关于“屏幕抓字”(300分)

我知道：<br>&nbsp; &nbsp; &nbsp;用“鼠标钩子”或“定时器”得到鼠标的位置，如果鼠标移动了，<br>那么在鼠标位置下放置一个很小的窗口，（此窗口高度为1，长度为1，<br>小得象针尖一样）windows系统会发出WM_PAINT消息，指示IE等应用<br>程序重绘屏幕，在IE等应用程序响应WM_PAINT时，会调用TextOut(),<br>ExtTextOut()等API函数来绘制TEXT，如果我们在IE等应用程序的堆栈<br>中拦截到TextOut(),ExtTextOut()的参数，就实现了“屏幕抓字”。<br><br>我不知道，如何去拦截到TextOut()等API函数。谁有Delphi的例子；<br>或其它方法实现“屏幕抓字”的Delphi例子。

http://www.tommstudio.com有。

学习

屏幕取词源程序：<br>http://epro2000.myetang.com/source/screen.zip

To:linsb &nbsp;不能下载。<br>To:www &nbsp;原在俱乐部搬到这来啦。<br>&nbsp; 关于问题，可惜马飞涛把代码封装成一个类里，只提供dcu ,和 DLL.<br><br>&nbsp; &nbsp;

可以下载，我刚试过没问题。实在下不了留下地址我发给你。

我在网页直接下载时出现<br>&nbsp; The reference to a non-html file from other host is forbidden. 信息<br>用FlashGet下载，只能下载一个159字节的.zip ,不能打开，把扩展名它改为.htm也<br>出现上面的信息。<br><br>Mail: tinytao@163.net

