社区
进程/线程/DLL
帖子详情
hook到其他进程的API后 如何获取其他进程调用该API所传递的参数呢
leftcypress2
2009-11-15 05:56:10
hook到其他进程的API后 如何获取其他进程调用该API所传递的参数呢?
我已经截取到API函数
BOOL DeleteFile(
LPCTSTR lpFileName
);
截取后马上JMP到了我自己的函数中,但是我还想把LPCTSTR lpFileName 也传递到我自己的函数中,怎么能办到呢?
...全文
176
5
打赏
收藏
hook到其他进程的API后 如何获取其他进程调用该API所传递的参数呢
hook到其他进程的API后 如何获取其他进程调用该API所传递的参数呢? 我已经截取到API函数 BOOL DeleteFile( LPCTSTR lpFileName ); 截取后马上JMP到了我自己的函数中,但是我还想把LPCTSTR lpFileName 也传递到我自己的函数中,怎么能办到呢?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
5 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
jwybobo2007
2009-11-15
打赏
举报
回复
参数肯定是在堆栈中
一般HOOK 的话,你写的替换函数其实就等于是添加了一个回调,当调用DeleteFile时必然就会先进入你的回调中,如果你的替换函数参数不同的话,那很有可能会是崩溃的结果
leftcypress2
2009-11-15
打赏
举报
回复
[Quote=引用 3 楼 tr0j4n 的回复:]
引用楼主 leftcypress2 的回复:
hook到其他进程的API后 如何获取其他进程调用该API所传递的参数呢?
我已经截取到API函数
BOOL DeleteFile(
LPCTSTR lpFileName
);
截取后马上JMP到了我自己的函数中,但是我还想把LPCTSTR lpFileName 也传递到我自己的函数中,怎么能办到呢?
你用自己的MyDeleteFile替代原来的DeleteFile的时候,原型不是一样的么,参数不就一样的么
[/Quote]
谢谢,参数一致的情况下接收到了,但再问一下,他的参数是存放在哪里的?栈堆里面的?如果代替的函数参数不同我直接读栈堆可以不?
MoXiaoRab
2009-11-15
打赏
举报
回复
[Quote=引用楼主 leftcypress2 的回复:]
hook到其他进程的API后 如何获取其他进程调用该API所传递的参数呢?
我已经截取到API函数
BOOL DeleteFile(
LPCTSTR lpFileName
);
截取后马上JMP到了我自己的函数中,但是我还想把LPCTSTR lpFileName 也传递到我自己的函数中,怎么能办到呢?
[/Quote]
你用自己的MyDeleteFile替代原来的DeleteFile的时候,原型不是一样的么,参数不就一样的么
leftcypress2
2009-11-15
打赏
举报
回复
[Quote=引用 1 楼 dirdirdir3 的回复:]
readprocessmemory
[/Quote]
请问读哪个位置?参数会存放在什么位置?
