[[401215]]

 Windows下的窗口應用程序是基于消息驅動的，但是在某些情況下需要捕獲或者修改消息，從而完成一些特殊的功能。對于捕獲消息而言，無法使用IAT或Inline Hook之類的方式去進行捕獲，不過Windows提供了專門用于處理消息的鉤子函數。

01 鉤子原理

Windows下的應用程序大部分是基于消息模式機制的，一些CUI的程序不是基于消息的。Windows下的應用程序都有一個消息過程函數，根據不同的消息來完成不同的功能。Windows操作系統提供的鉤子機制的作用是用來截獲、監視系統中的消息。Windows操作系統提供了很多不同種類的鉤子，可以處理不同的消息。

Windows系統提供的鉤子按照掛鉤范圍分為局部鉤子和全局鉤子。局部鉤子是針對一個線程的，而全局鉤子則是針對整個操作系統內基于消息機制的應用程序的。全局鉤子需要使用DLL文件，DLL文件里存放了鉤子函數的代碼。

在操作系統中安裝全局鉤子以后，只要進程接收到可以發出鉤子的消息后，全局鉤子的DLL文件會被操作系統自動或強行地加載到該進程中。由此可見，設置消息鉤子也是一種可以進行DLL注入的方法。

02 鉤子函數

鉤子函數主要有3個，分別是SetWindowsHookEx()、CallNextHookEx()和UnhookWindowsHookEx()。下面介紹這些函數的使用方法。

SetWindowsHookEx()函數的定義如下： 

HHOOK SetWindowsHookEx(  
 int idHook,  
 HOOKPROC lpfn,  
 HINSTANCE hMod,  
 DWORD dwThreadId  
); 

該函數的返回值為一個鉤子句柄。這個函數有4個參數，下面分別進行介紹。

lpfn：該參數指定為 Hook 函數的地址。如果 dwThreadId 參數被賦值為 0，或者被設置為一個其他進程中的線程 ID，那么 lpfn 則屬于 DLL 中的函數過程。如果 dwThreadId 為當前進程中的線程 ID，那么 lpfn 可以是指向當前進程中的函數過程，也可以是屬于 DLL 中的函數過程。

hMod：該參數指定鉤子函數所在模塊的模塊句柄。該模塊句柄就是 lpfn 所在的模塊的句柄。如果 dwThreadId 為當前進程中的線程 ID，而且 lpfn 所指向的函數在當前進程中，那么 hMod 將被設置為 NULL。

dwThreadId：該參數設置為需要被掛鉤的線程的 ID 號。如果設置為 0，表示在所有的線程中掛鉤（這里的“所有的線程”表示基于消息機制的所有的線程）。如果指定為具體的線程的 ID 號，表示要在指定的線程中進行掛鉤。該參數影響上面兩個參數的取值。該參數的取值決定了該鉤子屬于全局鉤子，還是局部鉤子。

idHook：該參數表示鉤子的類型。由于鉤子的類型非常多，因此放在所有的參數后面進行介紹。下面介紹幾個常用到的鉤子，也可能是大家比較關心的幾個類型。

1. WH_GETMESSAGE

安裝該鉤子的作用是監視被投遞到消息隊列中的消息。也就是當調用GetMessage()或PeekMessage()函數時，函數從程序的消息隊列中獲取一個消息后調用該鉤子。

WH_GETMESSAGE鉤子函數的定義如下： 

LRESULT CALLBACK GetMsgProc(  
 int code, // 鉤子編碼  
 WPARAM wParam, // 移除選項  
 LPARAM lParam // 消息  
); 

2. WH_MOUSE

安裝該鉤子的作用是監視鼠標消息。該鉤子函數的定義如下： 

LRESULT CALLBACK MouseProc(  
 int nCode, // 鉤子編碼  
 WPARAM wParam, // 消息標識符  
 LPARAM lParam // 鼠標的坐標  
); 

3. WH_KEYBOARD

安裝該鉤子的作用是監視鍵盤消息。該鉤子函數的定義如下： 

LRESULT CALLBACK KeyboardProc(  
 int code, // 鉤子編碼  
 WPARAM wParam, // 虛擬鍵編碼  
 LPARAM lParam // 按鍵信息  
); 

