的 API 函数 CallNextHookEx 来传递它,以执行钩子链表所指的下一个钩子子程。这个函数成功时返回钩子链中下一个钩子过程的返回值,返回值的类型依赖于钩子的类型。这个函数的原型如下:LRESULT CallNextHookEx(HHOOK hhook;int nCode;WPARAM wParam;LPARAM lParam;);在易中则这样声明DLL:.DLL 命令 CallNextHookEx,整数型,CallNextHookEx .参数 hhook,整数型 .参数 nCode,整数型 .参数 wParam,整数型 .参数 lParam,整数型hk 为当前钩子的句柄,由SetWindowsHookEx()函数返回。NCode 为传给钩子过程的事件代码。wParam 和 lParam 分别是传给钩子子程的wParam 值,其具体含义与钩子类型有关。钩子函数也可以通过直接返回(TRUE)真来丢弃该消息,并阻止该消息的传递。否则的话,其他安装了钩子的应用程序将不会接收到钩子的通知而且还有可能产生不正确的结果。钩子的卸载钩子在使用完之后需要用UnHookWindowsHookEx()卸载,否则会造成麻烦。释放钩子比较简单,UnHookWindowsHookEx()只有一个参数。函数原型如下:UnHookWindowsHookEx(HHOOK hhk;);在易中则这样声明DLL:.DLL 命令 api_UnhookWindowsHookEx,逻辑型,UnhookWindowsHookEx .参数 hhook,整数型函数成功返回(TRUE)真,否则返回(FALSE)假。3、一些运行机制:在 Win16 环境中,DLL 的全局数据对每个载入它的进程来说都是相同的;而在Win32 环境中,情况却发生了变化,DLL 函数中的代码所创建的任何对象(包括变量)都归调用它的线程或进程所有。当进程在载入DLL 时,操作系统自动把DLL 地址映射到该进程的私有空间,也就是进程的虚拟地址空间,而且也复制该DLL 的全局数据的一份拷贝到该进程空间。也就是说每个进程所拥有的相同的DLL 的全局数据,它们的名称相同,但其值却并不一定是相同的,而且是互不干涉的。因此,在 Win32 环境下要想在多个进程中共享数据,就必须进行必要的设置。在访问同一个 Dll 的各进程之间共享存储器是通过存储器映射文件技术实现的。也可以把这些需要共享的数据分离出来,放置在一个独立的数据段里,并把该段的属性设置为共享。必须给这些变量赋初值,否则编译器会把没有赋初始值的变量放在一个叫未被初始化的数据段中。#pragma data_seg预处理指令用于设置共享数据段。例如:#pragma data_seg(SharedDataName)HHOOK hHook=NULL;#pragma data_seg()在#pragma data_seg(SharedDataName)和#pragma data_seg()之间的所有变量将被访问该 Dll 的所有进程看到和共享。再加上一条指令#pragma comment(linker,/section:.SharedDataName,rws),那么这个数据节中的数据可以在所有 DLL 的实例之间共享。所有对这些数据的操作都针对同一个实例的,而不是在每个进程的地址空间中都有一份。当进程隐式或显式调用一个动态库里的函数时,系统都要把这个动态库映射到这个进程的虚拟地址空间里(以下简称 地址空间)。这使得 DLL 成为进程的一部分,以这个进程的身份执行,使用这个进程的堆栈。4、系统钩子与线程钩子:SetWindowsHookEx()函数的最后一个参数决定了此钩子是系统钩子还是线程钩子。线程勾子用于监视指定线程的事件消息。线程勾子一般在当前线程或者当前线程派生的线程内。系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序,所以勾子函数必须放在独立的动态链接库(DLL)中。系统自动将包含钩子回调函数 的 DLL 映射到受钩子函数影响的所有进程的地址空间中,即将这个 DLL 注入了那些进程。几点说明:(1)如果对于同一事件(如鼠标消息)既安装了线程勾子又安装了系统勾子,那么系统会自动先调用线程勾子,然后调用系统勾子。(2)对同一事件消息可安装多个勾子处理过程,这些勾子处理过程形成了勾子链。当前勾子处理结束后应把勾子信息传递给下一个勾子函数。(3)勾子特别是系统勾子会消耗消息处理时间,降低系统性能。只有在必要的时候才安装勾子,在使用完毕后要及时卸载。-钩子类型每一种类型的 Hook 可以使应用程序能够监视不同类型的系统消息处理机制。下面描述所有可以利用的Hook 类型。1、WH_CALLWNDPROC(4)和 WH_CALLWNDPROCRET Hooks(12)WH_CALLWNDPROC和 WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程,并且在窗口过程处理完消息之后调用WH_CALLWNDPROCRET Hook子程。