遍历Windows系统热键,遍历所有快捷键

参考:

http://bbs.pediy.com/showthread.php?t=111585

http://bbs.pediy.com/showthread.php?t=135455

 

xuetr0.33版本增加了进程的快捷键的查看,

于是乎查了下资料,找到了实现的方法,不敢独享和大家分享一下~~~

其实Windows的所有的快捷键保存在win32k里面的一个单向连表里面,

链表里面的结构体如下:

代码:
typedef struct _HOT_KEY_ITEM

{

  LIST_ENTRY ListEntry;

  struct _ETHREAD *Thread;

  HWND hWnd;

  int id;

  UINT fsModifiers;

  UINT vk;

} HOT_KEY_ITEM, *PHOT_KEY_ITEM;

从_KTHREAD结构可以得到进程,fsModifiers和vk加起来就是组合键了。

所以关键是怎么找到那个单向链表

可以通过从导出函数查找内存的方法找到这个单向链表

首先是从shadow ssdt里的NtUserUnregisterHotKey函数开始查找

代码:
win32k!NtUserUnregisterHotKey:



(大段省略...)



912d32f8 e888ffffff      call    win32k!_UnregisterHotKey (912d3285)



(大段省略...)

然后在_UnregisterHotKey 里面找FindHotKey函数

代码:
win32k!_UnregisterHotKey:



(大段省略...)



912d32a0 e8cffaffff      call    win32k!FindHotKey (912d2d74)



(大段省略...)

最后从FindHotKey函数里面找到那个单向链表

这个时候XP和Win7的处理有所不同

代码:
win32k!FindHotKey:



(大段省略...)



XP的时候

bf89e4b4 8b35d4cb9abf    mov     esi,dword ptr [win32k!gphkFirst (bf9acbd4)]



Win7的时候

912d2d84 8b3495009b4891 mov     esi,dword ptr win32k!gphkHashTable (91489b00)[edx*4]



(大段省略...)


gphkFirst /gphkHashTable 就是那个单向链表了,

最后只要循环这个单向链表就可以枚举所有的快捷键了~~~

 

BOOL FASTCALL
GetHotKey(UINT fsModifiers,
           UINT vk
,
           
struct _ETHREAD **Thread,
           HWND
*hWnd,
           
int*id)
{
   PHOT_KEY_ITEM
HotKeyItem;

   LIST_FOR_EACH
(HotKeyItem,&gHotkeyList, HOT_KEY_ITEM,ListEntry)
   
{
     
if(HotKeyItem->fsModifiers == fsModifiers &&
           
HotKeyItem->vk == vk)
     
{
         
if(Thread!= NULL)
           
*Thread=HotKeyItem->Thread;

         
if(hWnd != NULL)
           
*hWnd =HotKeyItem->hWnd;

         
if(id != NULL)
           
*id =HotKeyItem->id;

         
return TRUE;
     
}
   
}

   
return FALSE;
}

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

 

要像系统注册一个全局热键,需要用到RegisterHotKey,函数用法如下(MSDN):
BOOL RegisterHotKey(      
            HWND hWnd,
            int id,
            UINT fsModifiers,
            UINT vk
);
    函数功能:该函数定义一个系统范围的热键。
  函数原型:BOOL RegisterHotKey(HWND hWnd,int id,UINT fsModifiers,UINT vk);
  参数:
  hWnd:接收热键产生WM_HOTKEY消息的窗口句柄。若该参数NULL,传递给调用线程的WM_HOTKEY消息必须在消息循环中中进行处理。
  id:定义热键的标识符。调用线程中的其他热键不能使用同样的标识符。应用功能程序必须定义一个0X0000-0xBFFF范围的值。一个共享的动态链接库(DLL)必须

定义一个0xC000-0xFFFF范围的值伯GlobalAddAtom函数返回该范围)。为了避免与其他动态链接库定义的热键冲突,一个DLL必须使用GlobalAddAtom函数获得热键的标