4. WH_DEBUG

安裝該鉤子的作用是調試其他鉤子的鉤子函數。該鉤子函數的定義如下： 

LRESULT CALLBACK DebugProc(  
 int nCode, // 鉤子編碼  
 WPARAM wParam, // 鉤子類型  
 LPARAM lParam // 調試信息  
); 

從上面的這些鉤子函數定義可以看出，每個鉤子函數的定義都是一樣的。每種類型的鉤子監視、截獲的消息不同。雖然它們的定義都是相同的，但是函數參數的意義是不同的。

接著介紹跟鉤子有關的另外一個函數：UnhookWindowsHookEx()，其定義如下： 

BOOL UnhookWindowsHookEx(  
 HHOOK hhk // 鉤子函數的句柄  
); 

這個函數是用來移除先前用SetWindowsHookEx()安裝的鉤子。該函數只有一個參數，是鉤子句柄，也就是調用該函數通過指定的鉤子句柄來移除與其相應的鉤子。

在操作系統中，可以多次反復地使用SetWindowsHookEx()函數來安裝鉤子，而且可以安裝多個同樣類型的鉤子。這樣，鉤子就會形成一條鉤子鏈，最后安裝的鉤子會首先截獲到消息。當該鉤子對消息處理完畢以后，會選擇返回，或者選擇把消息繼續傳遞下去。在通常情況下，如果為了屏蔽消息，則直接在鉤子函數中返回一個非零值。比如要在自己程序中屏蔽鼠標消息，則在安裝的鼠標鉤子函數中直接返回非零值即可。如果為了消息在經過鉤子函數后可以繼續傳達到目標窗口，必須選擇將消息繼續傳遞。使消息能繼續傳遞的函數的定義如下： 

LRESULT CallNextHookEx(  
 HHOOK hhk, // 當前鉤子的句柄  
 int nCode, // 傳遞給釣子函數的釣子編碼  
 WPARAM wParam, // 傳遞給釣子函數的值  
 LPARAM lParam // 傳遞給釣子函數的值  
); 

該函數有4個參數。第一個參數是鉤子句柄，就是調用SetWindowsHookEx()函數的返回值；后面3個參數是鉤子函數的參數，直接依次抄過來即可。例如： 

HHOOK g_Hook = SetWindowsHook(……);  
LRESULT CALLBACK GetMsgProc(  
 int code, // 鉤子編碼  
 WPARAM wParam, // 移除選項  
 LPARAM lParam // 消息  
)  
{  
 return CallNextHookEx(g_Hook, code, wParam, lParam); 
} 

03 鉤子實例

Windows鉤子的應用比較廣。無論是安全產品還是惡意軟件，甚至是常規軟件，都會用到Windows提供的鉤子功能。

1. 全局鍵盤鉤子

下面來寫一個可以截獲鍵盤消息的鉤子程序，其功能非常簡單，就是把按下的鍵對應的字符顯示出來。既然要截獲鍵盤消息，那么肯定是截獲系統范圍內的鍵盤消息，因此需要安裝全局鉤子，這樣就需要DLL文件的支持。先來新建一個DLL文件，在該DLL文件中需要定義兩個導出函數和兩個全局變量，定義如下： 

extern "C" __declspec(dllexport) VOID SetHookOn();  
extern "C" __declspec(dllexport) VOID SetHookOff();  
// 鉤子句柄  
HHOOK g_Hook = NULL;  
// DLL 模塊句柄  
HINSTANCE g_Inst = NULL; 

在DllMain()函數中，需要保存該DLL模塊的句柄，以方便安裝全局鉤子。代碼如下： 

BOOL APIENTRY DllMain( HANDLE hModule,  
 DWORD ul_reason_for_call, 
 LPVOID lpReserved  
 )  
{  
 // 保存 DLL 的模塊句柄  
 g_Inst = (HINSTANCE)hModule;  
 return TRUE;  
} 

安裝與卸載鉤子的函數如下： 

VOID SetHookOn()  
{  
 // 安裝鉤子  
 g_Hook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_Inst, 0);  
} 
VOID SetHookOff()  
{  
 // 卸載鉤子  
 UnhookWindowsHookEx(g_Hook);  
} 