WH_CALLWNDPROCRET Hook传递指针到 CWPRETSTRUCT结构,再传递到 Hook 子程。CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值,同样也包括了与这个消息关联的消息参数。2、WH_CBT(5)Hook 在以下事件之前,系统都会调用WH_CBT Hook 子程,这些事件包括:1.激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件;2.完成系统指令;3.来自系统消息队列中的移动鼠标,键盘事件;4.设置输入焦点事件;5.同步系统消息队列事件。Hook 子程的返回值确定系统是否允许或者防止这些操作中的一个。3、WH_DEBUG(9)Hook 在系统调用系统中与其他Hook 关联的 Hook 子程之前,系统会调用 WH_DEBUG Hook 子程。你可以使用这个Hook 来决定是否允许系统调用与其他Hook 关联的 Hook 子程。4、WH_FOREGROUNDIDLE(11)Hook 当应用程序的前台线程处于空闲状态时,可以使用WH_FOREGROUNDIDLE Hook 执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时,系统就会调用 WH_FOREGROUNDIDLE Hook子程。5、WH_GETMESSAGE(3)Hook 应用程序使用 WH_GETMESSAGE Hook来监视从 GetMessage or PeekMessage 函数返回的消息。你可以使用 WH_GETMESSAGE Hook去监视鼠标和键盘输入,以及其他发送到消息队列中的消息。6、WH_JOURNALPLAYBACK(1)Hook WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到系统消息队列。可以使用这个 Hook 回放通过使用 WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装,正常的鼠标和键盘事件就是无效的。WH_JOURNALPLAYBACK Hook是全局 Hook,它不能象线程特定Hook 一样使用。WH_JOURNALPLAYBACK Hook返回超时值,这个值告诉系统在处理来自回放Hook 当前消息之前需要等待多长时间(毫秒)。这就使Hook 可以控制实时事件的回放。WH_JOURNALPLAYBACK是 system-wide local hooks,它們不會被注射到任何行程位址空間。7、WH_JOURNALRECORD(0)Hook WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的,可以使用这个 Hook 记录连续的鼠标和键盘事件,然后通过使用 WH_JOURNALPLAYBACK Hook 来回放。WH_JOURNALRECORD Hook是全局 Hook,它不能象线程特定Hook 一样使用。WH_JOURNALRECORD是 system-wide local hooks,它們不會被注射到任何行程位址空間。8、WH_KEYBOARD(2)Hook 在应用程序中,WH_KEYBOARD Hook用来监视 WM_KEYDOWN and WM_KEYUP 消息,这些消息通过 GetMessage or PeekMessage function返回。可以使用这个 Hook 来监视输入到消息队列中的键盘消息。9、WH_KEYBOARD_LL(13)Hook WH_KEYBOARD_LL Hook监视输入到线程消息队列中的键盘消息。10、WH_MOUSE(7)Hook WH_MOUSE Hook监视从 GetMessage 或者 PeekMessage 函数返回的鼠标消息。使用这个 Hook 监视输入到消息队列中的鼠标消息。11、WH_MOUSE_LL(14)Hook WH_MOUSE_LL Hook监视输入到线程消息队列中的鼠标消息。12、WH_MSGFILTER(-1)和 WH_SYSMSGFILTER(6)Hooks WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以监视菜单,滚动条,消息框,对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。WH_MSGFILTER Hook只能监视传递到菜单,滚动条,消息框的消息,以及传递到通过安装了Hook 子程的应用程序建立的对话框的消息。WH_SYSMSGFILTER Hook监视所有应用程序消息。WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以在模式循环期间过滤消息,这等价于在主消息循环中过滤消息。通过调用 CallMsgFilter function可以直接的调用 WH_MSGFILTER Hook。通过使用这个函数,应用程序能够在模式循环期间使用相同的代码去过滤消息,如同在主消息循环里一样。