dirdirdir3
2009-11-15
打赏
举报
回复
readprocessmemory
VB拦截windows删除文件(
API
HOOK
)
VB拦截Windows Explorer删除
进程
,内含
API
HOOK
,源代码:倒霉蛋儿,程序有时候也会窗口勾挂失败! 勾住了SHFileOperation等函数,DLL用Delphi写的C会的太少,查了半天才知道原来explorer是用SHFileOperation删除文件,经过测试很稳定,没有出现崩溃的情况,由于只勾住了SHFileOperation函数,所以别的程序要是
调用
DeleteFile删除文件,拦截不到,要是想拦截DeleteFile自己接着写吧。 mod_Inject.bas类的注释摘录: Dim MyAddr As Long ‘执行远程线程代码的起始地址。这里等于LoadLibraryA的地址 ‘dll文件路径 MyDllFileLength = LenB(StrConv(MyDllFileName, vbFromUnicode)) + 1 ‘这里把dll文件名从Unicode转换成Ansi,否则英文字母是2个字节。 _ 顺便说一下,学过C的应该知道字符串要以/0标志结尾,所以dll文件名长度要加上1个字节存放Chr(0) ‘得到
进程
的句柄 在目标
进程
中申请分配一块空白内存区域。内存的起始地址保存在MyDllFileBuffer中。 _ 这块内存区域我们用来存放dll文件路径,并作为
参数
传递
给LoadLibraryA。 在分配出来的内存区域中写入dll路径径。注意第二个
参数
传递
的是MyDllFileBuffer的内容, _ 而不是MyDllFileBuffer的内存地址? If MyReturn = 0 Then Inject = False MyAddr = GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA") ‘得到LoadLibraryA函数的起始地址。他的
参数
就是我们刚才写入的dll路径。但是LoadLibraryA本身是不知道
参数
在哪里的。 _ 接下来我们就用CreateRemoteThread函数告诉他
参数
放在哪里了? If MyAddr = 0 Then Inject = False MyResult = CreateRemoteThread(ProcessHandle, 0, 0, MyAddr, MyDllFileBuffer, 0, 0) 好了,现在用CreateRemoteThread在目标
进程
创建一个线程,线程起始地址指向LoadLibraryA, _
参数
就是MyDllFileBuffer中保存的dll路径? If MyResult = 0 Then Inject = False Else Inject = True End If ‘接下来你可以使用WaitForSingleObject等待线程执行完毕。 _ 并用GetExitCodeThread得到线程的退出代码,用来判断时候正确执行了dll中的代码。 CloseHandle MyResult CloseHandle ProcessHandle ‘扫地工作 End Function
精通Windows.
API
-函数、接口、编程实例.pdf
仅收录该书籍以供学习和讨论 包含pdf书籍及经过验证的示例 执行demo中的示例方式 在编译环境下进入demo目录,执行nmake命令在bin目录下生成可执行文件 注:demo无注释,对应书本中部分示例。 目录 第1章 Windows应用程序开发入门 1 1.1 第一个实例程序 1 1.1.1 start.exe 1 1.1.2 Windows
API
2 1.1.3 程序入口函数 2 1.1.4 start.c代码分析 2 1.2 编译代码 3 1.2.1 安装Visual Studio 3 1.2.2 安装Microsoft Platform SDK 4 1.2.3 集成Microsoft Platform SDK与Visual C++速成版 5 1.2.4 Vista SDK与Visual Studio 2008 6 1.2.5 Visual Studio专业版或团队系统版 7 1.2.6 使用图形化IDE建立工程、进行编译 7 1.2.7 “解决方案”与“工程” 8 1.2.8 使用命令行工具编译 8 第2章 Windows
API
