http://blog.csdn.net/gdhuman/archive/2008/07/19/2678139.aspx
关键词:钩子Hook, DLL注入, FindControl
转自http://nishuixingzhou.bokee.com/4853833.html
一、思考与启发
1.对于Windows的Standard Controls,基本上大家应该是都会的:
GetWindowText,WM_GETTEXT可以获取EDIT的文本内容;
LB_GETTEXT可以获取LISTBOX列表项的文本内容;
CB_GETLBTEXT可以获取COMBOBOX下拉列表项的文本内容;
这里我就不多说了。
对于Windows的Common Controls,如LISTVIEW、TREEVIEW等,在本进程自身中获取的话可以直接用LVM_GETITEMTEXT,TVM_GETITEM消息,跨进程的话,还需要另外用到一些API函数,有兴趣的可以看看这个贴子:
http://www.delphibbs.com/delphibbs/dispq.asp?lid=3224504
DBGrid是Delphi的自写控件,不是Windows控件,没有什么消息可以利用来获取它所显示的数据记录内容。
2.运用鼠标屏幕取词的技术,可以获取到鼠标位置的显示内容,这个是采用的ApiHook技
术,截获屏幕输出函数,从而得到输出内容,其实现原理这里我不想多说,delphibbs
论坛上相关的贴子很多,大家搜索一下就能找到。不过这种方法的实用性不很强,因为
它需要在鼠标位置使输出重画,才能截获到输出内容的;而且如果DBGrid显示不完整有
滚动条的情况下,没有显示的字段、记录的内容就不能截获到。
3.在本进程自身中,是可以获得DBGrid显示的记录内容的,如
DBGrid1.Columns[1].Field.DisplayText,不过前提是要得到对象实例DBGrid1,假如
我们只知道DBGrid1的句柄。这个当然也没有什么问题,FindControl函数可以完成这个
功能。
4.上面说到,只要能够得到DBGrid的对象实例,我们就能够获得它的内容啦。前面讲的是
在本进程可以获取到DBGrid内容,而我们现在要讲的是跨进程获取其他程序的DBGrid 内容,那么是不是真的能够得到其他进程的DBGrid对象实例呢?如果能够的话,又该怎么
实现呢?另外,还有一个问题,我们获取到了这个DBGrid的对象实例,但是这个地址是
其他进程地址空间中的一个虚拟地址,我们能够DBGrid1.Columns[1].Field.DisplayText
这样在自己的进程中访问获取其内容吗?
二、必备知识基础
1.进程地址空间
Win32系统,所有32位应用程序都有4GB的进程地址空间(32位地址最多可以映射4GB的内存)。应用程序可以访问2GB的进程地址空间,称为用户模式虚拟地址空间。应用程序拥有的所有线程都共享同一个用户模式虚拟地址空间。其余2GB为操作系统保留(也称为内
核模式地址空间)。
而从Win2000 Server开始的所有操作系统版本,还有一个boot.ini
开关,可以为应用程序提供访问3GB的进程地址空间的权限,从而将内核模式地址空间
压缩为1GB。一般地,一个用户进程不可以直接访问另外一个用户进程的地址空间。进
程地址空间的描述请参考 http://msdn2.microsoft.com/zh-cn/library/ms189334.aspx
和《Windows核心编程》的第13章 Windows的内存结构。
顺便说一句,《Windows核心编程》是一本相当经典的好书,呵呵,建议大家都应该购
买收藏一本,认认真真地把它看几遍。题外话,呵呵
2.DLL基础
1)先说说为什么要使用DLL?
