【转帖】Windows Hook <2> 勾子基本理念

这一期我们就来学习用用钩子技术和内存文件映射共享技术来实现远程线程插入
w{.T+^:R0  51Testing软件测试网8a!k VL#p?p@}
   现在网上关于这项编程技术的介绍满天飞,因为要想写出一个好的后门,该后门至少要达到高隐蔽.51Testing软件测试网%d,P2M9m+Xf*V
防查杀,无端口,自启动等要求,而将木马以DLL的形式嵌入到系统进程中,基本上可以满足要求,而
Tb F LNh+xH0这种远程线程注入技术也成为现代后门和木马程序的一项标准技术指标.51Testing软件测试网~2\L9xV
如果大家要想更为清晰地掌握该项编程技术,强烈推荐细读jeffery Richter的<<Windows核心技术>>.51Testing软件测试网^2~S4FW;g
该书个人觉得是每个学习Windows黑客编程技术爱好者的圣经.

v.cS|n+YlQ:T0大家知道,传统的远程线程插入是通过以下几个API来完成的;51Testing软件测试网+W9ge9d)y{h.e+x

K6X1bnV5\0·OpenProcess - 用于打开要寄生的目标进程。51Testing软件测试网7h;W2}'Tq1pNH

._Q/q_h0·VirtualAllocEx/VirtualFreeEx - 用于在目标进程中分配/释放内存空间。51Testing软件测试网&y,I8J-tX8d/k

·WriteProcessMemory - 用于在目标进程中写入要加载的DLL名称。

Y7q
Lu?*k
i\0·CreateRemoteThread - 远程加载DLL的核心内容，用于控制目标进程调用API函数。51Testing软件测试网8gmd d}

o~ G)]m-h.r)\0·LoadLibrary - 目标进程通过调用此函数来加载病毒DLL。51Testing软件测试网$X,`UX6Njv]D

%bz4uzcZ"NM0这种方法虽然好,但有个缺点:只能在NT核心的系统上有效,在98中无效51Testing软件测试网h$vb BX1xM

(}L3[%]%fe(^@5m(@0并且由于易DLL的特殊性,上面的方法并不奏效,虽然可以用写入汇编码来解决问题

但也较不方便,钩子的出现为我们解决了这个难题

通过钩子实现远程线程插入的思路如下:51Testing软件测试网VEC e| d"?%P

/WRR@L0通过安装windows 消息钩子WH_GETMESSAGE,把待插线程代码所在的DLL注入到其他进程里
f]$h'MG)qxt/C0在钩子回调函数中,判断当前进程ID是否是要插入的进程ID,如果是则创建一个新线程51Testing软件测试网3`*ZpX @Pw
这个新线程函数就是我们要执行的代码所在的函数,到这里也就达到了我们的目地.51Testing软件测试网5KM.H9n c.w u:R

现在就产生了一个新问题,由于我们的要执行的代码是放在一个DLL里面的,创建新线程就需要加载51Testing软件测试网c!`ih'F2L
这个DLL,就需要知道DLL路径,还有判断当前进程ID是否是要插入的进程ID,首先也要知道要插入的
8E7}]Ond t0进程ID是多少等等这些信息,这就涉及到进程通讯,我们可以用文件映射技术来进行进程通讯.

5d!M0K/xZ0文件映射主要是通过以下几个API来完成的:51Testing软件测试网rQ0k n8wF1_

*Aq%?L
d*Vi$B0*CreateFileMapping     //创建文件映射对象 ,成功返回文件映射对象句柄
b'iK$zi0     Dll命令名：CreateFileMapping51Testing软件测试网FF"G U2`'Tn&I:f
     所处动态链接库的文件名：kernel3251Testing软件测试网 qoy$v9`dh
     在所处动态链接库中的命令名：CreateFileMappingA