13、WH_SHELL Hook(10)外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时,系统调用WH_SHELL Hook子程。WH_SHELL 共有钟情況:1.只要有个 top-level、unowned 窗口被产生、起作用、或是被摧毁;2.当 Taskbar 需要重画某个按钮;3.当系统需要显示关于Taskbar 的一个程序的最小化形式;4.当目前的键盘布局状态改变;5.当使用者按 Ctrl+Esc 去执行 Task Manager(或相同级别的程序)。按照惯例,外壳应用程序都不接收WH_SHELL 消息。所以,在应用程序能够接收 WH_SHELL 消息之前,应用程序必须调用SystemParametersInfo function注册它自己。=呵呵,有点昏昏的感觉吗?不要紧的,多看几次就会好的!好了,这期的勾子基本概念就算讲完了,让我们来总结一下:1.钩子的基本概念及作用钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。2.使用 API 函数 SetWindowsHookEx()安装钩子.在易中则这样声明DLL:.DLL 命令 SetWindowsHookExA,整数型,SetWindowsHookExA .参数 idHook,整数型 .参数 lpfn,子程序指针 .参数 nMod,整数型 .参数 dwThreadID,整数型3.用 API 函数 CallNextHookEx来传递钩子 .DLL 命令 CallNextHookEx,整数型,CallNextHookEx .参数 hhook,整数型 .参数 nCode,整数型 .参数 wParam,整数型 .参数 lParam,整数型4.用 API 函数 UnHookWindowsHookEx()来卸载钩子 .DLL 命令 api_UnhookWindowsHookEx,逻辑型,UnhookWindowsHookEx .参数 hhook,整数型我们拿最常用的上面的第5 个 WH_GETMESSAGE(3)Hook 来说明一下:看看下面这段易代码你就会明白的:hMod LoadLibraryA(取运行目录()“HookDLL.dll”)装载动态链接库lpProc GetProcAddress(hMod,“GetMsgProc”)定位钩子回调函数函数hhook SetWindowsHookExA(#WH_GETMESSAGE,lpProc,hMod,0)安装钩子好了,这期的理论知识就到这了,请关注下期的精彩内容.下期预告:下期我们将用易源码实例来讲解,怎样用钩子技术和内存文件映射共享技术来实现远程线程插入资源管理器进程(explorer.exe),敬请期待.end 上一期我们讲了勾子基本概念和一些简单的应用这一期我们就来学习用用钩子技术和内存文件映射共享技术来实现远程线程插入现在网上关于这项编程技术的介绍满天飞,因为要想写出一个好的后门,该后门至少要达到高隐蔽.防查杀,无端口,自启动等要求,而将木马以 DLL 的形式嵌入到系统进程中,基本上可以满足要求,而这种远程线程注入技术也成为现代后门和木马程序的一项标准技术指标.如果大家要想更为清晰地掌握该项编程技术,强烈推荐细读 jeffery Richter 的.该书个人觉得是每个学习Windows 黑客编程技术爱好者的圣经.不过,由于易语言出来的时间不长,网上用易语言具体实现这项编程技术的资料廖廖无几今天,我们就来用易语言来实现远程线程插入:大家知道,传统的远程线程插入是通过以下几个API 来完成的;OpenProcess-用于打开要寄生的目标进程。VirtualAllocEx/VirtualFreeEx-用于在目标进程中分配/释放内存空间。WriteProcessMemory-用于在目标进程中写入要加载的DLL 名称。CreateRemoteThread-远程加载 DLL 的核心内容,用于控制目标进程调用API函数。LoadLibrary-目标进程通过调用此函数来加载病毒DLL。这种方法虽然好,但有个缺点:只能在 NT 核心的系统上有效,在 98 中无效并且由于易 DLL 的特殊性,上面的方法并不奏效,虽然可以用写入汇编码来解决问题但也较不方便,钩子的出现为我们解决了这个难题通过钩子实现远程线程插入的思路如下:通过安装 windows 消息钩子 WH_GETMESSAGE,把待插线程代码所在的DLL注入到其他进程里在钩子回调函数中,判断当前进程 ID 是否是要插入的进程ID,如果是则创建一个新线程这个新线程函数就是我们要执行的代码所在的函数,到这里也就达到了我们的目地.现在就产生了一个新问题,由于我们的要执行的代码是放在一个DLL 里面的,创建新线程就需要加载这个 DLL,就需要知道 DLL 路径,还有判断当前进程ID 是否是要插入的进程ID,首先也要知道要插入的进程 ID 是多少等等这些信息,这就涉及到进程通讯,我们可以用文件映射技术来进行进程通讯.