概要 10 2.1 Windows数据类型 10 2.1.1 Windows数据类型示例 10 2.1.2 Windows数据类型与标准C数据类型的关系 14 2.1.3 Windows数据类型与Windows
API
14 2.1.4 Windows中的数据结构 15 2.2 Windows
API
的功能分类 15 2.2.1 系统基本服务 15 2.2.2 系统管理 17 2.2.3 用户界面 17 2.2.4 图像和多媒体 20 2.2.5 网络 20 2.2.6 系统安全 20 2.2.7 其他功能 21 2.3 Windows
API
核心DLL 21 2.3.1 Kernel32.dll 21 2.3.2 User32.dll 21 2.3.3 Gdi32.dll 22 2.3.4 标准C函数 22 2.3.5 其他Dll 22 2.4 Unicode和多字节 22 2.4.1 W版本和A版本的
API
24 2.4.2 Unicode与ASCII的转换 24 2.5 对Windows程序设计规范的建议 25 第3章 开发工具配置与使用 26 3.1 使用Visual C/C++编译链接工具 26 3.1.1 编译器cl.exe 27 3.1.2 资源编译器rc.exe 31 3.1.3 链接器link.exe 32 3.1.4 其他工具 38 3.1.5 编译链接工具依赖的环境变量 39 3.1.6 示例:使用/D选项进行条件编译 42 3.2 使用Platform SDK 43 3.2.1 Platform SDK的目录结构与功能 43 3.2.2 为编译链接工具设置环境变量 45 3.2.3 Platform SDK工具集 46 3.2.4 Windows Vista SDK 48 3.3 编写Makefile 48 3.3.1 使用nmake.exe构建工程 48 3.3.2 Makefile实例 50 3.3.3 注释 50 3.3.4 宏 50 3.3.5 描述块:目标、依赖项和命令 53 3.3.6 makefile预处理 55 3.3.7 在Platform SDK的基础上使用nmake 56 3.4 使用WinDbg调试 57 3.4.1 安装WinDbg 57 3.4.2 编译可调试的程序 58 3.4.3 WinDbg命令 59 3.4.4 调试过程演示 59 3.5 集成开发环境 Visual Studio 62 3.5.1 工程类型选择与配置 62 3.5.2 Visual Studio快捷方式 64 3.5.3 生成项目 64 3.5.4 调试 65 3.5.5 选项与设置 65 3.6 开发环境配置总结 66 第4章 文件系统 67 4.1 概述 67 4.1.1 文件系统的基本概念 67 4.1.2 文件系统主要
API
68 4.2 磁盘和驱动器管理 70 4.2.1 遍历卷并
获取
属性 70 4.2.2 操作驱动器挂载点 76 4.2.3 判断光驱中是否有光盘 81 4.2.4
获取
磁盘分区的总容量、空闲容量、簇、扇区信息 83 4.3 文件和目录管理 86 4.3.1 删除、复制、重命名、移动文件 87 4.3.2 创建、打开、读写文件,
获取
文件大小 90 4.3.3 创建目录 96 4.3.4
获取
程序所在的目录、程序模块路径,
获取
和设置当前目录 97 4.3.5 查找文件、遍历指定目录下的文件和子目录 100 4.3.6 递归遍历目录树 103 4.3.7
获取
、设置文件属性和时间 105 4.4 内存映射文件 110 4.4.1 使用Mapping File提高文件读写的效率 110 4.4.2 通过Mapping File在
进程
间
传递
和共享数据 115 4.4.3 通过文件句柄获得文件路径 118 4.5 总结 121 第5章 内存管理 122 5.1 Windows内存管理原理 122 5.1.1 基本概念 122 5.1.2 分页与分段内存管理、内存映射与地址转换 123 5.1.3
进程
的内存空间 125 5.1.4 虚拟内存布局、内存的分工、堆与栈 127 5.1.5 内存的保护属性和存取权限 127 5.1.6 本章
API
列表 127 5.2 堆管理 129 5.2.1
获取
堆句柄、分配与再分配堆 129 5.2.2
获取