^,vN]'~"zM/|0     返回值类型：整数型
}zg$O6m6vc0     参数<1>的名称为“文件映射句柄”，类型为“整数型”。注明：指定欲在其中创建映射的一个文件句柄。&HFFFFFFFF&(-1)表示在内存中创建一个文件映射。51Testing软件测试网K'Du$Qm6s
     参数<2>的名称为“安全对象”，类型为“SECURITY_ATTRIBUTES”。注明：SECURITY_ATTRIBUTES指定一个安全对象，在创建文件映射时使用。如果为NULL（用ByVal As Long传递零），表示使用默认安全对象。51Testing软件测试网E*E:a Pm@J
     参数<3>的名称为“打开映射方式”，类型为“整数型”。注明：下述常数之一：;PAGE_READONLY以只读方式打开映射;PAGE_READWRITE：以可读、可写方式打开映射;PAGE_WRITECOPY：为写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT：为文件映射一个小节中的所有页分配内存;SEC_IMAGE：文件是个可执行文件;SEC_RESERVE：为没有分配实际内存的一个小节保留虚拟内存空间
j(l
bCF&H!EH+b5R0     参数<4>的名称为“文件映射最大长度”，类型为“整数型”。注明：文件映射的最大长度（高32位）。51Testing软件测试网%||KT^wS[
     参数<5>的名称为“文件映射的最小长度”，类型为“整数型”。注明：文件映射的最小长度（低32位）。如这个参数和dwMaximumSizeHigh都是零，就用磁盘文件的实际长度。
4qgc%lwt0     参数<6>的名称为“映射对象名”，类型为“文本型”。注明：指定文件映射对象的名字。如存在这个名字的一个映射，函数就会打开它。用vbNull创建一个无名的文件映射;。

*OpenFileMappingA    //打开一个已存在的文件映射对象,成功返回打开的文件映射对象句柄51Testing软件测试网uT$t+{.d WKm|
     Dll命令名:OpenFileMapping51Testing软件测试网;?plce2`br
     公开51Testing软件测试网%Y0t}.{?
     所处动态链接库的文件名：kernel3251Testing软件测试网Y*{*Q&L1Q9taA
     在所处动态链接库中的命令名：OpenFileMappingA
T(u-k(y9|x?nh}0     返回值类型：整数型
U*myO2iB0     参数<1>的名称为“常数”，类型为“整数型”。注明：带有前缀FILE_MAP_???的一个常数。参考MapViewOfFile函数的dwDesiredAccess参数的说明。51Testing软件测试网"dx(DE9|6j([#y"Z;y
     参数<2>的名称为“进程继承”，类型为“整数型”。注明：如这个函数返回的句柄能由当前进程启动的新进程继承，则这个参数为TRUE。51Testing软件测试网_U'\1n!t/k2b} J;d'l
     参数<3>的名称为“文件映射对象名称”，类型为“文本型”。注明：指定要打开的文件映射对象名称;。

*MapViewOfFile /将一个文件映射对象映射到当前应用程序的地址空间
DVA-u{,iq&PW0Dll命令名：MapViewOfFile51Testing软件测试网5Q]-I"ys[%H#@-|,AI
     将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射文件映射在内存中的起始地址。零表示出错。会设置GetLastError51Testing软件测试网.\$e6S2[~
     所处动态链接库的文件名：kernel32
T"R&I8t+N:K\$~"Hp C0     在所处动态链接库中的命令名：MapViewOfFile51Testing软件测试网 T*{r}z5ok&e
     返回值类型：整数型
ZFi;W n&A-YMl0     参数<1>的名称为“hFileMappingObject”，类型为“整数型”。51Testing软件测试网4pe
L9x eLJE2W ]S
     参数<2>的名称为“dwDesiredAccess”，类型为“整数型”。
8|nrP1w2S+l0     参数<3>的名称为“dwFileOffsetHigh”，类型为“整数型”。
x a&~:^0hXJ:vw!]0     参数<4>的名称为“dwFileOffsetLow”，类型为“整数型”。51Testing软件测试网m f2K7HS9v5v)Gx!H9[E
     参数<5>的名称为“dwNumberOfBytesToMap”，类型为“整数型”。

/w/}-nEt'w(R0通过以上API再结合易自带的写到内存(),指针到字节集(),指针到文本(),取字节集数据()等命令就可以在进程间读写数据了.51Testing软件测试网K/s-B4h Q~2n2c
内存文件映射技术就介绍到这里,在下面的实例中有具体应用,我就不多说了.51Testing软件测试网&qM^s1?
以资源管理器进程(explorer.exe)为例,我们来开始解析程序:51Testing软件测试网NX-b1\u

