DLL注入 |
您所在的位置:网站首页 › exe加载dll过程 › DLL注入 |
0x01 钩子
钩子,英文Hook,泛指钓取所需东西而使用的一切工具。后来延伸为“偷看或截取信息时所用的手段或工具”。 挂钩:为了偷看或截取来往信息而在中间设置岗哨的行为 钩取:偷看或操作信息的行为 0x02 消息钩子敲击键盘时,消息会从OS(Operating System的简称)移动到应用程序,而消息钩子就是在这个过程中偷看信息。 下面以键盘信息为例常规Windows消息流: 1、发生键盘输入事件时,WM_KEYDOWN消息被添加到[OS message queue]; 2、OS判断哪个应用程序中发生了事件,然后从[OS message queue]中取出消息,添加到相应应用程序的[application message queue]中; 3、应用程序监视自身的[application message queue],发现新添加的WM_KEYDOWN消息后,调用相应的事件处理程序处理。 附带钩子的信息流: 发生键盘输入事件,WM_KEYDOWN消息被添加到OS消息队列; OS判断哪个应用程序发生了事件,从OS消息队列中取出消息,发送给应用程序; 钩子程序截取信息,对消息采取一定的动作(因钩子目的而定); 如钩子程序不拦截消息,消息最终传输给应用程序,此时的消息可能经过了钩子程序的修改。如下图,OS消息队列和应用程序消息队列之间存在一条钩链(Hook Chain),设置好键盘消息钩子后,处于钩链中的键盘消息钩子会比应用程序先一步看到相应信息。在键盘消息钩子函数的内部,除了可以查看消息之外,还可以修改消息本身,而且还能对消息实施拦截,阻止消息传递。可以同时设置多个相同的键盘消息钩子,按照设置的顺序依次调用,从而组成的链条称为钩链。
在Windows中可以使用SetWindowsHookEx()API来设置消息钩子,这个函数除了可以设置当前进程的钩子之外,它还可以设置全局钩子。全局钩子,顾名思义,即当前正在运行的进程都会被设置相应的钩子。 Windows API作用类似是一个个功能函数。 定义如下 HHOOK SetWindowsHookExA( int idHook, //hook type 钩子类型 HOOKPROC lpfn, //hook procedure 回调函数地址 HINSTANCE hMod, //hook procedure所属的dll句柄 DWORD dwThreadId //想要挂钩的线程PID );第一个参数表征钩子的类型,但钩子的类型是微软规定好的,你只能选一种,自己不能乱写 第二个参数是钩子执行程序,即当钩子勾到所需信息时运行的程序 第三个参数是要注入的dll句柄 第四个参数是想要挂载的线程ID,如果该参数为0,则表明钩子是一个全局钩子 HHOOK:返回值,钩子句柄,需要保留,等不使用钩子时通过UnhookWindowsHookEx函数卸载钩子。 idHook:钩子的拦截消息类型,选择钩子程序的拦截范围,具体值参考文章结尾的消息类型。 Lpfn:消息的回调函数地址,钩子子程的地址指针,一般是填函数名。 hMod:钩子函数所在的实例的句柄。对于线程钩子,该参数为NULL;对于系统钩子,该参数为钩子函数所在的DLL句柄。在dll中可通过AfxInitExtensionModule(MousehookDLL, hInstance)获得DLL句柄。 dwThreadId:钩子所监视的线程的线程号,可通过GetCurrentThreadId()获得线程号。对于全局钩子,该参数为NULL(或0)。 使用SetWindowsHookEx()设置好钩子后,在某个进程中生成指定消息时,OS会将相关的DLL文件强制注入相应的进程,然后调用注册的钩子过程。 0x04 键盘消息钩取练习下面做一个简单练习,先看图
因为要生成的是KeyHook.dll文件,因而在开始创建项目时应先选择Win 32控制台应用程序,再到应用程序类型中勾选DLL,编写好cpp文件后选择Release再生成文件即可得到DLL文件。 当调用导出函数HookStart()时,SetWindowsHookEx()函数就会将KeyboardProc()添加到键盘钩链。安装好键盘钩子后,无论哪个进程,只要发生键盘输入事件,OS都会强制将KeyHook.dll注入相应的进程中。 KeyboardProc()函数中发生键盘输入事件时,会比较当前进程名称和“notepad.exe”是否一致,若一致则返回1,终止KeyboardProc()函数,即截获并删除消息,从而实现对notepad.exe程序的键盘输入事件进行钩取并截获删除、键盘消息不能传递到notepad.exe的消息队列中。 KeyboardProc()函数定义如下: LRESULT CALLBACK KeyboardProc( int code, //HC_ACTION(0), HC_NOREMOVE(3) WPARAM wParam, //virtual-key code LPARAM lParam //extra information );其中wParam指用户按下的键盘按键的虚拟键值。 