堆中内存块的大小信息 133 5.2.3 释放内存、销毁堆 134 5.3 全局(Global)和局部(Local)内存管理 136 5.3.1 Global函数 136 5.3.2 Local函数 137 5.3.3 使用全局和局部函数分配和释放内存、改变内存块属性 137 5.4 虚拟内存管理 138 5.4.1 虚拟地址空间与内存分页 139 5.4.2 分配和释放可读可写的虚拟内存页面 139 5.4.3 修改内存页面状态和保护属性、将页面锁定在物理内存中 142 5.4.4 管理其他
进程
的虚拟内存 143 5.5 内存操作与内存信息管理 144 5.5.1 复制、填充、移动、清零内存块、防止缓冲区溢出 144 5.5.2 获得当前系统内存使用情况 146 5.5.3 判断内存指针的可用性 147 5.6 各种内存分配方式的关系与比较 148 5.6.1 标准C内存管理函数与Windows内存管理
API
的关系 149 5.6.2 功能性区别 149 5.6.3 效率的区别 149 第6章
进程
、线程和模块 150 6.1 基本概念 150 6.1.1 应用程序与
进程
150 6.1.2 控制台应用程序与图形用户界面应用程序 151 6.1.3 动态链接库、模块 151 6.1.4 线程、纤程与作业 152 6.1.5 权限与优先级 153 6.2
进程
管理 153 6.2.1 创建
进程
、
获取
进程
相关信息、
获取
启动
参数
153 6.2.2 编写控制台程序和图形用户界面应用程序 158 6.2.3
获取
和设置环境变量 158 6.3 线程、纤程 162 6.3.1 创建线程、退出线程、
获取
线程信息 162 6.3.2 挂起、恢复、切换、终止线程 164 6.3.3 创建远程线程、将代码注入其他
进程
中执行 167 6.3.4 创建纤程、删除纤程、调度纤程 170 6.3.5 纤程与线程的互相转换 171 6.4
进程
状态信息 176 6.4.1 PS
API
与Tool help
API
176 6.4.2 遍历系统中的
进程
178 6.4.3 列举
进程
的模块、线程 182 6.4.4
进程
的堆使用、内存占用、虚拟内存大小,页面错误情况 184 6.5 动态链接库 185 6.5.1 加载、释放DLL、通过句柄
获取
DLL相关信息 186 6.5.2 编写动态链接库、导出函数 186 6.5.3 创建动态链接库工程,配置DLL编译链接选项 188 6.5.4 运行时动态
获取
DLL导出函数地址并
调用
189 6.5.5 声明导出函数、创建lib库,为其他模块提供导入表
调用
接口 190 6.5.6 通过构建导入表
调用
DLL导出函数 191 第7章 线程同步 192 7.1 基本原理 192 7.1.1 线程同步的过程 193 7.1.2 同步对象 193 7.1.3 等待函数 193 7.2 同步对象示例 194 7.2.1 使用事件对象(Event) 194 7.2.2 使用互斥对象(Mutex) 199 7.2.3 使用信号量控制访问共享数据的线程数量 202 7.2.4 使用可等待计时器(Timer) 206 7.3 等待
进程
和线程的执行完成 209 第8章 服务 210 8.1 基本概念 210 8.1.1 服务控制器(SCM) 211 8.1.2 服务程序 211 8.1.3 服务控制管理程序 211 8.1.4 系统服务管理工具 211 8.1.5 服务的属性 211 8.2 编写服务程序 212 8.2.1 入口函数 212 8.2.2 服务主函数 212 8.2.3 控制处理函数 213 8.3 实现对服务的控制和管理 216 8.3.1 创建、删除服务 216 8.3.2 启动、停止服务,向服务发送控制请求 219 8.3.3 管理服务状态、配置服务、服务的依赖关系 222 第9章 图形用户界面 229 9.1 字符界面程序 229 9.1.1 基本概念 230 9.1.2 控制台读写 231 9.1.3 控制台字体、颜色等属性,操作屏幕缓存 234 9.1.4 控制台事件 244 9.2 图形用户界面:基本概念 246 9.2.1 窗口 246 9.2.2 窗口类 246 9.2.3 消息和消息处理函数 247 9.2.4 控件 247 9.2.5 资源 248 9.2.6 对话框 248 9.3 图形用户界面:窗口 248 9.3.1 注册窗口类 249 9.3.2 创建窗口 251 9.3.3 窗口消息处理函数 253 9.3.4 窗口属性、位置和大小 256 9.3.5 窗口显示方式 257 9.3.6 线程消息队列和消息循环 258 9.4 图形用户界面:控件 258 9.4.1 Tree View控件 258 9.4.2 