&LgAr.OF.I0程序基本原理:51Testing软件测试网3]w1j;eFz!I(Y
start.exe 先在内存中创建一个映射文件,把自己的线程ID和查找到的 Explorer进程ID51Testing软件测试网P"R8~f*I`,J#y
以及HookDL.dll的路径写到映射文件,再安装 HookDL.dll 中的 WH_GETMESSAGE 钩子,
3KI
F5jK0此时,start.exe进入消息循环,直到收到被插进程发来的线程退出消息WM_QUIT51Testing软件测试网D:v#{,uGJre&L
    在钩子回调函数中,首先把start.exe在内存中创建的映射文件映射到当前进程,然后51Testing软件测试网:UpS*ri)n2x9cu
判断当前进程ID是否先前 Start.exe 查找到的 Explorer进程ID, 是的话,则
a ^5H Q2V-{ nHXO(V0再次LoadLibrary(HookDLL.dll),并定位到其中ThreadPro函数. 此时创建一个51Testing软件测试网 K D?.Q x
新线程,线程函数就是ThreadPro,该新线程首先往Start.exe消息队列放置一个线51Testing软件测试网']V@2{ j5Z)D g
程退出消息 WM_QUIT,导致其消息循环结束.51Testing软件测试网-T
RX B%C3d7s+f(}h
E
     此时插入线程完成..可以看到屏幕左上角不断变化的数字..说明我们的代码正在执行.
.pr!~Y4h4x0进程列表却没有Start.exe,用进程管理观察,可发现Explorer进程,的确多了个线程,且来自51Testing软件测试网@'sj1?1TG
HookDLL.dll ..如果希望插入Explorer的线程结束,按 Alt+L 即可...   :)  51Testing软件测试网"XT/UAl q7X

现在我们来看看主程序代码,为照顾新手,我会逐行分析:51Testing软件测试网-n3h(}t6fo

.版本 2
CSf[
j0'系统核心支持库51Testing软件测试网oByfir3?
.应用接口支持库

-z1|b([B'x0.程序集 窗口程序集151Testing软件测试网0my_/Rx(i0z
.程序集变量 Explorer_PID, 整数型
r7^4CX \0d SZM0.程序集变量 hhook, 整数型
2HvLAR-C\0.程序集变量 FileMapH, 整数型51Testing软件测试网M)I(Pt cJdkl
.程序集变量 DLLPath, 文本型

.子程序 __启动窗口_创建完毕51Testing软件测试网8x9G*Wn{ T.G7e
.局部变量 nil, SECURITY_ATTRIBUTES
(qb:G)g*T0.局部变量 TheNodeP, 整数型51Testing软件测试网N_EQ$M?q
.局部变量 ThreadMessage, MSG
/HhzW$z4y:k-X/Y0.局部变量 MainPath, 字节集51Testing软件测试网%wEzP z/Iu'x
.局部变量 ExplorerID, 字节集51Testing软件测试网nhAz.J/q+uM}
.局部变量 MainThread, 字节集51Testing软件测试网&n!H:o.nmg
.局部变量 Mainhhook, 字节集51Testing软件测试网)m,[4Uf7t)[k

' 指定DLL路径51Testing软件测试网(E mTc%A9a[`5u
DLLPath ＝ 取运行目录 () ＋ “\HookDLL.dll”

' 检查插入线程是否已经存在51Testing软件测试网{)]!QlG:^4a
FileMapH ＝ api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “hacker0058Explorer8Mazi”)51Testing软件测试网_3iod'`Y[Y
api_CloseHandle (FileMapH)51Testing软件测试网2|5t'_];VGKX

QtZ5[9k5c6R0.如果真 (FileMapH ＝ 0)   '如果插入线程不存在,开始插入Explorer_PID ＝ 取进程PID (“explorer.exe”)   ' 这里指定要插入的进程,用到了子程序:取进程PID()                                                   