對于Windows鉤子來說，上面的這些步驟基本上都是必需的，或者是差別不大，關鍵在于鉤子函數的實現。這里是為了獲取鍵盤按下的鍵，鉤子函數如下： 

// 鉤子函數  
LRESULT CALLBACK KeyboardProc(  
  int code, // 鉤子編碼  
  WPARAM wParam, // 虛擬鍵編碼  
  LPARAM lParam // 按建信息  
)  
{  
  if ( code < 0 )  
  {  
    return CallNextHookEx(g_Hook, code, wParam, lParam);  
  }  
  if ( code == HC_ACTION && lParam > 0 )  
  {  
    char szBuf[MAXBYTE] = { 0 };  
    GetKeyNameText(lParam, szBuf, MAXBYTE);  
    MessageBox(NULL, szBuf, NULL, MB_OK);  
  } 
  return CallNextHookEx(g_Hook, code, wParam, lParam);  
} 

關于鉤子函數，這里簡單地解釋一下，首先是進入鉤子函數的第一個判斷。 

if ( code < 0 )  
{  
 return CallNextHookEx(g_Hook, code, wParam, lParam);  
} 

如果code的值小于0，則必須調用CallNextHookEx()，將消息繼續傳遞下去，不對該消息進行處理，并返回CallNextHookEx()函數的返回值。這一點是MSDN上要求這么做的。 

if ( code == HC_ACTION && lParam > 0 )  
{  
 char szBuf[MAXBYTE] = { 0 };  
 GetKeyNameText(lParam, szBuf, MAXBYTE); 
  MessageBox(NULL, szBuf, NULL, MB_OK); 
} 

如果code等于HC_ACTION，表示消息中包含按鍵消息；如果為WM_KEYDOWN，則顯示按鍵對應的文本。

將該DLL文件編譯連接。為了測試該DLL文件，新建一個MFC的Dialog工程，添加兩個按鈕，如圖1所示。

圖1  鍵盤鉤子的測試程序

分別對這兩個按鈕添加代碼，具體如下： 

void CHookTestDlg::OnButton1()  
{  
 // 在這里添加控制通知的處理程序  
 SetHookOn();  
}  
void CHookTestDlg::OnButton2()  
{  
 // 在這里添加控制通知的處理程序  
 SetHookOff();  
} 

直接調用DLL文件導出這兩個函數，不過在使用之前要先對這兩個函數進行聲明，否則編譯器因無法找到這兩個函數的原型而導致連接失敗。定義如下： 

extern "C" VOID SetHookOn();  
extern "C" VOID SetHookOff(); 

進行編譯連接，提示出錯，內容如下： 

Linking...  
HookTestDlg.obj : error LNK2001: unresolved external symbol _SetHookOn  
HookTestDlg.obj : error LNK2001: unresolved external symbol _SetHookOff  
Debug/HookTest.exe : fatal error LNK1120: 2 unresolved externals  
Error executing link.exe.  
HookTest.exe - 3 error(s), 0 warning(s) 

從給出的提示可以看出是連接錯誤，找不到外部的符號。將DLL編譯連接后生成的DLL文件和LIB文件都復制到測試工程的目錄下，并將LIB文件添加到工程中。在代碼中添加如下語句： 

#pragma comment (lib, KeyBoradHookTest) 

再次連接，成功！

運行測試程序，并單擊“HookOn”按鈕，隨便按下鍵盤上的任意一個鍵，會出現提示對話框，如圖2所示。

圖2  截獲到的鍵盤輸入

從圖2中可以看出，當按下鍵盤上的按鍵時，程序將捕獲到按鍵。到此，鍵盤鉤子的例子程序就完成了。

2. 低級鍵盤鉤子

數據防泄露軟件通常會禁止PrintScreen鍵，防止通過截屏將數據保存為圖片而導致泄密。這類軟件想要實現是比較簡單的，但是想要將功能做得強大些，還是需要下功夫的。數據防泄露的軟件除了要有兼容性好的底層驅動的設計，還要有完善的規則設置。此外就是需要軟件安全人員對其進行各種各樣的攻擊，避免數據防泄露軟件因為各種各樣的原因而被心懷惡意者突破。