为Tree View控件增加节点 260 9.4.3 Tree View右键菜单 262 9.4.4 List View控件 263 9.4.5 为List View控件增加分栏 265 9.4.6 为List View控件增加项 266 9.4.7 文本框控件 267 9.4.8 为文本框控件设置文字 268 9.5 界面资源 269 9.5.1 资源脚本(.rc) 269 9.5.2 资源ID定义和头文件 272 9.5.3 在程序中使用资源 273 9.6 菜单 273 9.6.1 菜单资源和菜单句柄 273 9.6.2 动态增加、删除、设置菜单及菜单项 274 9.6.3 菜单消息处理 274 9.7 对话框 275 9.7.1 创建对话框 275 9.7.2 对话框消息处理函数 276 第10章 系统信息的管理 277 10.1 Windows系统信息 277 10.1.1
获取
系统版本 277 10.1.2
获取
计算机硬件信息 279 10.1.3
获取
系统目录等信息 281 10.1.4 用户名、计算机名、域名 282 10.1.5 处理系统颜色信息、尺度信息等 284 10.1.6 鼠标、键盘等外设信息 285 10.2 时间信息 286 10.2.1 设置、
获取
系统时间 286 10.2.2
获取
开机至现在持续的时间 287 10.2.3 文件时间与系统时间的转换 287 10.3 注册表 288 10.3.1 注册表的作用及组织形式 288 10.3.2 键、子键、键属性及键值的相关操作 289 10.3.3 列举注册表项及键值 292 10.3.4 通过注册表设置一个自启动的程序 293 10.3.5 设置随程序启动而启动的调试器(任何程序) 294 10.3.6 指定程序崩溃实时调试器 294 第11章
进程
间通信 295 11.1 邮槽(MailSlot) 295 11.1.1 创建邮槽、从邮槽中读取消息 296 11.1.2 通过邮槽发送消息 299 11.2 管道(Pipe) 300 11.2.1 创建命名管道 300 11.2.2 管道监听 302 11.2.3 使用异步I/O进行读写 303 11.2.4 关闭管道实例 307 11.2.5 客户端 307 11.3 剪贴板 310 11.3.1
获取
、设置剪贴板数据 310 11.3.2 监视剪贴板 317 11.3.3 剪贴板数据格式 325 11.4 数据复制消息(WM_COPYDATA) 327 11.4.1 数据发送端 327 11.4.2 数据接收端 330 11.5 其他
进程
间通信方式 332 11.5.1 动态数据交换(DDE)和网络动态数据交换(NDDE) 332 11.5.2 通过File Mapping在
进程
间共享数据 333 11.5.3 Windows Socket 333 第12章 Windows Shell程序设计 334 12.1 Windows Shell目录管理 335 12.1.1 Shell对目录和文件的管理形式 335 12.1.2 “我的文档”等特殊目录相关操作 335 12.1.3 绑定、遍历、属性
获取
337 12.1.4 浏览文件对话框 339 12.2 文件协助(File Associations) 340 12.2.1 文件类型相关注册表键值 340 12.2.2 为文件指定默认打开程序 341 12.2.3 定制文件类型的图标 342 12.3 Shell扩展 343 12.3.1 对象及概念 343 12.3.2 CLSID,处理例程的GUID 344 12.3.3 注册Shell扩展 345 12.3.4 COM程序开发基础 346 12.3.5 编写Handler程序 346 12.3.6 Shell扩展程序的调试 362 12.3.7 总结 363 12.4 任务栏通知区域(Tray)图标 363 12.4.1 创建图标窗口 364 12.4.2 创建图标和图标菜单 367 12.4.3 最小化主窗口到通知区域 370 12.4.4 弹出气泡通知 372 12.4.5 动态图标 374 12.4.6 其他功能 376 第13章 Windows GDI 379 13.1 GDI编程接口概述 379 13.1.1 Windows GDI的功能 379 13.1.2 链接库与头文件 380 13.2 设备上下文(DC)、输出操作与图形对象 380 13.2.1 设备上下文类型与关联设备 380 13.2.2 图形对象的作用及与DC的关系 