K"s}I`0    
PO$K'wgs!PV0.如果真 (Explorer_PID ＝ 0)     '查找explorer失败
3p6Wl!F(\.U/Er6ML0        信息框 (“寻找指定进程出错!”, 0, )
KJ^4j)Uy0        结束 ()51Testing软件测试网Kt}Y!`r6_GV
.如果真结束51Testing软件测试网8uXgO!b[2C
'创建内存映射文件  51Testing软件测试网 BPS$Q]M-I
     FileMapH ＝ api_CreateFileMapping (-1, nil, #PAGE_READWRITE, 0, 100,“HookExplorer8Mazi”)  51Testing软件测试网6G+f7` |A1p#N
    51Testing软件测试网-g+[%@ djS;SE"i@| T/R
'映射到本进程空间   
S3H(S*oV0TheNodeP ＝ api_MapViewOfFile (FileMapH, #FILE_MAP_ALL_ACCESS, 0, 0, 0)51Testing软件测试网C,Xqf:H@}L
    51Testing软件测试网u*Y9VV^'k
'写入共享数据

T)O(M0w5c_|ZD+B2JXf&a0     ExplorerID ＝ 到字节集 (Explorer_PID)51Testing软件测试网^.GKC2@rz*u:MT
     MainThread ＝ 到字节集 (当前线程标志符_ ())51Testing软件测试网b3V/^G
x"d&d)i
     MainPath ＝ 到字节集 (DLLPath) ＋ { 0, 0, 0 }   ' 字符串是以两字节的0为结束标志的,所以这里加上{ 0, 0, 0 }                                                    
mm[$OUv#^0     写到内存 (ExplorerID ＋ MainThread ＋ MainPath, TheNodeP, )51Testing软件测试网+P E?\5_U'jrl^
    
zJKz(EN&|2?
a0'关闭内存映射
#Cr+q|&d+@:c0    API_UnmapViewOfFile (TheNodeP)

n}4Tw'N0'挂DLL跳板钩子   51Testing软件测试网 r)DK+b%^
    hMod ＝ GetMsgHookOn ()
1v QR1t1gCxnl8f1F0     .如果真 (hMod ＝ 0)
0H4d4{e jE0         输出调试文本 (“挂DLL跳板钩子失败!”)51Testing软件测试网-w1_&ihae)[!^ xU~
         api_CloseHandle (FileMapH)   ' 关闭映射文件51Testing软件测试网*XsM%T'O8p3iB6v
         结束 ()
_w(L qN4I%n0     .如果真结束51Testing软件测试网l'Ij%L1t
'等待插入Explorer的新线程发来消息    
GO:Rf6Oy8V|0    api_GetMessage (ThreadMessage, 0, 0, 0)

'脱DLL跳板钩子   
!~3o$u#X lj.s |Wr-B0    GetMsgHookOff ()
y&Xh1~8ds^|0' 御载DLL      
5gF(fA{!g8`0     api_FreeLibrary (hMod)
RC*d|M
P0' 关闭映射文件
k/|*?x$X#X8Y"i6g|0     api_CloseHandle (FileMapH)  
uxU
GhW'LK0   
qy0Y5?+D|*L0.如果真结束51Testing软件测试网1M(tcA pM U HE
结束 ()

.子程序 取进程PID, 整数型, , 成功返回进程PID,失败返回0
LH&u(O jIU6a8sw1W0.参数 标志文本, 文本型, , 进程名或窗口名51Testing软件测试网{%g F'ar){ S;N!Vd
.局部变量 进程, 进程信息, , "0"51Testing软件测试网)? C!tt-NlF
.局部变量 PID, 整数型51Testing软件测试网3k F?}+H([
.局部变量 i, 整数型51Testing软件测试网d+D-C$jn
x2U-L|U

8l]V:x5_ N ZVg_c0PID ＝ 0
"? w/O4iG u0.如果真 (倒找文本 (标志文本, “.”, , 真) ≠ -1)
5]@6@u u^ XK0     进程 ＝ 取系统进程列表 ()
@M@(v2{dUr(o0     .计次循环首 (取数组成员数 (进程), i)
n!Dqf0G\0         .如果真 (倒找文本 (进程 [i].进程名称, 标志文本, , 真) ≠ -1)
B{NEJ0HY[0             PID ＝ 进程 [i].进程标识符
` o6M
v4Uw'b0             跳出循环 ()
`S
bwg:R5f#h0         .如果真结束