To:linsb &nbsp;<br>&nbsp; 我用的是 Win98 + D5 , 但好象不能取词。且也是用一个Dll, 那个DLL有源码吗？

up

我在win2k+ d5,可以取词。需鼠标点一下所取得词。

刚找到一篇文单，好角用VC说的，可惜看到第 4 步就看不懂了。<br>贴上来，大家看看，最好能给个Delphi解说啊。<br><br>屏幕抓词的技术实现 <br>　　屏幕上的文字大都是由gdi32.dll的以下几个函数显示的：TextOutA、<br>TextOutW、ExtTextOutA、ExtTextOutW。实现屏幕抓词的关键就是截获对<br>这些函数的调用，得到程序发给他们的参数。 &nbsp; <br>　　我的方法有以下三个步骤： &nbsp; <br>　　一、得到鼠标的当前位置 &nbsp; <br>　　通过SetWindowsHookEx实现。 &nbsp; <br>　　二、向鼠标下的窗口发重画消息，让它调用系统函数重画 &nbsp; <br>　　通过WindowFromPoint，ScreenToClient，InvalidateRect 实现。 &nbsp; <br>　　三、截获对系统函数的调用，取得参数(以TextOutA为例) &nbsp; <br>　　1.仿照TextOutA作成自己的函数MyTextOutA，与TextOutA有相同参数和返回 <br>值，放在系统钩子所在的DLL里。 &nbsp; <br>　　SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA"); &nbsp; <br>&nbsp; &nbsp;<br>　　BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString) &nbsp; <br>　　{ //输出lpszString的处理 &nbsp; <br>&nbsp; &nbsp; return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);} &nbsp;<br>&nbsp; &nbsp;<br>　　2.由于系统鼠标钩子已经完成注入其它GUI进程的工作，我们不需要为注入再 <br>做工作。 &nbsp; <br>　　如果你知道所有系统钩子的函数必须要在动态库里，就不会对“注入”感到<br>奇怪。当进程隐式或显式调用一个动态库里的函数时，系统都要把这个动态库映<br>射到这个进程的虚拟地址空间里(以下简称“地址空间”)。这使得DLL成为进程的<br>一部分，以这个进程的身份执行，使用这个进程的堆栈。 &nbsp; <br>&nbsp; &nbsp;<br>　　对系统钩子来说，系统自动将包含“钩子回调函数”的DLL映射到受钩子函数 <br>影响的所有进程的地址空间中，即将这个DLL注入了那些进程。 &nbsp; <br>　　3.当包含钩子的DLL注入其它进程后，寻找映射到这个进程虚拟内存里的各个 <br>模块（EXE和DLL）的基地址。EXE和DLL被映射到虚拟内存空间的什么地方是由它们<br>的基地址决定的。它们的基地址是在链接时由链接器决定的。当你新建一个Win32<br>工程时，VC＋＋链接器使用缺省的基地址0x00400000。可以通过链接器的BASE选项<br>改变模块的基地址。EXE通常被映射到虚拟内存的0x00400000处，DLL也随之有不同<br>的基地址，通常被映射到不同进程的相同的虚拟地址空间处。 &nbsp; <br>　　如何知道EXE和DLL被映射到哪里了呢？ &nbsp; <br>　　在Win32中，HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的 <br>虚拟内存空间的基地址。比如： &nbsp; <br>&nbsp; &nbsp;<br>　　HMODULE hmodule=GetModuleHandle(″gdi32.dll″); &nbsp; <br>&nbsp; &nbsp;<br>　　返回的模块句柄强制转换为指针后，就是gdi32.dll被装入的基地址。 &nbsp; <br>　　关于如何找到虚拟内存空间映射了哪些DLL？我用如下方式实现： &nbsp; <br>while(VirtualQuery (base, ＆mbi, sizeof (mbi))〉0) &nbsp; &nbsp;<br>{ if(mbi.Type==MEM-IMAGE) &nbsp; &nbsp;<br>ChangeFuncEntry((DWORD)mbi.BaseAddress,1); &nbsp; &nbsp;<br>base=(DWORD)mbi.BaseAddress＋mbi.RegionSize; } &nbsp; <br>&nbsp; &nbsp;<br>　　4.得到模块的基地址后，根据PE文件的格式穷举这个模块的<br>IMAGE-IMPORT-DESCRIPTOR数组，看是否引入了gdi32.dll。如是，则穷举<br>IMAGE-THUNK-DATA数组，看是否引入了TextOutA函数。 &nbsp; <br>&nbsp; &nbsp;<br>　　5.如果找到，将其替换为相应的自己的函数。 &nbsp; <br>　　系统将EXE和DLL原封不动映射到虚拟内存空间中，它们在内存中的结构与磁 <br>盘上的静态文件结构是一样的。即PE (Portable Executable) 文件格式。 &nbsp; <br>　　所有对给定API函数的调用总是通过可执行文件的同一个地方转移。那就是一 <br>个模块(可以是EXE或DLL)的输入地址表(import address table)。那里有所有本模<br>块调用的其它DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地<br>址表，由输入地址表再跳转到DLL真正的函数入口。例如： &nbsp; <br><br>　　 (图)对MessageBox()的调用跳转到输入地址表，从输入地址表再跳转到MessageBox函数 &nbsp; <br>// 这里我没有图<br>　　IMAGE-IMPORT-DESCRIPTOR和IMAGE-THUNK-DATA分别对应于DLL和函数。它们是<br>PE文件的输入地址表的格式（数据结构参见winnt.h）。 &nbsp; <br>&nbsp; &nbsp;<br>　　替换了输入地址表中TextOutA的入口为MyTextOutA后，截获系统函数调用的<br>主要部分已经完成，当一个被注入进程调用TextOutA时，其实调用的是MyTextOutA，<br>只需在MyTextOutA 中显示传进来的字符串，再交给TextOutA处理即可。 &nbsp;<br>

什么嘛？！<br>抠门！[!]

我做过了，<br><br>其实就是API Hook。<br><br>给个箱子，我发给你。

freeking_g@163.com<br>谢谢楼上兄弟。<br>学习。

学习<br>wcn1001@163.com 给我一份

给我一份行吗？<br>zeuschn@hotmail.com

smhp@163.net

学习，给一份好吗？<br><br>yztink@163.com<br><br>谢谢。

薄荷：能给我发一份吗？<br>谢谢！！！<br>xiuxiu_zhang@yahoo.com.cn

薄荷:我的箱子是: liwt@isd.com.cn