识符。
  fsModifoers:定义为了产生WM_HOTKEY消息而必须与由nVirtKey参数定义的键一起按下的键。该参数可以是如下值的组合:
  MOD_ALT:按下的可以是任一Alt键。MOD_CONTROL:按下的可以是任一Ctrl键。
  MOD_SHIFT:按下的可以是任一Shift键。
  MOD_WIN:按下的可以是任一Windows按键。这些键可以用Microsoft Windows日志记录下来。
  MOD_NOREPEAT:Windows 7或者后续版本: 更改热键行为,以便键盘自动重复不会产生多个热键通知。
  vk:定义热键的虚拟键码。
  返回值:若函数调用成功,返回一个非O值。若函数调用失败,则返回值为0。若要获得更多的错误信息,可以调用GetLastError函数。
  备注:当某键被接下时,系统在所有的热键中寻找匹配者。一旦找到一个匹配的热键,系统将把WM_HOTKEY消息传递给登记了该热键的线程的消息队列。该消息被传

送到队列头部,因此它将在下一轮消息循环中被移去。该函数不能将热键同其他线程创建的窗口关联起来。
  若为一热键定义的击键己被其他热键所定义,则RegisterHotKey函数调用失败。
  若hWnd参数标识的窗口已用与id参数定义的相同的标识符登记了一个热键,则参数fsModifiers和vk的新值将替代这些参数先前定义的值。
  Windows CE:Windows CE 2.0以上版本对于参数fsModifiers支持一个附加的标志位。叫做MOD_KEYUP。
  若设置MOD_KEYUP位,则当发生键被按下或被弹起的事件时,窗口将发送WM_HOTKEY消息。
  RegisterHotKey可以被用来在线程之间登记热键。
  速查:Windows NT:3.1及以上版本;Windows:95及以上版本;Windows CE:不支持;头文件:winuser.h;库文件:Hotkey.lib。
    F12键是调试器所使用的保留,所以不应将其注册为热键


代码:
#define MOD_ALT         0x0001 =    1

#define MOD_CONTROL     0x0002 =   10

#define MOD_SHIFT       0x0004 =  100

#define MOD_WIN         0x0008 = 1000


在IDA中反汇编RegisterHotKey
代码:
.text:77D1EBB3                 mov     eax, 11EAh    //系统服务号

.text:77D1EBB8                 mov     edx, 7FFE0300h  

.text:77D1EBBD                 call    dword ptr [edx]

.text:77D1EBBF                 retn    10h

.text:77D1EBBF _NtUserRegisterHotKey@16 endp

系统把服务号保存在eax寄存器,直接call [edx]
OD查看得到7FFE0300
代码:
dd 7FFE0300

7FFE0300  7C92E510  ntdll.KiFastSystemCall

7FFE0304  7C92E514  ntdll.KiFastSystemCallRet

Windbg查看得到
代码:
lkd> dd ffdf0300 l2

ffdf0300  7c92e510 7c92e514



lkd> u 7c92e510

7c92e510 8bd4            mov     edx,esp

7c92e512 0f34            sysenter

windows中0x7FFE0000和0x0FFDF0000被映射到同一个物理地址,供4KB,但在用户模式下该地址是不可写的,内核模式下的可写,4K空间操作系统占用一部分,
余下的大约有3K
USER:0x7FFE0000
KERNEL:0x0FFDF0000
在Windbg可用dt nt!_KUSER_SHARED_DATA命令查看该共享区域
代码:
lkd> dt nt!_KUSER_SHARED_DATA