A\}U E0TCQ0     .计次循环尾 ()51Testing软件测试网1|$wW];d3Eo/[n$u`
.如果真结束
2K5ec@#_0.如果真 (PID ＝ 0)51Testing软件测试网-FB3_%b)q1g(?
     API_取进程标识符 (api_FindWindow (0, 标志文本), PID)51Testing软件测试网
ue@F6j
.如果真结束51Testing软件测试网1}4|vg c
返回 (PID)51Testing软件测试网"^%R(X;`i,B)Q

============================================================51Testing软件测试网g0O-a&~||gE

.现在主程序已经完成了它的任务,现在来看看我们执行的核心,HookDLL.dll的代码:51Testing软件测试网o$h)l!q+J%R,H.~

'xQV4bL3[Oi3j)Snc0
%H4@ZVa @7?0.版本 251Testing软件测试网X3P#{(XK}{

9E%{"l&U c E+t0.全局变量 TheNodeP, 整数型
7\ \n{/m0.全局变量 hhook, 整数型, 公开
,Q:L jt5q~0.全局变量 DLL, Main

+y2UloR:_iOb0.程序集 HOOK程序集51Testing软件测试网2L"Zl;`I{|
.程序集变量 hMod, 整数型
}+ZF:^B3kEPMbT0.程序集变量 lpProc, 子程序指针51Testing软件测试网5[1Q[2Zwn`

\lXdcx%n|051Testing软件测试网|'^#I*fkk*B9}
.程序集 DLL程序集
4O[YbA y0.版本 251Testing软件测试网 Bohy#qTXQ'j8s
.子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码51Testing软件测试网3wqQ:Yun/Uo

zn \ k9P*O M^0复制共享数据 ()   '初始化代码,只有在程序第一次加载DLL时才被执行
7s|G9i%at0_临时子程序 ()
ZCA` H/o0返回 (0)51Testing软件测试网yN rxC9h

'先看看钩子回调函数:51Testing软件测试网p~fo-X

uflG\0.子程序 GetMsgProc, 整数型, 公开, 钩子回调函数
(_1YH/k#Qs8nj i0g0.参数 code, 整数型51Testing软件测试网6`q+\']#r:a~&U
.参数 wParam, 整数型
x&p g T;K N
b8c+U0.参数 lParam, 整数型51Testing软件测试网{i7N4cu+QjW
.局部变量 lpThreadA, SECURITY_ATTRIBUTES51Testing软件测试网5Q}!ep/g4s~
.局部变量 LibraryH, 整数型51Testing软件测试网
y/[pxjP,a`D
.局部变量 ThreadPt, 整数型
z+WDOu)W!D/m#I0.局部变量 ThreadID, 整数型51Testing软件测试网f6xC&NX ~c&NeH

2O}Do;K"~{0' 截获到消息,开始执行下面的自定以代码(回调函数)51Testing软件测试网%h Ssi+{V _t
复制共享数据 ()  51Testing软件测试网N'LBp"T^3X r1U
.如果真 (TheNodeP ≠ 0 且 pnode.ExplorerID ≠ 0 且 api_GetCurrentProcessId () ＝ pnode.ExplorerID)   ' 是资源管理器
)U}5l*H2M)kt9_0     .如果真 (倒找文本 (MainPath, “.dll”, , 真) ≠ -1)   ' DLL路径是否正确
1d;k!Sk"KK z o0         LibraryH ＝ api_LoadLibraryA (MainPath)   ' 装载动态链接库51Testing软件测试网XPH0gx
N]{
     .如果真结束
.N5ufL$Jw0     .如果真 (LibraryH ≠ 0)
4@3Del;s1` d6d?0         ThreadPt ＝ 到整数 (api_GetProcAddress (LibraryH, “ThreadPro”))   ' 定位线程函数
m$z[FapNLH0         .如果真 (ThreadPt ≠ 0)
FK,s
[U+gTF;w0             api_CreateThread (lpThreadA, 0, ThreadPt, 0, 0, ThreadID)   ' 创建新线程
9Gr,j:oY-_/wOx0         .如果真结束51Testing软件测试网P,ZLke6F3EZO

     .如果真结束51Testing软件测试网8IX%Ei*}8[.`)_s

.如果真结束51Testing软件测试网4m8A+z!]:S4u#Z.{[
返回 (api_CallNextHookEx (hhook, code, wParam, lParam))   ' 钩子循环