380 13.2.3 各类图形对象的具体属性与作用 383 13.2.4 绘制、填充、写入等图形输出操作 384 13.2.5 修剪与坐标变换 385 13.2.6 设备上下文的图形模式 385 13.3 一个最简单的GDI程序 386 13.3.1 示例 386 13.3.2 DC的操作 387 13.3.3 颜色的表示 388 13.3.4 图形对象:画刷和画笔 389 13.3.5 输出操作:绘制图形和线条 390 13.4 文字和字体 391 13.4.1 选择、设置字体 393 13.4.2 选择字体图形对象 394 13.4.3 文字的颜色 394 13.4.4 输出文字 395 13.4.5 DC图形模式设置 395 13.4.6 遍历字体 396 13.4.7 为系统安装、删除字体文件 398 13.5 绘制线条 398 13.5.1 选择画笔对象 399 13.5.2 直线 399 13.5.3 绘制任意曲线 399 13.5.4 跟踪鼠标轨迹 399 13.5.5 弧线 405 13.6 绘制图形 405 13.6.1 填充颜色与边缘勾勒 406 13.6.2 绘制矩形、椭圆、圆角矩形 406 13.6.3 椭圆弓形和椭圆扇形 411 13.6.4 多边形 411 13.6.5 RECT结构及对RECT的操作 412 13.7 位图操作 414 13.7.1 截取屏幕、保存位图文件 414 13.7.2 将位图显示在界面上 419 13.8 区域(Regions)、路径(Paths)与修剪(Clip)操作 422 13.8.1 区域的创建及形状、位置等属性 422 13.8.2 区域边沿、区域填充、反转与勾勒操作 423 13.8.3 组合、比较、移动等操作 426 13.8.4 点击测试(Hit Testing) 427 13.8.5 路径的创建与操作 431 13.8.6 路径转换为区域 432 13.8.7 使用区域和路径进行修剪操作,限制输出 432 13.9 坐标变换 438 13.9.1 缩放 439 13.9.2 旋转 440 13.10 调色板 440 第14章 网络通信与配置 443 14.1 Socket通信 444 14.1.1 客户端 444 14.1.2 服务端 449 14.1.3 处理并发的客户端连接 455 14.1.4 网络通信的异步I/O模式 456 14.2 IP Helper 456 第15章 程序安装与设置 463 15.1 创建cab文件 463 15.1.1 makecab.exe 463 15.1.2 压缩多个文件 464 15.1.3 Cabinet软件开发工具包(CABSDK) 466 15.2 编写INF文件 466 15.2.1 INF文件格式 466 15.2.2 Install节 468 15.2.3 CopyFiles和AddReg等安装过程 468 15.2.4 源路径和目的路径 469 15.2.5 字符串表 469 15.3 安装程序setup.exe的编号 469 15.4 使用msi文件进行安装 472 15.4.1 Windows Installer Service 472 15.4.2 msi文件的创建与修改工具orca.exe 474 15.4.3 准备工作 475 15.4.4 编辑表组 475 第16章 设备驱动管理与内核通信 476 16.1 设备管理 476 16.1.1 列举设备接口 477 16.1.2 监控设备的加载和卸载 483 16.2 I/O控制、内核通信 488 16.2.1 加载驱动程序 488 16.2.2 控制驱动程序、与驱动程序进行通信 495 16.3 编写设备驱动程序 498 16.3.1 驱动程序开发包:DDK 499 16.3.2 开发驱动程序 499 16.4 I/O模式,同步与异步 504 第17章 用户、认证和对象安全 506 17.1 基本概念 506 17.1.1 访问令牌、权限和用户标识 506 17.1.2
进程
的系统操作权限 507 17.1.3 安全对象 508 17.1.4 访问控制列表(ACL) 508 17.2 安全机制程序示例 509 17.2.1 列举
进程
访问令牌内容和权限 509 17.2.2 修改
进程
的权限 514 17.2.3 列举安全对象的安全描述符 515 17.2.4 修改安全描述符 521 17.3 用户 522 17.3.1 创建用户 522 17.3.2 用户组 523 17.3.3 删除用户 525 17.3.4 列举用户和用户组、