a.它可以动态装载,这样不必要在应用程序初始化就装载所有的代码,可以根据需要、操
作再装载DLL,这样启动速度比较快,也更节省内存;
b.便于项目管理,不同的开发人员、开发小组在不同的模块上工作;
c.有助于解决操作系统平台的差异,比如98/2000/XP等枚举进程可以用
CreateToolhelp32Snapshot,Process32First,Process32Next,而NT上就不能用,而要
用psapi.dll中的EnumProcesses,EnumProcessModules,GetModuleFileNameEx等函数;
d.可以用多种编程语言编写,开发人员可以选用自己最擅长的语言;
e.有助于资源的共享和应用程序的本地化,DLL可以包含对象框模板、图标、字符串、位
图等资源;
打错了,是对话框模板
f.可以实现一些特殊的目的,如系统范围的全局钩子,就要求写在DLL中才行。
2)EXE程序的全局变量不能被同一个EXE程序的多个运行实例所共享,DLL中的全局变量的处理方法也是一样的。也就是说,当一个进程将一个DLL映射到它的地址空间中去的时
候,系统会同时创建全局变量的实例。
也就是说不同进程间用的同一个DLL,全局变量的值可能是不一样的,不能共享
3)DLL和EXE之间的数据共享,这有很多技术,全局原子、内存映射、WM_COPYDATA消息等,
这个不是本文的重点,这里我们就不一一赘述。
4)Delphi写DLL要注意的问题:
这一点我们需要注意
a.参数和返回值为string、动态数组类型时,DLL和EXE都要把ShareMem作为.dpr工程的第一个单元引用。当然最好是不要使用string、动态数组类型,可以改用PChar、数组指
针类型,如果是混合语言编程使用的话,就一定不能用string、动态数组类型。这样做
的原因是DLL和EXE的内存管理器(MemoryManager)不是一个,而string、动态数组类型是通过引用计数由Delphi自动进行内存管理的,它何时分配何时释放,我们不能显式的
知道的,DLL分配而EXE释放的话,这样就出问题了。用ShareMem就是为了让它们统一使用一个内存管理器进行内存分配释放。
关于DLL和EXE内存管理器不同这一点,非常重要!!!
b.DLL和EXE的VCL类体系不是一个,它们各自有一套,因此,从EXE传递过去的对象,要在DLL中用is判断类型和as作类型转换,那都不能得到期望的结果。
如果是bpl,就不会有这个问题
c.DLL中应用ADO、窗体(模态、非模态、MDI子窗体)、线程等的一些相关问题与今天的主题关系不大,就不作多讲了。参考
http://www.delphibbs.com/delphibbs/dispq.asp?LID=2977902
http://www.delphibbs.com/keylife/iblog_show.asp?xid=2438
http://www.delphibbs.com/keylife/iblog_show.asp?xid=11558 等
关于DLL的详细论述请参考《Windows核心编程》第19、20章。
3.钩子(Hook)
Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递
来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其
他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中
的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安
装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标
的输入,屏幕取词,日志监视等等。
按事件分类,有如下的几种常用类型的钩子:
1)键盘钩子可以监视各种键盘消息。
2)鼠标钩子可以监视各种鼠标消息。
3)外壳钩子可以监视各种Shell事件消息。
4)日志钩子可以记录从系统消息队列中取出的各种事件消息。
5)窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。
安装钩子:SetWindowsHookEx
卸载钩子:UnhookWindowsHookEx
钩子回调函数形式:
function GetMsgProc(Code: UINT; lParam: LPARAM; wParam: WPARAM): LRESULT; stdcall;
系统全局钩子必须在DLL中,因为它影响系统的所有应用程序,需要在消息发生时被系
统映射到其他进程的地址空间,从而调用DLL中的钩子回调函数。钩子所在的DLL被映射时,是整体映射被加载到被挂钩的进程的地址空间中,而不仅仅是钩子回调函数,这
样,被挂钩的进程就可以访问DLL中的变量和调用其他函数的。利用这个特点,在应用
中就可以做到很多特定的功能,比如屏幕取词、木马、三级跳隐藏进程等。
注意:安装了某类消息的系统全局钩子之后,在该类消息发生时钩子DLL会被系统映射到其他进程的地址空间,从而调用DLL中的钩子回调函数。
还有一点要注意:当SetWindowsHookEx调用成功后,系统会自动映射这个DLL到被挂钩
的线程,但并不是立即映射。因为所有的Windows钩子都是基于消息的,直到一个适当
的事件发生后这个DLL才被映射。同理,UnhookWindowsHookEx调用之后,也是在某个适当的事件发生之后DLL才真正地从被挂钩线程卸载。
function GetMsgProc(Code: UINT; lParam: LPARAM; wParam: WPARAM): LRESULT; stdcall;
能介绍这个回调函数什么用吗
必备的知识基础就讲这么多,有什么问题待会儿我们大家再探讨
Code:钩子代码,通常为HA_ACTION时是用户要处理的
lParam, wParam:跟具体安装的钩子类型有关的封装了缴获到的消息结构的参数
这个消息结构是怎样的?
比如GetMessage钩子,lParam是Removal flag移除标志,wParam是个TMsg结构的指针
typedef struct tagMSG { // msg
HWND hwnd;
UINT message;
WPARAM wParam;
LPARAM lParam;
DWORD time;
POINT pt;
} MSG;
SDK中这么定义TMsg结构的
等下会有例子源代码给大家看的,不要急
继续...