_ W(]kT1pp%[+x0再看看子程序:复制共享数据

C` dwMl0.子程序 复制共享数据, 逻辑型51Testing软件测试网5Z+XgN+d7b*n}#p
.局部变量 i, 整数型
'_+w m f^6T0.局部变量 MainPath, 文本型51Testing软件测试网"u-^ M m1D{KO%ZE
.局部变量 FileMapH, 整数型51Testing软件测试网 U{&J ZV5F

FileMapH ＝ api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “HookExplorer8Mazi”)
e`T;]-y4i tF0.如果真 (FileMapH ＝ 0)51Testing软件测试网0K0q;Gz)a#L
     输出调试文本 (“打开内存映射文件出错!”)51Testing软件测试网| y!TQ@*T
}
[*w
     返回 (假)
%b-t(A(e7g/p0.如果真结束
%|nO/QruTs-u0TheNodeP ＝ api_MapViewOfFile (FileMapH, #FILE_MAP_ALL_ACCESS, 0, 0, 0)
]4`D:mWf"T0.如果真 (TheNodeP ＝ 0)51Testing软件测试网6y,m7x~%\.sfW
     api_CloseHandle (FileMapH)51Testing软件测试网8V(_@1S:pA y.g+f^b
     输出调试文本 (“映射到本进程空间出错!”)51Testing软件测试网$i9^7A[0L#?
     返回 (假)
V LJ:| Q6{0.如果真结束51Testing软件测试网e!w3zE8c b9G$A d

T `,D K a ~$G0'取回共享数据
iou d3J7j5D0Q L,A0DLL.ExplorerID ＝ 取字节集数据 (指针到字节集 (TheNodeP, 4), 3, )'整数型数据尺寸大小是451Testing软件测试网,Lq!x1|y.n\ wK
DLL.MainThread ＝ 取字节集数据 (指针到字节集 (TheNodeP ＋ 4, 4), 3, )    '+4
P,eG2t/\Q ?I/f0DLL.MainPath ＝ 指针到文本 (TheNodeP ＋ 8)    '+8
MEV(rR&o0K0API_UnmapViewOfFile (TheNodeP)   ' 关闭内存映射
RiTn C4rd)}eE0api_CloseHandle (FileMapH)   ' 关闭文件映射对象
FTB'Fn6O.?k$e0返回 (真)

K h2X%s3pz0

'钩子回调函数完成,现在开始写待插线程代码,这里实现写文字到屏幕的功能51Testing软件测试网\-Fzn.eS*N9OP'n

.版本 2

.子程序 ThreadPro, , 公开, 待插线程代码51Testing软件测试网0I|CAN!E
.局部变量 Count, 整数型51Testing软件测试网p+W1c9oWu
.局部变量 theMsg, MSG
X9]*e@cUP+a0.局部变量 FileMap, 整数型
9n,HsKX8wo[h e0.局部变量 nil, SECURITY_ATTRIBUTES51Testing软件测试网hzi}h2?
.局部变量 HotKeyID, 整数型51Testing软件测试网e,H-J!L%grb

9Lnb:KA[D!K4Y0api_PostThreadMessage (DLL.MainThread, #WM_QUIT, 0, 0)
X~H*fBvm!ky0FileMap ＝ api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “hacker0058Explorer8Mazi”)   ' 禁止重复运行51Testing软件测试网2rD"x
s.Z|9Z
api_CloseHandle (FileMap)
l&J6x3a[Z0.如果真 (FileMap ＝ 0)
Fw
Hb8fg%`z0     FileMap ＝ api_CreateFileMapping (-1, nil, 4, 0, 2, “hacker0058Explorer8Mazi”)
If;?|!EN7\0     Count ＝ 0
r"AOL _(g6nI%z(H+n0     HotKeyID ＝GlobalAddAtom(“hacker0058andALT+L”) ' 申请全局原子51Testing软件测试网~/`zZg{
     RegisterHotKey (0, HotKeyID, 1, #L键)            '注册热键Alt+L51Testing软件测试网B'Szcd6B0b3@+m
     .判断循环首 (api_PeekMessage (theMsg, 0, 0, 0, #PM_REMOVE) ＝ 0 且 取反 (theMsg.message ＝ #WM_HOTKEY) 或 theMsg.message ＝ #WM_QUIT)51Testing软件测试网$te } vmcW
         WriteScreen (“   ” ＋ Int2Hex (Count) ＋ “   [The Thread is From ” ＋ 取执行文件名 () ＋ “ and Alt+L to Exit   ”)51Testing软件测试网 O'?1h2lP#B` ?7]
         Count ＝ Count ＋ 151Testing软件测试网 MWg+R t,OAv0o#^V
         延时 (500)
F+t?t@L-a)\0     .判断循环尾 ()51Testing软件测试网-~6D&G7B7]8?Q5l
     api_CloseHandle (FileMap)
)H$? X1p
C@4x k/aw8v)y0     UnregisterHotKey(0, HotKeyID)    '撤销热键Alt+L
u!e1dZ#~M0     DeleteAtom (HotKeyID)        '释放全局原子51Testing软件测试网(C1IGV3teZw7qY