获取
用户信息 525 第18章 Windows
API
的内部原理 532 18.1 关于
API
的补充说明 532 18.1.1 Windows
API
的版本演进和Vista新增
API
532 18.1.2 64位操作系统的接口 533 18.2 Windows系统中的对象封装 533 18.2.1 什么是对象 534 18.2.2 面向对象的思想 534 18.2.3 Windows系统中的对象:内核对象、GDI对象等 534 18.3 Windows程序设计参考:文档资源与样例代码 534 18.3.1 SDK文档和MSDN 534 18.3.2 SDK示例代码 535 18.4 x86平台程序函数
调用
原理 535 18.4.1 函数
调用
的真实过程 535 18.4.2 函数
调用
约定 539 18.4.3 为什么通过
参数
返回数据时只能使用指针 540 18.4.4 缓冲区溢出 540 18.4.5 程序运行错误的调试技巧 540 18.5 可执行程序结构与
API
函数接口内部机理 541 18.5.1 Windows可执行程序结构 541 18.5.2 导入表、导出表、动态链接 543 18.5.3 NTDLL.DLL、NATIVE
API
和SSDT 544 18.5.4
API
HOOK
546 18.6 发布程序 546 18.6.1 合理选择编译链接选项 546 18.6.2 构建到指定路径 546 18.7 模块化,向Windows
API
学习接口定义 547 18.7.1 lib文件 547 18.7.2 头文件 547 18.7.3 为第三方应用软件提供SDK 547
钩子函数的使用,有例子
三:程序的设计: I:设置钩子 设置钩子是通过SetWindows
Hook
Ex ()的
API
函数. 原形: H
HOOK
SetWindows
Hook
Ex(int id
Hook
,
HOOK
PROC lpfn,HINSTANCE hMod,DWORD dwThreadId) id
hook
:装入钩子的类型. lpfn: 钩子
进程
的入口地址 hMod: 应用程序的事件句柄 dwThreadId: 装入钩子的线程标示
参数
: id
Hook
: 这个
参数
可以是以下值: WH_CALLWNDPROC、WH_CALLWNDPROCRET、WH_CBT、WH_DEBUG、WH_FOREGROUNDIDLE、WH_GETMESSAGE、WH_JOURNALPLAYBACK、WH_JOURNALRECORD、WH_KEYBOARD、 WH_KEYBOARD_LL、WH_MOUSE、WH_MOUSE_LL、WH_MSGFILTER、WH_SHELL、WH_SYSMSGFILTER。 对于这些
参数
,我不想一一加以解释,因为MSDN中有关于他们的详细注解。我只挑选其中的几个加以中文说明。 WH_KEYBOARD:一旦有键盘敲打消息(键盘的按下、键盘的弹起),在这个消息被放在应用程序的消息队列前,WINDOWS将会
调用
你的钩子函数。钩子函数可以 改变和丢弃键盘敲打消息。 WH_MOUSE:每个鼠标消息在被放在应用程序的消息队列前,WINDOWS将会
调用
你的钩子函数。钩子函数可以改变和丢弃鼠标消息。 WH_GETMESSAGE:每次当你的应用程序
调用
一个GetMessage()或者一个PeekMessage()为了去从应用程序的消息队列中要求一个消息时,WINDOWS都会
调用
你的钩子函数。 而钩子函数可以改变和丢弃这个消息。 II:释放钩子 钩子的释放使用的是Un
hook
Windows
Hook
Ex()函数 原形:BOOL Un
hook
Windows
Hook
Ex( H
HOOK
hhk ) Un
hook
Windows
Hook
Ex()函数将释放的是钩子链中函数SetWindows
Hook
Ex所装入的钩子
进程
。 hhk: 将要释放的钩子
进程
的句柄。 III:钩子
进程
钩子
进程
使用函数
Hook
Proc;其实
Hook
Proc仅仅只是应用程序定义的符号。比如你可以写成KeyBoard
Hook
.但是
参数
是不变的。Win32
API
提供了诸如:CallWndProc、 GetMsgProc、DebugProc、CBTProc、MouseProc、KeyboardProc、MessageProc等函数,对于他们的详细讲解,可以看MSDN我在此只讲解一下KeyBoard
