Windows下的窗口应用程序是基于消息驱动的,但是在某些情况下需要捕获或者修改消息,从而完成一些特殊的功能。对于捕获消息而言,无法使用IAT或Inline Hook之类的方式去进行捕获,不过Windows提供了专门用于处理消息的钩子函数。
01 钩子原理
Windows下的应用程序大部分是基于消息模式机制的,一些CUI的程序不是基于消息的。Windows下的应用程序都有一个消息过程函数,根据不同的消息来完成不同的功能。Windows操作系统提供的钩子机制的作用是用来截获、监视系统中的消息。Windows操作系统提供了很多不同种类的钩子,可以处理不同的消息。
Windows系统提供的钩子按照挂钩范围分为局部钩子和全局钩子。局部钩子是针对一个线程的,而全局钩子则是针对整个操作系统内基于消息机制的应用程序的。全局钩子需要使用DLL文件,DLL文件里存放了钩子函数的代码。
在操作系统中安装全局钩子以后,只要进程接收到可以发出钩子的消息后,全局钩子的DLL文件会被操作系统自动或强行地加载到该进程中。由此可见,设置消息钩子也是一种可以进行DLL注入的方法。
02 钩子函数
钩子函数主要有3个,分别是SetWindowsHookEx()、CallNextHookEx()和UnhookWindowsHookEx()。下面介绍这些函数的使用方法。
SetWindowsHookEx()函数的定义如下:
- HHOOK SetWindowsHookEx(
- int idHook,
- HOOKPROC lpfn,
- HINSTANCE hMod,
- DWORD dwThreadId
- );
该函数的返回值为一个钩子句柄。这个函数有4个参数,下面分别进行介绍。
lpfn:该参数指定为 Hook 函数的地址。如果 dwThreadId 参数被赋值为 0,或者被设置为一个其他进程中的线程 ID,那么 lpfn 则属于 DLL 中的函数过程。如果 dwThreadId 为当前进程中的线程 ID,那么 lpfn 可以是指向当前进程中的函数过程,也可以是属于 DLL 中的函数过程。
hMod:该参数指定钩子函数所在模块的模块句柄。该模块句柄就是 lpfn 所在的模块的句柄。如果 dwThreadId 为当前进程中的线程 ID,而且 lpfn 所指向的函数在当前进程中,那么 hMod 将被设置为 NULL。
dwThreadId:该参数设置为需要被挂钩的线程的 ID 号。如果设置为 0,表示在所有的线程中挂钩(这里的“所有的线程”表示基于消息机制的所有的线程)。如果指定为具体的线程的 ID 号,表示要在指定的线程中进行挂钩。该参数影响上面两个参数的取值。该参数的取值决定了该钩子属于全局钩子,还是局部钩子。
idHook:该参数表示钩子的类型。由于钩子的类型非常多,因此放在所有的参数后面进行介绍。下面介绍几个常用到的钩子,也可能是大家比较关心的几个类型。
1. WH_GETMESSAGE
安装该钩子的作用是监视被投递到消息队列中的消息。也就是当调用GetMessage()或PeekMessage()函数时,函数从程序的消息队列中获取一个消息后调用该钩子。
WH_GETMESSAGE钩子函数的定义如下:
- LRESULT CALLBACK GetMsgProc(
- int code, // 钩子编码
- WPARAM wParam, // 移除选项
- LPARAM lParam // 消息
- );
2. WH_MOUSE
安装该钩子的作用是监视鼠标消息。该钩子函数的定义如下:
- LRESULT CALLBACK MouseProc(
- int nCode, // 钩子编码
- WPARAM wParam, // 消息标识符
- LPARAM lParam // 鼠标的坐标
- );
3. WH_KEYBOARD
安装该钩子的作用是监视键盘消息。该钩子函数的定义如下:
- LRESULT CALLBACK KeyboardProc(
- int code, // 钩子编码
- WPARAM wParam, // 虚拟键编码
- LPARAM lParam // 按键信息
- );
4. WH_DEBUG
安装该钩子的作用是调试其他钩子的钩子函数。该钩子函数的定义如下:
- LRESULT CALLBACK DebugProc(
- int nCode, // 钩子编码
- WPARAM wParam, // 钩子类型
- LPARAM lParam // 调试信息
- );
从上面的这些钩子函数定义可以看出,每个钩子函数的定义都是一样的。每种类型的钩子监视、截获的消息不同。虽然它们的定义都是相同的,但是函数参数的意义是不同的。
接着介绍跟钩子有关的另外一个函数:UnhookWindowsHookEx(),其定义如下:
- BOOL UnhookWindowsHookEx(
- HHOOK hhk // 钩子函数的句柄
- );
这个函数是用来移除先前用SetWindowsHookEx()安装的钩子。该函数只有一个参数,是钩子句柄,也就是调用该函数通过指定的钩子句柄来移除与其相应的钩子。
在操作系统中,可以多次反复地使用SetWindowsHookEx()函数来安装钩子,而且可以安装多个同样类型的钩子。这样,钩子就会形成一条钩子链,最后安装的钩子会首先截获到消息。当该钩子对消息处理完毕以后,会选择返回,或者选择把消息继续传递下去。在通常情况下,如果为了屏蔽消息,则直接在钩子函数中返回一个非零值。比如要在自己程序中屏蔽鼠标消息,则在安装的鼠标钩子函数中直接返回非零值即可。如果为了消息在经过钩子函数后可以继续传达到目标窗口,必须选择将消息继续传递。使消息能继续传递的函数的定义如下:
- LRESULT CallNextHookEx(
- HHOOK hhk, // 当前钩子的句柄
- int nCode, // 传递给钓子函数的钓子编码
- WPARAM wParam, // 传递给钓子函数的值
- LPARAM lParam // 传递给钓子函数的值
- );
该函数有4个参数。第一个参数是钩子句柄,就是调用SetWindowsHookEx()函数的返回值;后面3个参数是钩子函数的参数,直接依次抄过来即可。例如:
- HHOOK g_Hook = SetWindowsHook(……);
- LRESULT CALLBACK GetMsgProc(
- int code, // 钩子编码
- WPARAM wParam, // 移除选项
- LPARAM lParam // 消息
- )
- {
- return CallNextHookEx(g_Hook, code, wParam, lParam);
- }
03 钩子实例
Windows钩子的应用比较广。无论是安全产品还是恶意软件,甚至是常规软件,都会用到Windows提供的钩子功能。
1. 全局键盘钩子
下面来写一个可以截获键盘消息的钩子程序,其功能非常简单,就是把按下的键对应的字符显示出来。既然要截获键盘消息,那么肯定是截获系统范围内的键盘消息,因此需要安装全局钩子,这样就需要DLL文件的支持。先来新建一个DLL文件,在该DLL文件中需要定义两个导出函数和两个全局变量,定义如下:
- extern "C" __declspec(dllexport) VOID SetHookOn();
- extern "C" __declspec(dllexport) VOID SetHookOff();
- // 钩子句柄
- HHOOK g_Hook = NULL;
- // DLL 模块句柄
- HINSTANCE g_Inst = NULL;
在DllMain()函数中,需要保存该DLL模块的句柄,以方便安装全局钩子。代码如下:
- BOOL APIENTRY DllMain( HANDLE hModule,
- DWORD ul_reason_for_call,
- LPVOID lpReserved
- )
- {
- // 保存 DLL 的模块句柄
- g_Inst = (HINSTANCE)hModule;
- return TRUE;
- }
安装与卸载钩子的函数如下:
- VOID SetHookOn()
- {
- // 安装钩子
- g_Hook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_Inst, 0);
- }
- VOID SetHookOff()