51Testing软件测试网(S9pD+Cg,\
.子程序 WriteScreen, , , 写文字到屏幕
n(v3n1?s0.参数 s, 文本型
4H x9rX:F;~S%L0.局部变量 hScreenDC, 整数型

\/C7ch:@
L{&Y [0hScreenDC ＝ 取设备场景_ (0)51Testing软件测试网0] T-jt8v^6V'v2T4u
api_TextOut (hScreenDC, 0, 0, s, 取文本长度 (s))   '写文字到屏幕51Testing软件测试网-u'Ps(aDLj5@ M]4N
api_ReleaseDC (0, hScreenDC)   '撤消写文字到屏幕51Testing软件测试网(Fan(LaH6W_[8Ik

51Testing软件测试网$o?X%`qL
.子程序 Int2Hex, 文本型, , 数值转字符串
n*E#ODtJd6v(H-jup0.参数 v, 整数型51Testing软件测试网&yrAw qM
.局部变量 i, 整数型51Testing软件测试网R:a/J,[ Na
.局部变量 a, 文本型51Testing软件测试网j@!S-~ay)@q&X0m
.局部变量 b, 文本型

-y#lVc4Q
Ww0b ＝ 取十六进制文本 (v) '51Testing软件测试网$Xg^Ml)d
.计次循环首 (8 － 取文本长度 (b), i)
*_pIiV:k*[J0     a ＝ a ＋ “0”
G[.S8C[9X(d0.计次循环尾 ()51Testing软件测试网;].M$e0oyJSb
返回 (“$” ＋ a ＋ b)

"J \&d[h*p[3n@051Testing软件测试网U4mt.M\;J)D
.子程序 GetMsgHookOff, 逻辑型, 公开, 关闭全局消息钩子

   返回 (api_UnhookWindowsHookEx (hhook))

-w$`9Q2wy?"woy051Testing软件测试网u.@k;Im6rM_8?sy
.子程序 GetMsgHookOn, 整数型, 公开, 安装全局消息钩子

hMod ＝ api_LoadLibraryA (MainPath) '加载DLL,返回模块地址

lpProc ＝ api_GetProcAddress (hMod, “GetMsgProc”) 'DLL中钩子回调函数地址

s(b@w)s051Testing软件测试网 XgM)f+Jy`
hhook ＝ api_SetWindowsHookExA (#WH_GETMESSAGE, lpProc, hMod, 0) '安装钩子51Testing软件测试网OUk8j,L"p&oy#V9a

返回 (hMod)

,l d7T[xB051Testing软件测试网f4G(]*V a
J

r&nb7|U e\oq.mr@0好了,整个框架就这样了,由于篇幅原因,具体的不再细说了.附件里有完整的易程序源码,具体细节大家可以参阅,源码在Windows xp+sp2 易4.02中测试通过.51Testing软件测试网1O3z8F[IqXy;G

下期预告:51Testing软件测试网wt0qk*xj`

下一期我们将介绍API Hook技术,API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳51Testing软件测试网s2C:m9D?3thvn/\
软件,串口红外通讯,游戏外挂,internet通信等领域.API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例如我们用API Hook技挂接ExitWindowsEx API函数,使关机失效等等......

2]a k?Z0[0敬请期待51Testing软件测试网6`V"{O7I9}]!{