   +0x000 TickCountLow     : Uint4B

   +0x004 TickCountMultiplier : Uint4B

   +0x008 InterruptTime    : _KSYSTEM_TIME

   +0x014 SystemTime       : _KSYSTEM_TIME

   +0x020 TimeZoneBias     : _KSYSTEM_TIME

   +0x02c ImageNumberLow   : Uint2B

   +0x02e ImageNumberHigh  : Uint2B

   +0x030 NtSystemRoot     : [260] Uint2B

   +0x238 MaxStackTraceDepth : Uint4B

   +0x23c CryptoExponent   : Uint4B

   +0x240 TimeZoneId       : Uint4B

   +0x244 Reserved2        : [8] Uint4B

   +0x264 NtProductType    : _NT_PRODUCT_TYPE

   +0x268 ProductTypeIsValid : UChar

   +0x26c NtMajorVersion   : Uint4B

   +0x270 NtMinorVersion   : Uint4B

   +0x274 ProcessorFeatures : [64] UChar

   +0x2b4 Reserved1        : Uint4B

   +0x2b8 Reserved3        : Uint4B

   +0x2bc TimeSlip         : Uint4B

   +0x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE

   +0x2c8 SystemExpirationDate : _LARGE_INTEGER

   +0x2d0 SuiteMask        : Uint4B

   +0x2d4 KdDebuggerEnabled : UChar

   +0x2d5 NXSupportPolicy  : UChar

   +0x2d8 ActiveConsoleId  : Uint4B

   +0x2dc DismountCount    : Uint4B

   +0x2e0 ComPlusPackage   : Uint4B

   +0x2e4 LastSystemRITEventTickCount : Uint4B

   +0x2e8 NumberOfPhysicalPages : Uint4B

   +0x2ec SafeBootMode     : UChar

   +0x2f0 TraceLogging     : Uint4B

   +0x2f8 TestRetInstruction : Uint8B

   +0x300 SystemCall       : Uint4B

   +0x304 SystemCallReturn : Uint4B

   +0x308 SystemCallPad    : [3] Uint8B

   +0x320 TickCount        : _KSYSTEM_TIME

   +0x320 TickCountQuad    : Uint8B

   +0x330 Cookie           : Uint4B

11EA = 1000111101010 = 13~14位选择服务描述表,选择KeServiceDescriptorTableShadow,系统共有4个服务描述表,第一个在ntoskrnl.exe中
并导出KeServiceDescriptorTable指针

可见该函数没做任何处理直接进入内核(win32k.sys)中,在Windbg反汇编:
代码:
lkd> uf win32k!NtUserRegisterHotKey

win32k!NtUserRegisterHotKey+0x34:

bf899720 33c0            xor     eax,eax    //eax = NULL

bf899722 eb29            jmp     win32k!NtUserRegisterHotKey+0x36 (bf89974d)



win32k!NtUserRegisterHotKey:

bf899729 8bff            mov     edi,edi

bf89972b 55              push    ebp

bf89972c 8bec            mov     ebp,esp

bf89972e 56              push    esi

bf89972f e8b673f6ff      call    win32k!EnterCrit (bf800aea)

bf899734 f74510f07fffff  test    dword ptr [ebp+10h],0FFFF7FF0h    //fsModifiers是否有效,是否大于1000b 11111111111111110111111111110000





bf89973b 752d            jne     win32k!NtUserRegisterHotKey+0x14 (bf89976a)//fsModifiers无效则跳转



win32k!NtUserRegisterHotKey+0x20:

bf89973d 8b4d08          mov     ecx,dword ptr [ebp+8]  //hWnd

bf899740 85c9            test    ecx,ecx  

bf899742 74dc            je      win32k!NtUserRegisterHotKey+0x34 (bf899720)//hWnd == NULL



win32k!NtUserRegisterHotKey+0x27:

bf899744 e86a7ef6ff      call    win32k!ValidateHwnd (bf8015b3)//则验证句柄

bf899749 85c0            test    eax,eax  

bf89974b 7427            je      win32k!NtUserRegisterHotKey+0x30 (bf899774) //返回NULL



win32k!NtUserRegisterHotKey+0x36:

bf89974d ff7514          push    dword ptr [ebp+14h]  //vk

bf899750 ff7510          push    dword ptr [ebp+10h]  //fsModifiers

bf899753 ff750c          push    dword ptr [ebp+0Ch]  //id

bf899756 50              push    eax      //pWnd

bf899757 e8aefeffff      call    win32k!_RegisterHotKey (bf89960a)