- {
- // 卸载钩子
- UnhookWindowsHookEx(g_Hook);
- }
对于Windows钩子来说,上面的这些步骤基本上都是必需的,或者是差别不大,关键在于钩子函数的实现。这里是为了获取键盘按下的键,钩子函数如下:
- // 钩子函数
- LRESULT CALLBACK KeyboardProc(
- int code, // 钩子编码
- WPARAM wParam, // 虚拟键编码
- LPARAM lParam // 按建信息
- )
- {
- if ( code < 0 )
- {
- return CallNextHookEx(g_Hook, code, wParam, lParam);
- }
- if ( code == HC_ACTION && lParam > 0 )
- {
- char szBuf[MAXBYTE] = { 0 };
- GetKeyNameText(lParam, szBuf, MAXBYTE);
- MessageBox(NULL, szBuf, NULL, MB_OK);
- }
- return CallNextHookEx(g_Hook, code, wParam, lParam);
- }
关于钩子函数,这里简单地解释一下,首先是进入钩子函数的第一个判断。
- if ( code < 0 )
- {
- return CallNextHookEx(g_Hook, code, wParam, lParam);
- }
如果code的值小于0,则必须调用CallNextHookEx(),将消息继续传递下去,不对该消息进行处理,并返回CallNextHookEx()函数的返回值。这一点是MSDN上要求这么做的。
- if ( code == HC_ACTION && lParam > 0 )
- {
- char szBuf[MAXBYTE] = { 0 };
- GetKeyNameText(lParam, szBuf, MAXBYTE);
- MessageBox(NULL, szBuf, NULL, MB_OK);
- }
如果code等于HC_ACTION,表示消息中包含按键消息;如果为WM_KEYDOWN,则显示按键对应的文本。
将该DLL文件编译连接。为了测试该DLL文件,新建一个MFC的Dialog工程,添加两个按钮,如图1所示。
图1 键盘钩子的测试程序
分别对这两个按钮添加代码,具体如下:
- void CHookTestDlg::OnButton1()
- {
- // 在这里添加控制通知的处理程序
- SetHookOn();
- }
- void CHookTestDlg::OnButton2()
- {
- // 在这里添加控制通知的处理程序
- SetHookOff();
- }
直接调用DLL文件导出这两个函数,不过在使用之前要先对这两个函数进行声明,否则编译器因无法找到这两个函数的原型而导致连接失败。定义如下:
- extern "C" VOID SetHookOn();
- extern "C" VOID SetHookOff();
进行编译连接,提示出错,内容如下:
- Linking...
- HookTestDlg.obj : error LNK2001: unresolved external symbol _SetHookOn
- HookTestDlg.obj : error LNK2001: unresolved external symbol _SetHookOff
- Debug/HookTest.exe : fatal error LNK1120: 2 unresolved externals
- Error executing link.exe.
- HookTest.exe - 3 error(s), 0 warning(s)
从给出的提示可以看出是连接错误,找不到外部的符号。将DLL编译连接后生成的DLL文件和LIB文件都复制到测试工程的目录下,并将LIB文件添加到工程中。在代码中添加如下语句:
- #pragma comment (lib, KeyBoradHookTest)
再次连接,成功!