文件映射主要是通过以下几个API 来完成的:*CreateFileMapping /创建文件映射对象,成功返回文件映射对象句柄Dll 命令名:CreateFileMapping 所处动态链接库的文件名:kernel32 在所处动态链接库中的命令名:CreateFileMappingA 返回值类型:整数型参数的名称为“文件映射句柄”,类型为“整数型”。注明:指定欲在其中创建映射的一个文件句柄。&HFFFFFFFF&(-1)表示在内存中创建一个文件映射。参数的名称为“安全对象”,类型为“SECURITY_ATTRIBUTES”。注明:SECURITY_ATTRIBUTES 指定一个安全对象,在创建文件映射时使用。如果为NULL(用 ByVal As Long 传递零),表示使用默认安全对象。参数的名称为“打开映射方式”,类型为“整数型”。注明:下述常数之一:;PAGE_READONLY 以只读方式打开映射;PAGE_READWRITE:以可读、可写方式打开映射;PAGE_WRITECOPY:为写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT:为文件映射一个小节中的所有页分配内存;SEC_IMAGE:文件是个可执行文件;SEC_RESERVE:为没有分配实际内存的一个小节保留虚拟内存空间参数的名称为“文件映射最大长度”,类型为“整数型”。注明:文件映射的最大长度(高 32 位)。参数的名称为“文件映射的最小长度”,类型为“整数型”。注明:文件映射的最小长度(低 32 位)。如这个参数和dwMaximumSizeHigh都是零,就用磁盘文件的实际长度。参数的名称为“映射对象名”,类型为“文本型”。注明:指定文件映射对象的名字。如存在这个名字的一个映射,函数就会打开它。用vbNull 创建一个无名的文件映射;。*OpenFileMappingA /打开一个已存在的文件映射对象,成功返回打开的文件映射对象句柄Dll 命令名:OpenFileMapping 公开所处动态链接库的文件名:kernel32 在所处动态链接库中的命令名:OpenFileMappingA 返回值类型:整数型参数的名称为“常数”,类型为“整数型”。注明:带有前缀 FILE_MAP_?的一个常数。参考MapViewOfFile 函数的 dwDesiredAccess 参数的说明。参数的名称为“进程继承”,类型为“整数型”。注明:如这个函数返回的句柄能由当前进程启动的新进程继承,则这个参数为TRUE。参数的名称为“文件映射对象名称”,类型为“文本型”。注明:指定要打开的文件映射对象名称;。*MapViewOfFile/将一个文件映射对象映射到当前应用程序的地址空间 Dll 命令名:MapViewOfFile 将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx 允许我们指定一个基本地址来进行映射文件映射在内存中的起始地址。零表示出错。会设置GetLastError 所处动态链接库的文件名:kernel32 在所处动态链接库中的命令名:MapViewOfFile 返回值类型:整数型参数的名称为“hFileMappingObject”,类型为“整数型”。参数的名称为“dwDesiredAccess”,类型为“整数型”。参数的名称为“dwFileOffsetHigh”,类型为“整数型”。参数的名称为“dwFileOffsetLow”,类型为“整数型”。参数的名称为“dwNumberOfBytesToMap”,类型为“整数型”。通过以上 API 再结合易自带的写到内存(),指针到字节集(),指针到文本(),取字节集数据()等命令就可以在进程间读写数据了.内存文件映射技术就介绍到这里,在下面的实例中有具体应用,我就不多说了.以资源管理器进程(explorer.exe)为例,我们来开始解析程序:程序基本原理:start.exe 先在内存中创建一个映射文件,把自己的线程 ID 和查找到的Explorer进程 ID 以及 HookDL.dll 的路径写到映射文件,再安装 HookDL.dll 中的WH_GETMESSAGE 钩子,此时,start.exe 进入消息循环,直到收到被插进程发来的线程退出消息WM_QUIT 在钩子回调函数中,首先把 start.exe 在内存中创建的映射文件映射到当前进程,然后判断当前进程 ID 是否先前Start.exe 查找到的Explorer 进程 ID,是的话,则再次 LoadLibrary(HookDLL.dll),并定位到其中 ThreadPro 函数.此时创建一个新线程,线程函数就是 ThreadPro,该新线程首先往Start.exe 消息队列放置一个线程退出消息WM_QUIT,导致其消息循环结束.此时插入线程完成.可以看到屏幕左上角不断变化的数字.说明我们的代码正在执行.进程列表却没有 Start.exe,用进程管理观察,可发现 Explorer 进程,的确多了个线程,且来自HookDLL.dll.如果希望插入 Explorer 的线程结束,按 Alt+L 即可.:)现在我们来看看主程序代码,为照顾新手,我会逐行分析:.版本 2 系统核心支持库.应用接口支持库.程序集 窗口程序集 1.