bf89975c 8bf0            mov     esi,eax



win32k!NtUserRegisterHotKey+0x47:

bf89975e e8b373f6ff      call    win32k!LeaveCrit (bf800b16)

bf899763 8bc6            mov     eax,esi

bf899765 5e              pop     esi

bf899766 5d              pop     ebp

bf899767 c21000          ret     10h



win32k!NtUserRegisterHotKey+0x14:

bf89976a 68ec030000      push    3ECh    //错误码:1004,参数无效

bf89976f e83da0f6ff      call    win32k!UserSetLastError (bf8037b1)



win32k!NtUserRegisterHotKey+0x30:

bf899774 33f6            xor     esi,esi

bf899776 ebe6            jmp     win32k!NtUserRegisterHotKey+0x47 (bf89975e)



/***************************************/

PWND FASTCALL ValidateHwnd(

     HWND hwnd);

//NtUserRegisterHotKey伪代码:
代码:
BOOLEN APIENTRY

NtUserRegisterHotKey(HWND hWnd,

                     int id,

                     UINT fsModifiers,

                     UINT vk)

{

  BOOLEN bRet;

  PWND pWnd = NULL;

  EnterCrit();

  if(!(fsModifiers & 0x0FFFF7FF0h))

  {

    if(hWnd)

    {

      pWnd = ValidateHwnd(hWnd);

    }

    bRet = _RegisterHotKey(pWnd,id,fsModifiers,vk);

  }

  else

  {

    UserSetLastError(1004);//1004无效标志

    bRet = FALSE;

  }    

  LeaveCrit();

  return bRet;

}

//系统热键结构:
代码:
typedef struct _HOT_KEY_ITEM

{  

  PETHREAD Thread;

  HWND spwnd;

  UINT fsModifiers;    

  UINT vk;

  int id;

  struct _HOT_KEY_ITEM phkNext;

} HOT_KEY_ITEM, *PHOT_KEY_ITEM;

_RegisterHotKey伪代码如下:
代码:
BOOL _RegisterHotKey(

           PWND pwnd,

           int id,

           UINT fsModifiers,

           UINT vk)

{

    PHOT_KEY_ITEM phk;

    BOOL fKeysExist = FALSE;

    PTHREADINFO ptiCurrent;

    PWINDOWSTATION pwinsta = _GetProcessWindowStation(NULL);

    DWORD ErrorCode;

  

    ptiCurrent = gptiCurrent;



  //如果调用者不是WindowStation初始化的线程和不适当的权限

    if(grpwinstaList && !CheckWinstaWriteAttributesAccess()) 

  {

        return FALSE;

    }



  //不能为其他线程的窗口注册热键

    if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER)) 

  {

        if (GETPTI(pwnd) != ptiCurrent) 

    {

            UserSetLastError(1408);  //1408错误码:无效窗口;它属于另一线程。

            return FALSE;

        }

    }

  

    phk = FindHotKey(ptiCurrent, pwnd, id, fsModifiers, vk, FALSE, &fKeysExist);



  //如果其他线程已经注册过该热键,返回FALSE

    if (fKeysExist) 

  {

        UserSetLastError(1409);  //1409错误码:热键已被注册

        return FALSE;

    }

  

    if (phk == NULL) 

  {



    //热键并未被注册

        phk = (PHOT_KEY_ITEM)HeavyAllocPool(sizeof(HOT_KEY_ITEM), TAG_HOTKEY);



    //分配失败,返回FALSE

        if (phk == NULL) 

    {

            return FALSE;

        }

    

        phk->pti = ptiCurrent;

    

        if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER)) 

    {

            phk->spwnd = NULL;

            HMAssignmentLock(&phk->spwnd, pwnd);

        } 

    else 

    {

            phk->spwnd = pwnd;

        }

        phk->fsModifiers = fsModifiers;

        phk->vk = vk;

        phk->id = id;