HookMain.cpp //HookMain #include "stdio.h" #include "windows.h" //Console Input/Output,定义了通过控制台进行数据输入和数据输出的函数 //主要是一些用户通过按键盘产生的对应操作,比如getch()函数等等 #include "conio.h" //定义一些常量 #define DEF_DLL_NAME "KeyHook.dll" #define DEF_HOOKSTART "HookStart" #define DEF_HOOKSTOP "HookStop" //定义两个参数为空、返回值为void即没有的函数指针 typedef void (*PFN_HOOKSTART)(); typedef void (*PFN_HOOKSTOP)(); void main(){ //定义及初始化句柄变量和函数指针 HMODULE hDll = NULL; PFN_HOOKSTART HookStart = NULL; PFN_HOOKSTOP HookStop = NULL; //加载KeyHook.dll hDll = LoadLibraryA(DEF_DLL_NAME); //若加载不成功,则输出错误信息 if( hDll == NULL ){ printf("[-]无法加载%s [%d]\n", DEF_DLL_NAME, GetLastError()); return; } //获取导出函数地址 HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, DEF_HOOKSTART); HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, DEF_HOOKSTOP); //开始钩取 HookStart(); //直至用户输入“q”退出钩取 printf("[*]等待输入 'q' 来停止钩取...\n"); while( _getch() != 'q' ); //终止钩取 HookStop(); //卸载KeyHook.dll FreeLibrary(hDll); }先加载KeyHook.dll,再调用HookStart()函数开始钩取,当获取到用户输入“q”后调用HookStop()函数终止钩取。 代码流程分析概括安装好键盘钩子后,无论在哪个进程中,只要发生了键盘输入事件,OS就会强制将KeyHook.dll注入到进程中,加载了KeyHook.dll的进程,发生键盘事件时会首先调用执行KeyHook.KetyboardProc()。 KetyboardProc()函数中发生键盘输入事件时,会比较当前进程的名称与“notepad.exe”是否相同,相同返回1,终止KetyboardProc()函数,意味着截获并删除了消息,这样键盘消息就不会传递到notepad.exe程序的消息队列。 练习示例HookMain.exe注:HookMain.exe 要和 KeyHook.dll放在一个目录下 运行HookMain.exe之后,再打开notepad.exe,输入键盘信息,发现打不上去,notepad.exe卡死。 我使用的系统是win10 64位系统,经过多方面搜索,终于确定问题,版本不匹配,dll因为CPU架构不匹配不能注入时,程序会通过SendMessage来调用你的KeyBoardProc,然后程序就卡住了,一直卡在对话框界面,卡死… 直接编译成64位的程序解决问题,同时,注入程序和dll都要是64位. (参考知乎回答https://www.zhihu.com/question/64221483) 这里就不便示例了,就是大概这样
使用Ollydbg打开,可以看到是典型的VC++启动函数,图中显示的是HookMain.exe的EP(Entry Point,程序入口地址)代码
我们关心的是核心的键盘钩取部分的代码,如何查找核心代码? 逐步跟踪(除非迫不得已!) 检索相关API (Ctrl+G) 检索相关字符串我们已经知道程序的功能,会在控制台显示字符串“press ‘q’ to quit!”,所以先检查程序导入的字符串(Search for -All referencen text strings):
在401000处双击下断,F9运行,到断点停下来后,开始F8/F7调试,了解main函数中主要的代码流。401006地址处调用LoadLibraryA(Keyhook.dll),然后由40104b地址处的CALL EBX指令调用KeyHook.HookStart()函数。在40104b处,F7单步跟进查看:
参考博客 dll注入 看雪原创Windows消息钩取 CSDN—Windows消息钩取 关于逆向工程核心原理-Windows消息钩取 关于《逆向工程核心原理》键盘钩子的总结 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |