【转帖】Windows Hook <2> 勾子基本理念

f|+TLTa0这一期我们就来学习用用钩子技术和内存文件映射共享技术来实现远程线程插入
4o0q*H\(I(M @0  51Testing软件测试网5h8peM2jK(f
   现在网上关于这项编程技术的介绍满天飞,因为要想写出一个好的后门,该后门至少要达到高隐蔽.
I(Jsl&Y:\V({0防查杀,无端口,自启动等要求,而将木马以DLL的形式嵌入到系统进程中,基本上可以满足要求,而51Testing软件测试网 tSX[sa?
这种远程线程注入技术也成为现代后门和木马程序的一项标准技术指标.51Testing软件测试网9J9P0kgQP;@#^6VG
如果大家要想更为清晰地掌握该项编程技术,强烈推荐细读jeffery Richter的<<Windows核心技术>>.51Testing软件测试网2^By ?YN`q
该书个人觉得是每个学习Windows黑客编程技术爱好者的圣经.

大家知道,传统的远程线程插入是通过以下几个API来完成的;51Testing软件测试网"b`LFH&w ^

·OpenProcess - 用于打开要寄生的目标进程。

·VirtualAllocEx/VirtualFreeEx - 用于在目标进程中分配/释放内存空间。51Testing软件测试网&G SQE8Ax.h

#d.IV"p0A1u'c0·WriteProcessMemory - 用于在目标进程中写入要加载的DLL名称。

0OKV9Z4~3a@r0K G_0·CreateRemoteThread - 远程加载DLL的核心内容，用于控制目标进程调用API函数。51Testing软件测试网E"?K yyK(vR

{\z"^2h9M7P:K0·LoadLibrary - 目标进程通过调用此函数来加载病毒DLL。51Testing软件测试网-^+G S] lH,\

这种方法虽然好,但有个缺点:只能在NT核心的系统上有效,在98中无效51Testing软件测试网M!MqR
Er

并且由于易DLL的特殊性,上面的方法并不奏效,虽然可以用写入汇编码来解决问题

但也较不方便,钩子的出现为我们解决了这个难题

通过钩子实现远程线程插入的思路如下:

#l0k1`(V`0通过安装windows 消息钩子WH_GETMESSAGE,把待插线程代码所在的DLL注入到其他进程里
Ys _IL"tqr0在钩子回调函数中,判断当前进程ID是否是要插入的进程ID,如果是则创建一个新线程51Testing软件测试网 rljd-s V|
这个新线程函数就是我们要执行的代码所在的函数,到这里也就达到了我们的目地.

现在就产生了一个新问题,由于我们的要执行的代码是放在一个DLL里面的,创建新线程就需要加载51Testing软件测试网4|:]qyS!V&j!c l
这个DLL,就需要知道DLL路径,还有判断当前进程ID是否是要插入的进程ID,首先也要知道要插入的
5Lk7oQ
}0m'UCKj|0进程ID是多少等等这些信息,这就涉及到进程通讯,我们可以用文件映射技术来进行进程通讯.51Testing软件测试网8M:Gd;Z]#q&f

文件映射主要是通过以下几个API来完成的:

(|'?u
j9ErL
]hi0*CreateFileMapping     //创建文件映射对象 ,成功返回文件映射对象句柄
1cS N(KE&h3Sd(S*U8y0     Dll命令名：CreateFileMapping51Testing软件测试网 W2l%j~PGH1]6r)d
     所处动态链接库的文件名：kernel32
;B\;y b{McM0     在所处动态链接库中的命令名：CreateFileMappingA
(iMa&ez!ZA0     返回值类型：整数型51Testing软件测试网`$Ar bcU#o
     参数<1>的名称为“文件映射句柄”，类型为“整数型”。注明：指定欲在其中创建映射的一个文件句柄。&HFFFFFFFF&(-1)表示在内存中创建一个文件映射。
+b:Q4G;oEr0     参数<2>的名称为“安全对象”，类型为“SECURITY_ATTRIBUTES”。注明：SECURITY_ATTRIBUTES指定一个安全对象，在创建文件映射时使用。如果为NULL（用ByVal As Long传递零），表示使用默认安全对象。51Testing软件测试网'Y0PH4o]bP+zZ
     参数<3>的名称为“打开映射方式”，类型为“整数型”。注明：下述常数之一：;PAGE_READONLY以只读方式打开映射;PAGE_READWRITE：以可读、可写方式打开映射;PAGE_WRITECOPY：为写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT：为文件映射一个小节中的所有页分配内存;SEC_IMAGE：文件是个可执行文件;SEC_RESERVE：为没有分配实际内存的一个小节保留虚拟内存空间51Testing软件测试网~m+Jt3[*E
     参数<4>的名称为“文件映射最大长度”，类型为“整数型”。注明：文件映射的最大长度（高32位）。
-ob-g$UWLbK2Ac0     参数<5>的名称为“文件映射的最小长度”，类型为“整数型”。注明：文件映射的最小长度（低32位）。如这个参数和dwMaximumSizeHigh都是零，就用磁盘文件的实际长度。
DDI(C)Q0     参数<6>的名称为“映射对象名”，类型为“文本型”。注明：指定文件映射对象的名字。如存在这个名字的一个映射，函数就会打开它。用vbNull创建一个无名的文件映射;。51Testing软件测试网,`6@} e"ZU"H'a

~+e{3Y+s0*OpenFileMappingA    //打开一个已存在的文件映射对象,成功返回打开的文件映射对象句柄51Testing软件测试网?*r~?|J2Q9?}4O
     Dll命令名:OpenFileMapping
1V6Ngui-j-Y.f0     公开51Testing软件测试网9q1fv$@,p.}/E1@2e;V
     所处动态链接库的文件名：kernel3251Testing软件测试网gV$X oBX7u)m#r
     在所处动态链接库中的命令名：OpenFileMappingA51Testing软件测试网+i;v/fI/zrT
     返回值类型：整数型51Testing软件测试网a;FaG-sK
     参数<1>的名称为“常数”，类型为“整数型”。注明：带有前缀FILE_MAP_???的一个常数。参考MapViewOfFile函数的dwDesiredAccess参数的说明。51Testing软件测试网.t8@1p6zkW;_BHi7b
     参数<2>的名称为“进程继承”，类型为“整数型”。注明：如这个函数返回的句柄能由当前进程启动的新进程继承，则这个参数为TRUE。51Testing软件测试网
?,l DRn;W`'s
     参数<3>的名称为“文件映射对象名称”，类型为“文本型”。注明：指定要打开的文件映射对象名称;。

]"ao x)@WR2}~0*MapViewOfFile /将一个文件映射对象映射到当前应用程序的地址空间51Testing软件测试网0S7W"soe_
Dll命令名：MapViewOfFile51Testing软件测试网O6N+|-J.w+J:@3n
     将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射文件映射在内存中的起始地址。零表示出错。会设置GetLastError
g+h9x
S
ev%{"XSS0     所处动态链接库的文件名：kernel32
,Jd9kw*SX0     在所处动态链接库中的命令名：MapViewOfFile51Testing软件测试网/Q;q-p@C)fvO
     返回值类型：整数型51Testing软件测试网X3Le.e.@
     参数<1>的名称为“hFileMappingObject”，类型为“整数型”。
YF{r7eK_/vJ)s(]0     参数<2>的名称为“dwDesiredAccess”，类型为“整数型”。
,fq_+MgrV!B0     参数<3>的名称为“dwFileOffsetHigh”，类型为“整数型”。
2}%M4s*e xL `x7[L`0     参数<4>的名称为“dwFileOffsetLow”，类型为“整数型”。51Testing软件测试网8a]
Vq3X%X
     参数<5>的名称为“dwNumberOfBytesToMap”，类型为“整数型”。

:s g+q#Ofi^0通过以上API再结合易自带的写到内存(),指针到字节集(),指针到文本(),取字节集数据()等命令就可以在进程间读写数据了.
ucG/OI)P~Y0内存文件映射技术就介绍到这里,在下面的实例中有具体应用,我就不多说了.51Testing软件测试网fS f;Jz}&R
以资源管理器进程(explorer.exe)为例,我们来开始解析程序:

:Gt*A Q/|'J L&J0程序基本原理:51Testing软件测试网*L`!_/h:M
start.exe 先在内存中创建一个映射文件,把自己的线程ID和查找到的 Explorer进程ID51Testing软件测试网:I8@7PL|0`2hB5H
以及HookDL.dll的路径写到映射文件,再安装 HookDL.dll 中的 WH_GETMESSAGE 钩子,
MN6w9qz%m9x0此时,start.exe进入消息循环,直到收到被插进程发来的线程退出消息WM_QUIT
&U
O&Z6d
~)l7bj*W0    在钩子回调函数中,首先把start.exe在内存中创建的映射文件映射到当前进程,然后
Q3hd|a0判断当前进程ID是否先前 Start.exe 查找到的 Explorer进程ID, 是的话,则
Z O;R+yS6Hty&h2R5i0再次LoadLibrary(HookDLL.dll),并定位到其中ThreadPro函数. 此时创建一个
E:Z|8M1W0新线程,线程函数就是ThreadPro,该新线程首先往Start.exe消息队列放置一个线51Testing软件测试网j"Fi[0A3@
程退出消息 WM_QUIT,导致其消息循环结束.
|^8Ei!V"`0E0     此时插入线程完成..可以看到屏幕左上角不断变化的数字..说明我们的代码正在执行.
Vbm,_2C-[A(u0进程列表却没有Start.exe,用进程管理观察,可发现Explorer进程,的确多了个线程,且来自
$?^rAUm!v0HookDLL.dll ..如果希望插入Explorer的线程结束,按 Alt+L 即可...   :)  51Testing软件测试网L;~[HaW#pg4t

现在我们来看看主程序代码,为照顾新手,我会逐行分析:

.版本 251Testing软件测试网*B"r$^~^b7o
'系统核心支持库51Testing软件测试网PMM)SpA!q
.应用接口支持库51Testing软件测试网)p)x h*H$B4D l%Dd%]

.程序集 窗口程序集151Testing软件测试网vM&d&J/Zp*M
.程序集变量 Explorer_PID, 整数型51Testing软件测试网~2[I'Yq5M.N
.程序集变量 hhook, 整数型51Testing软件测试网7@
g$JvcT
.程序集变量 FileMapH, 整数型51Testing软件测试网zko(B)F0^ c'x
.程序集变量 DLLPath, 文本型

)hxG _K5o+AW*v&Z0.子程序 __启动窗口_创建完毕51Testing软件测试网.\)O9j7}N_ jr
.局部变量 nil, SECURITY_ATTRIBUTES
K\5QaL(C$^]$Y0.局部变量 TheNodeP, 整数型51Testing软件测试网 y8rjGxE
.局部变量 ThreadMessage, MSG51Testing软件测试网h*CU!x3I9m M
.局部变量 MainPath, 字节集51Testing软件测试网jW-H1`5Y6D8_a
.局部变量 ExplorerID, 字节集51Testing软件测试网p#e9J9jBgo:p2aW
.局部变量 MainThread, 字节集
&Fi^u:B2Uc;Ia0.局部变量 Mainhhook, 字节集51Testing软件测试网8E Bk&B"dwz

VK'_P]!G0' 指定DLL路径51Testing软件测试网2|VZ*v'OG3u#x
DLLPath ＝ 取运行目录 () ＋ “\HookDLL.dll”

' 检查插入线程是否已经存在51Testing软件测试网 n%|'`m(R(t~
FileMapH ＝ api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “hacker0058Explorer8Mazi”)
VyE \w$_-\N
p0api_CloseHandle (FileMapH)51Testing软件测试网 }1r"~?1{5jp5i5l

(\]V k9D6S8tm8jL$\0.如果真 (FileMapH ＝ 0)   '如果插入线程不存在,开始插入Explorer_PID ＝ 取进程PID (“explorer.exe”)   ' 这里指定要插入的进程,用到了子程序:取进程PID()                                                   
'hb5H^Z0    51Testing软件测试网'e.NU&ZE!YR| g,d
.如果真 (Explorer_PID ＝ 0)     '查找explorer失败
y"psj~ F0        信息框 (“寻找指定进程出错!”, 0, )
!v wMY7vB6A0        结束 ()51Testing软件测试网9p%n,v-r.Cj4MJ;\
.如果真结束
(W]Sx1Zx'Q-K0'创建内存映射文件  
sg
J6l-RW@U0     FileMapH ＝ api_CreateFileMapping (-1, nil, #PAGE_READWRITE, 0, 100,“HookExplorer8Mazi”)  
]iFk,bS\'Y0    
%|]&n#E8^!ep7So0'映射到本进程空间   
(X-RffS/RF0TheNodeP ＝ api_MapViewOfFile (FileMapH, #FILE_MAP_ALL_ACCESS, 0, 0, 0)
F:C5u/JDf0    51Testing软件测试网 A Z8s%Q/B
'写入共享数据
K:z/Sg5CN6j'b T0     ExplorerID ＝ 到字节集 (Explorer_PID)51Testing软件测试网\/T&r!m%T
     MainThread ＝ 到字节集 (当前线程标志符_ ())
xY2zo$jj?0     MainPath ＝ 到字节集 (DLLPath) ＋ { 0, 0, 0 }   ' 字符串是以两字节的0为结束标志的,所以这里加上{ 0, 0, 0 }                                                    51Testing软件测试网LH;Q x~i'k6V
     写到内存 (ExplorerID ＋ MainThread ＋ MainPath, TheNodeP, )51Testing软件测试网 C)u*d*F K?)[S
    51Testing软件测试网nA4n#x k,IDCx
'关闭内存映射
K*GD(` i[.h'M
T0    API_UnmapViewOfFile (TheNodeP)

6KB0BM"CUA/KP0'挂DLL跳板钩子   51Testing软件测试网Z
^k)g;j
    hMod ＝ GetMsgHookOn ()51Testing软件测试网lITa0\~wA,a
     .如果真 (hMod ＝ 0)51Testing软件测试网 J~&N+q5J
         输出调试文本 (“挂DLL跳板钩子失败!”)51Testing软件测试网WQ,\]By_ m e
         api_CloseHandle (FileMapH)   ' 关闭映射文件51Testing软件测试网 x"u5R:Fq*b JHZ(o
         结束 ()51Testing软件测试网-Ag4c4R%g4{#F
     .如果真结束51Testing软件测试网JxE#tf4W1Es+R(XO
'等待插入Explorer的新线程发来消息    51Testing软件测试网O0\j2l7m
    api_GetMessage (ThreadMessage, 0, 0, 0)51Testing软件测试网8F1VG3[O$D

U0|5QJ@g!R"P4|A0'脱DLL跳板钩子   51Testing软件测试网.P_q+I"D nM.m ab)V
    GetMsgHookOff ()51Testing软件测试网+i&A8K9{&g
' 御载DLL      
5L;\%UZD0     api_FreeLibrary (hMod)51Testing软件测试网!_+G0mG*R6R {BW
' 关闭映射文件51Testing软件测试网$r4x c|/S%Wz0W
     api_CloseHandle (FileMapH)  
Drj'z${0e0}0   
&X*Y d)S&h-QU#o0.如果真结束
lU0{yY0结束 ()

.子程序 取进程PID, 整数型, , 成功返回进程PID,失败返回051Testing软件测试网'M-w5J1ME
.参数 标志文本, 文本型, , 进程名或窗口名51Testing软件测试网/edOY}9n/S;|4B3J2l5d
.局部变量 进程, 进程信息, , "0"51Testing软件测试网!vy3Cw!l-@"y(D
.局部变量 PID, 整数型51Testing软件测试网7Y:d/|Hu Jl
.局部变量 i, 整数型

4e,P8`zo0PID ＝ 051Testing软件测试网 E/Y;U+U Xf
.如果真 (倒找文本 (标志文本, “.”, , 真) ≠ -1)51Testing软件测试网^P4H1[$pP"kt
     进程 ＝ 取系统进程列表 ()
&b[8mD0Lpm:Wi0     .计次循环首 (取数组成员数 (进程), i)51Testing软件测试网z:{{'aJ}
         .如果真 (倒找文本 (进程 [i].进程名称, 标志文本, , 真) ≠ -1)
w.LG'|8@$wE0             PID ＝ 进程 [i].进程标识符51Testing软件测试网~6vd H/M;Q
             跳出循环 ()
H+va1P4A0         .如果真结束

     .计次循环尾 ()51Testing软件测试网l6D'x.Gd? v#d
.如果真结束51Testing软件测试网4?[+s _&V*O#W3h
.如果真 (PID ＝ 0)
Nay$C
wmz*p0     API_取进程标识符 (api_FindWindow (0, 标志文本), PID)
0qivz)T5u!W&`:Z0.如果真结束51Testing软件测试网E7ql'AW&S
返回 (PID)

============================================================

.现在主程序已经完成了它的任务,现在来看看我们执行的核心,HookDLL.dll的代码:51Testing软件测试网'kS7]Xo0PXb

5f2x6O1v1q%].V
M0z051Testing软件测试网&s5}DDc8bai Tv
.版本 2

.全局变量 TheNodeP, 整数型51Testing软件测试网Au4wm#w1nE
.全局变量 hhook, 整数型, 公开51Testing软件测试网mn-fra
V@8L
U
.全局变量 DLL, Main

.程序集 HOOK程序集51Testing软件测试网*@-TF|Y8VMyX
.程序集变量 hMod, 整数型
ktG&_f(q%W0.程序集变量 lpProc, 子程序指针51Testing软件测试网1~S ?&X7ZDo

L V `'IX%K1g0.程序集 DLL程序集
3GmXB([?MP0.版本 251Testing软件测试网'mC*tH@~'C|*K7e
.子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码

2vq;`i3Pq0复制共享数据 ()   '初始化代码,只有在程序第一次加载DLL时才被执行
\'Q-Os pxcqPsz0_临时子程序 ()
8cz.s8U ^}0BY0返回 (0)51Testing软件测试网._6xxBt{,W%dp

8Fy)I
wGi5~C`/J4LT0'先看看钩子回调函数:

~+S1aJ[i8I'krS0.子程序 GetMsgProc, 整数型, 公开, 钩子回调函数
P:v~q/c2l!]0.参数 code, 整数型51Testing软件测试网,Io)]o @
.参数 wParam, 整数型
4GHtV&YU}0.参数 lParam, 整数型51Testing软件测试网/`,a6LEg:~
.局部变量 lpThreadA, SECURITY_ATTRIBUTES
'yAy lYjZ4O0.局部变量 LibraryH, 整数型51Testing软件测试网2s;CK6C1T~.LZ
.局部变量 ThreadPt, 整数型51Testing软件测试网d&q3DuE5q1hA
.局部变量 ThreadID, 整数型51Testing软件测试网0O!@i6m"fu.qW

' 截获到消息,开始执行下面的自定以代码(回调函数)51Testing软件测试网ide rwia+g
复制共享数据 ()  
J,hg0^oI,B0.如果真 (TheNodeP ≠ 0 且 pnode.ExplorerID ≠ 0 且 api_GetCurrentProcessId () ＝ pnode.ExplorerID)   ' 是资源管理器
#v8dxC0`{7j&E0     .如果真 (倒找文本 (MainPath, “.dll”, , 真) ≠ -1)   ' DLL路径是否正确
T.g'X @,Q\0         LibraryH ＝ api_LoadLibraryA (MainPath)   ' 装载动态链接库
`EP9p\ j0     .如果真结束
`b%c*}J2_0     .如果真 (LibraryH ≠ 0)
IA TUiK!s0         ThreadPt ＝ 到整数 (api_GetProcAddress (LibraryH, “ThreadPro”))   ' 定位线程函数51Testing软件测试网GD/K'N eL,Z
         .如果真 (ThreadPt ≠ 0)51Testing软件测试网H(w Y`fj:]
             api_CreateThread (lpThreadA, 0, ThreadPt, 0, 0, ThreadID)   ' 创建新线程51Testing软件测试网7_ g&I3b#MgQ8o1z
         .如果真结束51Testing软件测试网p%h
ha J

4Vo2ir]/r'[%?0     .如果真结束51Testing软件测试网ll)H)kG
_@?

.如果真结束51Testing软件测试网"yqYHa.r
g IM(D
返回 (api_CallNextHookEx (hhook, code, wParam, lParam))   ' 钩子循环

再看看子程序:复制共享数据51Testing软件测试网)wM8g/Bll_

.子程序 复制共享数据, 逻辑型51Testing软件测试网!y2p0V#x|av{^P
.局部变量 i, 整数型
K!v;vOh |,N0.局部变量 MainPath, 文本型
f"['x N)C#iXO%Q m\0.局部变量 FileMapH, 整数型51Testing软件测试网,_ VM&yfH*ma8x]

FileMapH ＝ api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “HookExplorer8Mazi”)51Testing软件测试网k-_qD0N*e~
.如果真 (FileMapH ＝ 0)
)c'@MF6_I:W H*r,^{0     输出调试文本 (“打开内存映射文件出错!”)
e;?CWMv0     返回 (假)51Testing软件测试网v*w2v|,j(h_
.如果真结束51Testing软件测试网 rF;g/l h9W%yc
TheNodeP ＝ api_MapViewOfFile (FileMapH, #FILE_MAP_ALL_ACCESS, 0, 0, 0)
W+L H@
UJY0.如果真 (TheNodeP ＝ 0)51Testing软件测试网 N0]2{/H @,?7dnG+L
     api_CloseHandle (FileMapH)51Testing软件测试网Nv;E?cb*Ea
     输出调试文本 (“映射到本进程空间出错!”)
4F%Xx~R.q|0     返回 (假)
nzOy3hs0.如果真结束

"\"oJw#]4TM0'取回共享数据
9r/`!b,r4O_
_0DLL.ExplorerID ＝ 取字节集数据 (指针到字节集 (TheNodeP, 4), 3, )'整数型数据尺寸大小是451Testing软件测试网~ }M-{fS8Ag4w[
DLL.MainThread ＝ 取字节集数据 (指针到字节集 (TheNodeP ＋ 4, 4), 3, )    '+4
g^/qhubT6n0DLL.MainPath ＝ 指针到文本 (TheNodeP ＋ 8)    '+851Testing软件测试网e&^/}}%t+YH
API_UnmapViewOfFile (TheNodeP)   ' 关闭内存映射
)jn5|Rs0api_CloseHandle (FileMapH)   ' 关闭文件映射对象
s6F9iOO0返回 (真)51Testing软件测试网U^9k M4C[

C)SX9h,ib051Testing软件测试网Tw6T8QIv

'钩子回调函数完成,现在开始写待插线程代码,这里实现写文字到屏幕的功能

!\6eu2I\0.版本 251Testing软件测试网5k)NA(@v*Od)x

p0u9pUC7J
g7V0.子程序 ThreadPro, , 公开, 待插线程代码51Testing软件测试网9S1LmAp$M
.局部变量 Count, 整数型51Testing软件测试网,o:n-w*R8h
.局部变量 theMsg, MSG
`#c1Nl+MAC0.局部变量 FileMap, 整数型
Z;`+gij]AT0.局部变量 nil, SECURITY_ATTRIBUTES51Testing软件测试网r[ ia rb`G2g0d
.局部变量 HotKeyID, 整数型51Testing软件测试网7pi;X]V/xF;F

api_PostThreadMessage (DLL.MainThread, #WM_QUIT, 0, 0)51Testing软件测试网,l`XF
q7L2~xN{
FileMap ＝ api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “hacker0058Explorer8Mazi”)   ' 禁止重复运行
E"Ew5E1`|S0api_CloseHandle (FileMap)
8i[m+_4R0.如果真 (FileMap ＝ 0)51Testing软件测试网yHO(xP]8si
     FileMap ＝ api_CreateFileMapping (-1, nil, 4, 0, 2, “hacker0058Explorer8Mazi”)51Testing软件测试网)B(|-O[ T;ay
     Count ＝ 051Testing软件测试网E;`B,bM.F.Sex lR
     HotKeyID ＝GlobalAddAtom(“hacker0058andALT+L”) ' 申请全局原子
_3s
gY
g%Q0     RegisterHotKey (0, HotKeyID, 1, #L键)            '注册热键Alt+L51Testing软件测试网)Na1ir7TM:be3h
     .判断循环首 (api_PeekMessage (theMsg, 0, 0, 0, #PM_REMOVE) ＝ 0 且 取反 (theMsg.message ＝ #WM_HOTKEY) 或 theMsg.message ＝ #WM_QUIT)
;~ }4N_7LjEs9`0         WriteScreen (“   ” ＋ Int2Hex (Count) ＋ “   [The Thread is From ” ＋ 取执行文件名 () ＋ “ and Alt+L to Exit   ”)
1Y9\|#G H0         Count ＝ Count ＋ 1
\H$k.iZd0         延时 (500)
X*x7rS*U0     .判断循环尾 ()51Testing软件测试网r4i%L
I0W#M l^
     api_CloseHandle (FileMap)51Testing软件测试网L%a1Fjb
QGj
     UnregisterHotKey(0, HotKeyID)    '撤销热键Alt+L
Z M4p7f.g0     DeleteAtom (HotKeyID)        '释放全局原子