    //插入到系统热键链表中

    //gphkFirst - 这是不导出变量存储了系统结构热键(phkNext指向下一个热键结构域)地址

        phk->phkNext = gphkFirst;

        gphkFirst = phk;

    

    } 

  else 

  {

    //如果本线程已注册过该热键,则重新覆盖

        phk->fsModifiers = fsModifiers;

        phk->vk = vk;

    }  

    return TRUE;

}

//用Windbg查看下gphkFirst
代码:
lkd> dd gphkFirst L1

bf9af814  e2ce10d8


e2ce10d8就是最近一次软件向系统注册的全局热键,继续
代码:
lkd> dd e2ce10d8 l6

e2ce10d8  e2265008 bbe35a28 00000003 00000054

e2ce10e8  0000c024 e2291a68

e2265008 是ETHREAD,查看发现是QQ的一个线程
bbe35a28 是窗口句柄
00000003 是功能键11,说明有Ctrl+Alt键
00000054 是VK_?,0x54对应ASCI码的大写T,Ctrl+ATL+T(QQ上:发送腾讯微博的)
0000c024 是热键的ID
e2291a68 是下一个热键结构

代码:
PHOT_KEY_ITEM FindHotKey(

           PTHREADINFO ptiCurrent,

           PWND pwnd,

           int id,

           UINT fsModifiers,

           UINT vk,

           BOOL fUnregister,

           PBOOL pfKeysExist)

{

    PHOT_KEY_ITEM phk, phkRet, phkPrev;



  //初始化返回值

    *pfKeysExist = FALSE;

    phkRet = NULL;

  

    phk = gphkFirst;

  

    while (phk)

  {

  

        if ((phk->pti == ptiCurrent) && (phk->spwnd == pwnd) && (phk->id == id)) 

    {

            if (fUnregister) 

      {



        //摘掉热键

                if (phk == gphkFirst) 

        {

                    gphkFirst = phk->phkNext;

                } 

        else 

        {

                    phkPrev->phkNext = phk->phkNext;

                }

        

                if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER)) 

        {

                    Unlock(&phk->spwnd);

                }

                UserFreePool((PVOID)phk);

        

                return((PHOT_KEY_ITEM)1);

            }

            phkRet = phk;

        }



    //如果热键已经注册过,设置已存在标志

        if ((phk->fsModifiers == fsModifiers) && (phk->vk == vk)) 

    {

            if (phk->spwnd == PWND_FOCUS) 

      {

                if (phk->pti == ptiCurrent) 

        {

                    *pfKeysExist = TRUE;

                }

            } 

      else 

      {

                *pfKeysExist = TRUE;

            }

        }

    

        phkPrev = phk;

        phk = phk->phkNext;

    }

  

    return phkRet;

}

//遍历系统热键
代码:
VOID DumpHotKeys()

{

  ULONG dwAddr;

  KAPC_STATE ApcState;

  PETHREAD pThread;

  PEPROCESS pProc;

  PHOTKEY phk;



  //必须在GUI线程中遍历

  KeStackAttachProcess( pExpEprocess , &ApcState );

  dwAddr = *(PULONG)gphkFirst;

  KeUnstackDetachProcess(&ApcState);

  phk = (PHOTKEY)dwAddr;



  //解析系统所有热键

  while( phk != NULL )

  {

    pThread = *(PULONG)phk->pti;

    //0x220位置指向当前线程的EPROCESS

    pProc   = *(PULONG)( (ULONG)pThread + 0x220 );



    //EPROCESS + 0x174指向进程名字

    KdPrint(("Process Name : %s\n" , (ULONG)pProc + 0x174 ));

    KdPrint(("id : %d\n" , phk->id ));

    KdPrint(("Combination : %s + %X\n" , GetButton( phk->fsModifiers ) , phk->vk ));

    KdPrint(("------------------------------------------\n"));

    phk = phk->phkNext;

  }

}

 

你可能感兴趣的:(windows)