這里介紹如何禁止PrintScreen鍵。其實很簡單，只要安裝低級鍵盤鉤子（WH_KEYBO ARD_LL）就可以搞定。普通的鍵盤鉤子（WH_KEYBOARD）是無法過濾一些系統按鍵的。在低級鍵盤鉤子的回調函數中，判斷是否為PrintScreen鍵，如果是，則直接返回TRUE（前面提到，如果想屏蔽某個消息的話，那么在鉤子函數中對該消息進行處理后，直接返回一個非零值），如果不是，則傳遞給鉤子鏈的下一處。

代碼如下： 

extern "C" __declspec(dllexport) BOOL SetHookOn()  
{  
  if ( g_hHook != NULL ) 
  {  
    return FALSE;  
  }  
  g_hHook = SetWindowsHookEx(WH_KEYBOARD_LL, LowLevelKeyboardProc, g_hIns, NULL);  
  if ( NULL == g_hHook )  
  {  
    MessageBox(NULL, "安裝鉤子出錯 !", "error", MB_ICONSTOP);  
    return FALSE; 
  }  
  return TRUE;  
}  
extern "C" __declspec(dllexport) BOOL SetHookOff()  
{  
  if ( g_hHook == NULL )  
  {  
    return FALSE;  
  }  
  UnhookWindowsHookEx(g_hHook);  
  g_hHook = NULL;  
  return TRUE;  
}  
LRESULT CALLBACK LowLevelKeyboardProc(  
  int nCode, WPARAM wParam, LPARAM lParam)  
{  
  KBDLLHOOKSTRUCT *Key_Info = (KBDLLHOOKSTRUCT*)lParam; 
  if ( HC_ACTION == nCode )  
  {  
    if ( WM_KEYDOWN == wParam || WM_SYSKEYDOWN == wParam )  
    {  
      if ( Key_Info->vkCode == VK_SNAPSHOT )  
      {  
        return TRUE;  
      }  
    }  
  }  
  return CallNextHookEx(g_hHook, nCode, wParam, lParam);  
} 

代碼量非常短，然而，就是這短短的代碼阻止了數據的泄露。當然，對于一個攻擊者來說，這個代碼無法保護數據，這種保護也就很脆弱了。任何的保護都有突破的辦法，攻擊無處不在，攻擊者會嘗試任何手段突破所有的保護。

3. 使用鉤子進行DLL注入

Windows提供的鉤子類型非常多，其中一種類型的鉤子非常實用，那就是WH_GETME SSAGE鉤子。它可以很方便地將DLL文件注入到所有的基于消息機制的程序中。

在有些情況下，需要DLL文件完成一些功能，但是完成功能時需要DLL在目標進程的空間中。這時，就需要使用WH_GETMESSAGE消息把DLL注入到目標的進程中。代碼非常簡單，這里直接給出DLL文件的代碼，具體如下： 

#include <windows.h>  
extern "C" __declspec(dllexport) VOID SetHookOn();  
extern "C" __declspec(dllexport) VOID SetHookOff();  
HHOOK g_HHook = NULL;  
HINSTANCE g_hInst = NULL;  
VOID DoSomeThing()  
{  
  /*  
  ……  
  自己要實現功能的代碼  
  ……  
  */  
}  
BOOL WINAPI DllMain(  
  HINSTANCE hinstDLL, // DLL 模塊的句柄  
  DWORD fdwReason, // 調用函數的原因  
  LPVOID lpvReserved // 保留的  
)  
{  
  switch ( fdwReason )  
  {  
  case DLL_PROCESS_ATTACH:  
    {  
      g_hInst = hinstDLL;  
      DoSomeThing();  
      break;  
    }  
  }  
  return TRUE;  
}  
LRESULT CALLBACK GetMsgProc(  
  int code, // 鉤子編碼  
  WPARAM wParam, // 移除選項  
  LPARAM lParam // 消息  
)  
{  
  return CallNextHookEx(g_HHook, code, wParam, lParam);  
}  
VOID SetHookOn()  
{  
  g_HHook = SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc, g_hInst, 0); 
}  
VOID SetHookOff()  
{  
  UnhookWindowsHookEx(g_HHook);  
} 

整個代碼就是這樣。只要知道，在需要DLL大范圍地注入到基于消息的進程中時，可以使用這種方法。