51Testing软件测试网t;cPR k!`
.子程序 WriteScreen, , , 写文字到屏幕51Testing软件测试网tM1ohan
.参数 s, 文本型
v2w CDA:C0.局部变量 hScreenDC, 整数型51Testing软件测试网joGUFt/`/X%}

6C0\ Vq.UCov ^^0hScreenDC ＝ 取设备场景_ (0)

p%IP8f.Zn2Cd0api_TextOut (hScreenDC, 0, 0, s, 取文本长度 (s))   '写文字到屏幕
8D!d1Q H4E*l0api_ReleaseDC (0, hScreenDC)   '撤消写文字到屏幕51Testing软件测试网8@4AXBy^:u@,J|d

PR9`uE.nM051Testing软件测试网 Y1BRt4G^c
.子程序 Int2Hex, 文本型, , 数值转字符串
.ir,t \+@6p7z0.参数 v, 整数型
2TGj/kqwg0.局部变量 i, 整数型
Jz,n5?q#xH0.局部变量 a, 文本型
Y3`zg&}*Z4_0.局部变量 b, 文本型51Testing软件测试网gk]o"g(k5Z

}.@4]
a M4i'z,\v0b ＝ 取十六进制文本 (v) '
0Z9[]o5c)UGs0.计次循环首 (8 － 取文本长度 (b), i)51Testing软件测试网V`]|{d7q
     a ＝ a ＋ “0”
N.gG(rk~0.计次循环尾 ()
v(~c?+Q0n!q/^ bga0返回 (“$” ＋ a ＋ b)51Testing软件测试网7M&Ts7\ V}l]

51Testing软件测试网r$gD8x(Q2r
.子程序 GetMsgHookOff, 逻辑型, 公开, 关闭全局消息钩子51Testing软件测试网8~-nJ)O+m#H

   返回 (api_UnhookWindowsHookEx (hhook))51Testing软件测试网f$T+O[*^;}s$sb

FY+{5_m:@051Testing软件测试网-`6Uj v:jYm"rY
.子程序 GetMsgHookOn, 整数型, 公开, 安装全局消息钩子

3}b[X{s+S g0hMod ＝ api_LoadLibraryA (MainPath) '加载DLL,返回模块地址

lpProc ＝ api_GetProcAddress (hMod, “GetMsgProc”) 'DLL中钩子回调函数地址

j,V2ir s(teQ0hhook ＝ api_SetWindowsHookExA (#WH_GETMESSAGE, lpProc, hMod, 0) '安装钩子51Testing软件测试网,e\2Qp(KS$y

lww
V.o0返回 (hMod)

51Testing软件测试网2pG ax4Sk

p,G3k)S9?I"}051Testing软件测试网.CUcG{2p(y9X$TyB
好了,整个框架就这样了,由于篇幅原因,具体的不再细说了.附件里有完整的易程序源码,具体细节大家可以参阅,源码在Windows xp+sp2 易4.02中测试通过.

下期预告:

0\g.y&zYwI0下一期我们将介绍API Hook技术,API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳51Testing软件测试网%~^s a1P0v
软件,串口红外通讯,游戏外挂,internet通信等领域.API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例如我们用API Hook技挂接ExitWindowsEx API函数,使关机失效等等......

敬请期待51Testing软件测试网7ADTpRO