程序集变量Explorer_PID,整数型.程序集变量hhook,整数型.程序集变量FileMapH,整数型.程序集变量DLLPath,文本型.子程序 _启动窗口 _创建完毕.局部变量nil,SECURITY_ATTRIBUTES.局部变量TheNodeP,整数型.局部变量ThreadMessage,MSG.局部变量MainPath,字节集.局部变量ExplorerID,字节集.局部变量MainThread,字节集.局部变量Mainhhook,字节集 指定 DLL 路径DLLPath 取运行目录()“HookDLL.dll”检查插入线程是否已经存在FileMapH api_OpenFileMapping(#FILE_MAP_ALL_ACCESS,0,“hacker0058Explorer8Mazi”)api_CloseHandle(FileMapH).如果真(FileMapH 0)如果插入线程不存在,开始插入Explorer_PID 取进程 PID(“explorer.exe”)这里指定要插入的进程,用到了子程序:取进程 PID().如果真(Explorer_PID 0)查找 explorer 失败信息框(“寻找指定进程出错!”,0,)结束().如果真结束创建内存映射文件FileMapH api_CreateFileMapping(-1,nil,#PAGE_READWRITE,0,100,“HookExplorer8Mazi”)映射到本进程空间 TheNodeP api_MapViewOfFile(FileMapH,#FILE_MAP_ALL_ACCESS,0,0,0)写入共享数据ExplorerID 到字节集(Explorer_PID)MainThread 到字节集(当前线程标志符 _()MainPath 到字节集(DLLPath)0,0,0 字符串是以两字节的0 为结束标志的,所以这里加上 0,0,0 写到内存(ExplorerID MainThread MainPath,TheNodeP,)关闭内存映射API_UnmapViewOfFile(TheNodeP)挂 DLL 跳板钩子hMod GetMsgHookOn().如果真(hMod 0)输出调试文本(“挂 DLL 跳板钩子失败!”)api_CloseHandle(FileMapH)关闭映射文件结束().如果真结束等待插入 Explorer 的新线程发来消息api_GetMessage(ThreadMessage,0,0,0)脱 DLL 跳板钩子GetMsgHookOff()御载 DLL api_FreeLibrary(hMod)关闭映射文件api_CloseHandle(FileMapH).如果真结束结束().子程序 取进程 PID,整数型,成功返回进程 PID,失败返回 0.参数 标志文本,文本型,进程名或窗口名.局部变量进程,进程信息,0.局部变量PID,整数型.局部变量i,整数型PID 0 .如果真(倒找文本(标志文本,“.”,真)-1)进程 取系统进程列表().计次循环首(取数组成员数(进程),i).如果真(倒找文本(进程 i.进程名称,标志文本,真)-1)PID 进程 i.进程标识符跳出循环().如果真结束 .计次循环尾().如果真结束.如果真(PID 0)API_取进程标识符(api_FindWindow(0,标志文本),PID).如果真结束返回(PID)现在主程序已经完成了它的任务,现在来看看我们执行的核心,HookDLL.dll 的代码:.版本 2.全局变量TheNodeP,整数型.全局变量hhook,整数型,公开.全局变量DLL,Main.程序集 HOOK 程序集.程序集变量hMod,整数型.程序集变量lpProc,子程序指针.程序集 DLL 程序集.版本 2.子程序 _启动子程序,整数型,请在本子程序中放置动态链接库初始化代码复制共享数据()初始化代码,只有在程序第一次加载DLL 时才被执行_临时子程序()返回(0)先看看钩子回调函数:.子程序 GetMsgProc,整数型,公开,钩子回调函数.参数 code,整数型.参数 wParam,整数型.参数 lParam,整数型.局部变量lpThreadA,SECURITY_ATTRIBUTES.局部变量LibraryH,整数型.局部变量ThreadPt,整数型.局部变量ThreadID,整数型 截获到消息,开始执行下面的自定以代码(回调函数)复制共享数据().如果真(TheNodeP 0 且 pnode.ExplorerID 0 且api_GetCurrentProcessId()pnode.ExplorerID)是资源管理器 .如果真(倒找文本(MainPath,“.dll”,真)-1)DLL 路径是否正确LibraryH api_LoadLibraryA(MainPath)装载动态链接库 .如果真结束 .如果真(LibraryH 0)ThreadPt 到整数(api_GetProcAddress(LibraryH,“ThreadPro”)定位线程函数 .如果真(ThreadPt 0)api_CreateThread(lpThreadA,0,ThreadPt,0,0,ThreadID)创建新线程 .