运行测试程序,并单击“HookOn”按钮,随便按下键盘上的任意一个键,会出现提示对话框,如图2所示。
图2 截获到的键盘输入
从图2中可以看出,当按下键盘上的按键时,程序将捕获到按键。到此,键盘钩子的例子程序就完成了。
2. 低级键盘钩子
数据防泄露软件通常会禁止PrintScreen键,防止通过截屏将数据保存为图片而导致泄密。这类软件想要实现是比较简单的,但是想要将功能做得强大些,还是需要下功夫的。数据防泄露的软件除了要有兼容性好的底层驱动的设计,还要有完善的规则设置。此外就是需要软件安全人员对其进行各种各样的攻击,避免数据防泄露软件因为各种各样的原因而被心怀恶意者突破。
这里介绍如何禁止PrintScreen键。其实很简单,只要安装低级键盘钩子(WH_KEYBO ARD_LL)就可以搞定。普通的键盘钩子(WH_KEYBOARD)是无法过滤一些系统按键的。在低级键盘钩子的回调函数中,判断是否为PrintScreen键,如果是,则直接返回TRUE(前面提到,如果想屏蔽某个消息的话,那么在钩子函数中对该消息进行处理后,直接返回一个非零值),如果不是,则传递给钩子链的下一处。
代码如下:
- extern "C" __declspec(dllexport) BOOL SetHookOn()
- {
- if ( g_hHook != NULL )
- {
- return FALSE;
- }
- g_hHook = SetWindowsHookEx(WH_KEYBOARD_LL, LowLevelKeyboardProc, g_hIns, NULL);
- if ( NULL == g_hHook )
- {
- MessageBox(NULL, "安装钩子出错 !", "error", MB_ICONSTOP);
- return FALSE;
- }
- return TRUE;
- }
- extern "C" __declspec(dllexport) BOOL SetHookOff()
- {
- if ( g_hHook == NULL )
- {
- return FALSE;
- }
- UnhookWindowsHookEx(g_hHook);
- g_hHook = NULL;
- return TRUE;
- }
- LRESULT CALLBACK LowLevelKeyboardProc(
- int nCode, WPARAM wParam, LPARAM lParam)
- {
- KBDLLHOOKSTRUCT *Key_Info = (KBDLLHOOKSTRUCT*)lParam;
- if ( HC_ACTION == nCode )
- {
- if ( WM_KEYDOWN == wParam || WM_SYSKEYDOWN == wParam )
- {
- if ( Key_Info->vkCode == VK_SNAPSHOT )
- {
- return TRUE;
- }
- }
- }
- return CallNextHookEx(g_hHook, nCode, wParam, lParam);
- }
代码量非常短,然而,就是这短短的代码阻止了数据的泄露。当然,对于一个攻击者来说,这个代码无法保护数据,这种保护也就很脆弱了。任何的保护都有突破的办法,攻击无处不在,攻击者会尝试任何手段突破所有的保护。
3. 使用钩子进行DLL注入
Windows提供的钩子类型非常多,其中一种类型的钩子非常实用,那就是WH_GETME SSAGE钩子。它可以很方便地将DLL文件注入到所有的基于消息机制的程序中。
在有些情况下,需要DLL文件完成一些功能,但是完成功能时需要DLL在目标进程的空间中。这时,就需要使用WH_GETMESSAGE消息把DLL注入到目标的进程中。代码非常简单,这里直接给出DLL文件的代码,具体如下:
- #include <windows.h>
- extern "C" __declspec(dllexport) VOID SetHookOn();
- extern "C" __declspec(dllexport) VOID SetHookOff();
- HHOOK g_HHook = NULL;
- HINSTANCE g_hInst = NULL;
- VOID DoSomeThing()
- {
- /*
- ……
- 自己要实现功能的代码
- ……
- */
- }
- BOOL WINAPI DllMain(
- HINSTANCE hinstDLL, // DLL 模块的句柄
- DWORD fdwReason, // 调用函数的原因
- LPVOID lpvReserved // 保留的
- )
- {
- switch ( fdwReason )
- {
- case DLL_PROCESS_ATTACH:
- {
- g_hInst = hinstDLL;
- DoSomeThing();
- break;
- }
- }
- return TRUE;
- }
- LRESULT CALLBACK GetMsgProc(
- int code, // 钩子编码
- WPARAM wParam, // 移除选项
- LPARAM lParam // 消息
- )
- {
- return CallNextHookEx(g_HHook, code, wParam, lParam);
- }
- VOID SetHookOn()
- {
- g_HHook = SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc, g_hInst, 0);
- }
- VOID SetHookOff()
- {
- UnhookWindowsHookEx(g_HHook);
- }
整个代码就是这样。只要知道,在需要DLL大范围地注入到基于消息的进程中时,可以使用这种方法。