Hook
的含义。 原形:LRESULT CALLBACK KeyBoard
Hook
(int nCode, WPARAM wParam, LPARAM lParam) 说明:钩子
进程
是一些依附在一个钩子上的一些函数,因此钩子
进程
只被WINDOWS
调用
而不被应用程序
调用
,他们有时就需要作为一个回调函数(CALLBACK)。
参数
说明: nCode:钩子代码,钩子
进程
使用钩子代码去决定是否执行。而钩子代码的值是依靠钩子的种类来定的。每种钩子种类都有他们自己一系列特性的代码。比如对于WH_KEYBOARD, 钩子代码的
参数
有:HC_ACTION,HC_NOREMOVE。HC_ACTION的意义:
参数
wParam 和lParam 包含了键盘敲打消息的信息,HC_NOREMOVE的意义:
参数
wParam 和lParam包含了 键盘敲打消息的信息,并且,键盘敲打消息一直没有从消息队列中删除。(应用程序
调用
PeekMessage函数,并且设置PM_NOREMOVE标志)。也就是说当nCode等于HC_ACTION时, 钩子
进程
必须处理消息。而为HC_NOREMOVE时,钩子
进程
必须
传递
消息给CallNext
Hook
Ex函数,而不能做进一步的处理,而且必须有CallNext
Hook
Ex函数的返回值。 wParam:键盘敲打所产生的键盘消息,键盘按键的虚拟代码。 lParam:包含了消息细节。 注意:如果钩子
进程
中nCode小于零,钩子
进程
必须返回(return) CallNext
Hook
Ex(nCode,wParam,lParam);而钩子
进程
中的nCode大于零,但是钩子
进程
并不处理消息, 作者推荐你
调用
CallNext
Hook
Ex并且返回该函数的返回值。否则,如果另一个应用程序也装入WH_KEYBOARD 钩子,那么该钩子将不接受钩子通知并且返回一个不正确的值。 如果钩子
进程
处理了消息,它可能返回一个非零值去阻止系统
传递
该信息到其它剩下的钩子或者windows
进程
。所以最好在钩子
进程
的最后都返回CallNext
Hook
Ex的返回
基于Visual C#的Windows
API
程序设计
Windows
API
中包含很多函数,约有1500多个,根据其类别主要分为:窗口及窗口过程、声音及音频控制、位图及位图处理、INI及注册表操作、窗口效果及管理类、字体相关、错误处理、通用对话框、压缩及加密控制、文件及目录操作、剪切板使用、绘图及图形相关、游戏手柄及键盘相关、堆栰操作、图标光标相关、菜单操作、
Hook
及消息处理、鼠标控制类、
进程
及线程管理、文本及字符串操作、时间和定时器管理、端口及网络相关、存储及显示打印设备、多媒体及MCI相关、内存管理、操作系统Shell、Windows系统信息和其他等。Windows中有3个非常重要的底层DLL文件:Kernel32.dll、User32.dll和GDI32.dll。其中Kernel32.dll主要包含用于管理内存、
进程
和线程的函数;而User32.dll中包含的则是用于执行用户界面任务的函数,比如把用户的鼠标点击操作
传递
给窗口等等;GDI32.dll全称是Graphical Device Interface(图形设备接口),包含用于画图和显示文本的函数,比如要显示一个程序窗口,就
调用
了其中的函数来画这个窗口。下面就常用的鼠标、键盘以及窗体事件来介绍一下C#开放Windows
API
的基本过程:
Easy
Hook
远程
进程
注入并
hook
api
的实现
介绍:
HOOK
API
是指截获特定
进程
或系统对某个
API
函数的
调用
,使得
API
的执行流程转向指定的代码。Windows下的应用程序都建立在
API
函数至上,所以截获
API
是一项相当有用的技术,它使得用户有机会干预其它应用程序的程序流程。 最常用的一种挂钩
API
的方法是改变目标
进程
中
调用
API
函数的代码,使得它们对
API
的
调用
变为对用户自定义函数的
调用
。
HOOK
API
和
HOOK
技术完全
进程/线程/DLL
15,471
社区成员
49,182
社区内容
发帖
与我相关
我的任务
进程/线程/DLL
VC/MFC 进程/线程/DLL
复制链接
扫一扫
分享
社区描述
VC/MFC 进程/线程/DLL
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章