如果真结束 .如果真结束.如果真结束返回(api_CallNextHookEx(hhook,code,wParam,lParam)钩子循环再看看子程序:复制共享数据.子程序 复制共享数据,逻辑型.局部变量i,整数型.局部变量MainPath,文本型.局部变量FileMapH,整数型FileMapH api_OpenFileMapping(#FILE_MAP_ALL_ACCESS,0,“HookExplorer8Mazi”).如果真(FileMapH 0)输出调试文本(“打开内存映射文件出错!”)返回(假).如果真结束TheNodeP api_MapViewOfFile(FileMapH,#FILE_MAP_ALL_ACCESS,0,0,0).如果真(TheNodeP 0)api_CloseHandle(FileMapH)输出调试文本(“映射到本进程空间出错!”)返回(假).如果真结束取回共享数据DLL.ExplorerID 取字节集数据(指针到字节集(TheNodeP,4),3,)整数型数据尺寸大小是 4 DLL.MainThread 取字节集数据(指针到字节集(TheNodeP 4,4),3,)+4 DLL.MainPath 指针到文本(TheNodeP 8)+8 API_UnmapViewOfFile(TheNodeP)关闭内存映射api_CloseHandle(FileMapH)关闭文件映射对象返回(真)钩子回调函数完成,现在开始写待插线程代码,这里实现写文字到屏幕的功能.版本 2.子程序 ThreadPro,公开,待插线程代码.局部变量Count,整数型.局部变量theMsg,MSG.局部变量FileMap,整数型.局部变量nil,SECURITY_ATTRIBUTES.局部变量HotKeyID,整数型api_PostThreadMessage(DLL.MainThread,#WM_QUIT,0,0)FileMap api_OpenFileMapping(#FILE_MAP_ALL_ACCESS,0,“hacker0058Explorer8Mazi”)禁止重复运行api_CloseHandle(FileMap).如果真(FileMap 0)FileMap api_CreateFileMapping(-1,nil,4,0,2,“hacker0058Explorer8Mazi”)Count 0 HotKeyID GlobalAddAto m(“hacker0058andALT+L”)申请全局原子RegisterHotKey(0,HotKeyID,1,#L键)注册热键 Alt+L .判断循环首(api_PeekMessage(theMsg,0,0,0,#PM_REMOVE)0 且 取反(theMsg.message#WM_HOTKEY)或 theMsg.message#WM_QUIT)WriteScreen(“”Int2Hex(Count)“The Thread is From”取执行文件名()“and Alt+L to Exit”)Count Count 1 延时(500).判断循环尾()api_CloseHandle(FileMap)UnregisterHotKey(0,HotKeyID)撤销热键 Alt+L DeleteAtom(HotKeyID)释放全局原子.子程序 WriteScreen,写文字到屏幕.参数 s,文本型.局部变量hScreenDC,整数型hScreenDC 取设备场景 _(0)api_TextOut(hScreenDC,0,0,s,取文本长度(s)写文字到屏幕api_ReleaseDC(0,hScreenDC)撤消写文字到屏幕.子程序 Int2Hex,文本型,数值转字符串.参数 v,整数型.局部变量i,整数型.局部变量a,文本型.局部变量b,文本型b 取十六进制文本(v).计次循环首(8 取文本长度(b),i)a a “0”.计次循环尾()返回(“$”a b).子程序 GetMsgHookOff,逻辑型,公开,关闭全局消息钩子返回(api_UnhookWindowsHookEx(hhook).子程序 GetMsgHookOn,整数型,公开,安装全局消息钩子hMod api_LoadLibraryA(MainPath)加载 DLL,返回模块地址lpProc api_GetProcAddress(hMod,“GetMsgProc”)DLL中钩子回调函数地址hhook api_SetWindowsHookExA(#WH_GETMESSAGE,lpProc,hMod,0)安装钩子返回(hMod)好了,整个框架就这样了,由于篇幅原因,具体的不再细说了.附件里有完整的易程序源码,具体细节大家可以参阅,源码在 Windows xp+sp2 易 4.02 中测试通过.下期预告:下一期我们将介绍 API Hook 技术,API Hook 技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外挂,internet 通信等领域.API HOOK 的中文意