關於外掛HOOK的模擬編程

Kingsto

關於外掛HOOK的模擬編程
前言
　　Windows系統中鉤子具有相當強大的功能，通過這種技術可以對幾乎所有的Windows 系統中的消息進行攔截、監視、處理。這種技術可以廣泛應用於各種軟體，尤其是需要有監控、自動記錄等對系統進行監測功能的軟體。本文針對這個專題進行了探討，希望可以為讀者朋友們起到抛磚引玉的作用。
　　一、鉤子的機制及類型
　　Windows的應用程式都是基於消息驅動的，應用程式的操作都依賴於它所得到的消息的類型及內容。鉤子與Dos中斷截獲處理機制有類似之處。鉤子(Hook)是Windows消息處理機制的一個平臺，通過安裝各種鉤子，應用程式可以在上面設置副程式以監視指定視窗的某種消息，並且當消息到達目標視窗之前處理它。
　　在Windows中，鉤子有兩種，一種是系統鉤子(RemoteHook)，它對消息的監視是整個系統範圍，另一種是線程鉤子(LocalHook)，它的攔截範圍只有進程內部的消息。對於系統鉤子，其鉤子函數（HookFunction）應在Windows系統的動態連結程式庫(DLL)中實現，而對於線程鉤子來說,鉤子函數可以在DLL之中實現，也可以在相應的應用程式之中實現。這是因為當開發人員創建一個鉤子時，Windows先在系統記憶體中創建一個資料結構，該資料結構包含了鉤子的相關資訊，然後把該結構體加到已經存在的鉤子鏈表中去，並且新的鉤子將排在老的鉤子的前面。當一個事件發生時，如果安裝的是一個局部鉤子，當前進程中的鉤子函數將被調用。如果是一個遠端鉤子，系統就必須把鉤子函數插入到其他進程的位址空間，要做到這一點就要求鉤子函數必須在一個動態連結程式庫中，所以如果想要使用遠端鉤子，就必須把該鉤子函數放到動態連結程式庫中去。對於鉤子所監視的消息類型來說，Windws一共提供了如下幾種類型：如表1所示:
表一、Windows消息類型

消息類型常量標識
值
消息類型
適用範圍
WH_CALLWNDPROC
4
發給視窗的消息
線程或系統
WH_CALLWNDPROCRET
12
視窗返回的消息
線程或系統
WH_CBT
5
視窗變化、焦點設定等消息
線程或系統
WH_DEBUG
9
是否執行其他Hook的Hook
線程或系統
WH_FOREGROUNDIDLE
11
前臺程式空閒
線程或系統
WH_GETMESSAGE
3
投放至消息佇列中的消息
線程或系統
WH_JOURNALPLAYBACK
1
將所記載的消息進行重播
系統
WH_JOURNALRECORD
0
監視並記錄輸入消息
系統
WH_KEYBOARD
2
鍵盤消息
線程或系統
WH_MOUSE
7
滑鼠消息
線程或系統
WH_MSGFILTER
-1
功能表捲軸、對話方塊消息
線程或系統
WH_SHELL
10
外殼程式的消息
線程或系統
WH_SYSMSGFILTER
6
所有線程的功能表捲軸、對話方塊消息
系統

　　二、VB編程中鉤子的實現
　　（一）鉤子函數(HOOK Function)的格式。Hook Function實際上是一個函數，如果是系統鉤子，該函數必須放在動態連結程式庫中。該函數有一定的參數格式，在VB中如下:
Private Function HookFunc(ByVal nCode As Long，ByVal wParam As Long，ByVal lParam As Long)As Long

　　其中，nCode代表是什麼情況之下所產生的鉤子，隨鉤子的不同而有不同組的可能值；參數wParam，lParam傳回值包括了所監視到的消息內容，它隨Hook所監視消息的種類和nCode的值不同而不同。對於用VB所設置的鉤子函數,一般的框架形式如下:
Private Function HookFunc(ByVal nCode As Long，ByVal wParam As Long，ByVal lParam As Long)As Long
　Select case of nCode
　　●CSOL木馬網站●e<0:hookfunc=callnexthookex(hHookFunc，nCode，wParam，lParam)
　　case值1:處理過程1:HookFunc=X1
　　case2:處理過程2:HookFunc=X1
　　……
　end select
end Function

外掛聯合國

[分享] 關於外掛HOOK的模擬編程

相關POST