三、实现
下面我们来讲如何解决一、4.中提到的问题。
1.在自己的进程中访问其他进程的对象实例
有了上面介绍的必备知识基础,那么现在这个问题对我们来说就不是很困难了,利用钩
子由系统将DLL注入目标进程,这时DLL就在目标进程的地址空间中了,这样,DLL中的访问目标进程的对象实例的代码就可以工作了。
2.得到其他进程的DBGrid对象实例
DLL注入目标进程之后,实际上DLL和目标进程就在一个进程中了,那么按理说我们用
FindControl函数应该就可以由DBGrid句柄得到DBGrid对象实例的了,但实际并非如此!
实际写代码测试一下我们可以发现它返回的是nil。
我们来看看FindControl的源代码(Controls.pas中):
{ Find a TWinControl given a window handle }
{ The global atom table is trashed when the user logs off. The extra test
below protects UI interactive services after the user logs off.
Added additional tests to enure that Handle is at least within the same
process since otherwise a bogus result can occur due to problems with
GlobalFindAtom in Windows. }
function FindControl(Handle: HWnd): TWinControl;
var
OwningProcess: DWORD;
begin
Result := nil;
if (Handle <> 0) and (GetWindowThreadProcessID(Handle, OwningProcess) <> 0) and
(OwningProcess = GetCurrentProcessId) then // 判断调用进程ID是否为Handle所在进程
begin
if GlobalFindAtom(PChar(ControlAtomString)) = ControlAtom then
Result := Pointer(GetProp(Handle, MakeIntAtom(ControlAtom)))
else
Result := ObjectFromHWnd(Handle);
end;
end;
安徽-小李(297099102) 14:23:55
function ObjectFromHWnd(Handle: HWnd): TWinControl;
var
OwningProcess: DWORD;
begin
if (GetWindowThreadProcessID(Handle, OwningProcess) <> 0) and
(OwningProcess = GetCurrentProcessID) then
Result := Pointer(SendMessage(Handle, RM_GetObjectInstance, 0, 0))
else
Result := nil;
end;
再看看其中使用到的ControlAtomString, ControlAtom, RM_GetObjectInstance的值是怎
样的(InitControls中):
不是这个问题,我们的DLL已经注入目标进程了
这是钩子帮我们完成的工作
再看看其中使用到的ControlAtomString, ControlAtom, RM_GetObjectInstance的值是怎
样的(InitControls中):
procedure InitControls;
var
UserHandle: HMODULE;
begin
WindowAtomString := Format('Delphi%.8X',[GetCurrentProcessID]);
WindowAtom := GlobalAddAtom(PChar(WindowAtomString));
ControlAtomString := Format('ControlOfs%.8X%.8X', [HInstance, GetCurrentThreadID]);
ControlAtom := GlobalAddAtom(PChar(ControlAtomString));
RM_GetObjectInstance := RegisterWindowMessage(PChar(ControlAtomString));
...
end;
不知道大家发现了没有
看到这里,我们可以发现问题之所在了。ControlAtomString是根据模块句柄(模块加载基
地址)和线程ID动态生成的,目标进程的模块基地址就是EXE基地址,一般是0x00400000,
但DLL的模块加载基地址就不是这个了,默认是0x10000000,而实际上可能因为这个地址
已经被占用(有其他DLL被加载到这个地址)而进行重定位,所以初始化时添加的
ControlAtom和目标进程的ControlAtom的值就不一样,RM_GetObjectInstance也同样是不
一样的,那FindControl当然就不能找到DBGrid对象实例啦。
OK,清楚了这一点,解决起来就简单了,我们自己写个FindControl函数,以目标进程基
地址来动态生成ControlAtomString,添加ControlAtom就可以啦。
在DLL中取EXE的基地址,用GetModuleHandle(nil)即可。
这个在DLL中做
var
ControlAtom: TAtom;
ControlAtomString: string;
RM_GetObjectInstance: DWORD; // registered window message
function FindControl(Handle: HWnd): TWinControl;
var
OwningProcess: DWORD;
begin
Result := nil;
if (Handle <> 0) and (GetWindowThreadProcessID(Handle, OwningProcess) <> 0) and
(OwningProcess = GetCurrentProcessId) then
begin
if GlobalFindAtom(PChar(ControlAtomString)) = ControlAtom then
Result := Pointer(GetProp(Handle, MakeIntAtom(ControlAtom)))
else
Result := Pointer(SendMessage(Handle, RM_GetObjectInstance, 0, 0));
end;
end;