副标题#e#
屏幕上的文字多半是由gdi32.dll的以下几个函数显示的:TextOutA、TextOutW、ExtTextOutA、ExtTextOutW。实现屏幕抓词的要害就是截获对这些函数的挪用,获得措施发给它们的参数。
我的要领有以下三个步调:
一、获得鼠标的当前位置
通过SetWindowsHookEx实现。
二、向鼠标下的窗口发重画动静,让它挪用系统函数重画
通过WindowFromPoint,ScreenToClient,InvalidateRect 实现。
三、截获对系统函数的挪用,取得参数(以TextOutA为例)
1.模拟TextOutA作本钱身的函数MyTextOutA,与TextOutA有沟通参数和返回值,放在系统钩子地址的DLL里。
SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)
{ //输出lpszString的处理惩罚
return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);}
2.由于系统鼠标钩子已经完成注入其它GUI历程的事情,我们不需要为注入再做事情。
假如你知道所有系统钩子的函数必需要在动态库里,就不会对“注入”感想奇怪。当历程隐式或显式挪用一个动态库里的函数时,系统都要把这个动态库映射到这个历程的虚拟地点空间里(以下简称“地点空间”)。这使得DLL成为历程的一部门,以这个历程的身份执行,利用这个历程的仓库(见图1)。
图1 DLL映射到虚拟地点空间中
对系统钩子来说,系统自动将包括“钩子回调函数”的DLL映射到受钩子函数影响的所有历程的地点空间中,即将这个DLL注入了那些历程。
3.当包括钩子的DLL注入其它历程后,寻找映射到这个历程虚拟内存里的各个模块(EXE和DLL)的基地点。EXE和DLL被映射到虚拟内存空间的什么处所是由它们的基地点抉择的。它们的基地点是在链接时由链接器抉择的。当你新建一个Win32工程时,VC++链接器利用缺省的基地点0x00400000。可以通过链接器的BASE选项改变模块的基地点。EXE凡是被映射到虚拟内存的0x00400000处,DLL也随之有差异的基地点,凡是被映射到差异历程的沟通的虚拟地点空间处。
#p#副标题#e#
如何知道EXE和DLL被映射到那边了呢?
在Win32中,HMODULE和HINSTANCE是沟通的。它们就是相应模块被装入历程的虚拟内存空间的基地点。好比:
HMODULE hmodule=GetModuleHandle(〃gdi32.dll〃);
返回的模块句柄强制转换为指针后,就是gdi32.dll被装入的基地点。
关于如何找到虚拟内存空间映射了哪些DLL?我用如下方法实现:
while(VirtualQuery (base, &mbi, sizeof (mbi))〉0)
{ if(mbi.Type==MEM—IMAGE)
ChangeFuncEntry((DWORD)mbi.BaseAddress,1);
base=(DWORD)mbi.BaseAddress+mbi.RegionSize; }
4.获得模块的基地点后,按照PE文件的名目穷举这个模块的IMAGE—IMPORT—DESCRIPTOR数组,看是否引入了gdi32.dll。如是,则穷举IMAGE—THUNK—DATA数组,看是否引入了TextOutA函数。
5.假如找到,将其替换为相应的本身的函数。
系统将EXE和DLL原封不动映射到虚拟内存空间中,它们在内存中的布局与磁盘上的静态文件布局是一样的。即PE (Portable Executable) 文件名目。
所有对给定API函数的挪用老是通过可执行文件的同一个处所转移。那就是一个模块(可以是EXE或DLL)的输入地点表(import address table)。哪里有所有本模块挪用的其它DLL的函数名及地点。对其它DLL的函数挪用实际上只是跳转到输入地点表,由输入地点表再跳转到DLL真正的函数进口。譬喻:
图2 对MessageBox()的挪用跳转到输入地点表,从输入地点表再跳转到MessageBox函数
IMAGE—IMPORT—DESCRIPTOR和IMAGE—THUNK—DATA别离对应于DLL和函数。它们是PE文件的输入地点表的名目(数据布局拜见winnt.h)。
BOOL ChangeFuncEntry(HMODULE hmodule)
{ PIMAGE—DOS—HEADER pDOSHeader;
PIMAGE—NT—HEADERS pNTHeader;
PIMAGE—IMPORT—DESCRIPTOR pImportDesc;
/ get system functions and my functions′entry /
pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle(〃gdi32.dll〃),〃TextOutA〃);
pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle(〃hookdll.dll〃),〃MyTextOutA〃);
pDOSHeader=(PIMAGE—DOS—HEADER)hmodule;
if (IsBadReadPtr(hmodule, sizeof(PIMAGE—NT—HEADERS)))
return FALSE;
if (pDOSHeader-〉e—magic != IMAGE—DOS—SIGNATURE)
return FALSE;
pNTHeader=(PIMAGE—NT—HEADERS)((DWORD)pDOSHeader+(DWORD)pDOSHeader-〉e—lfanew);
if (pNTHeader-〉Signature != IMAGE—NT—SIGNATURE)
return FALSE;
pImportDesc = (PIMAGE—IMPORT—DESCRIPTOR)((DWORD)hmodule+(DWORD)pNTHeader-〉OptionalHeader.DataDirectory
[IMAGE—DIRECTORY—ENTRY—IMPORT].VirtualAddress);
if (pImportDesc == (PIMAGE—IMPORT—DESCRIPTOR)pNTHeader)
return FALSE;
while (pImportDesc-〉Name)
{ PIMAGE—THUNK—DATA pThunk;
strcpy(buffer,(char )((DWORD)hmodule+(DWORD)pImportDesc-〉Name));
CharLower(buffer);
if(strcmp(buffer,"gdi32.dll"))
{ pImportDesc++;
continue;
}else
{ pThunk=(PIMAGE—THUNK—DATA)((DWORD)hmodule+(DWORD)pImportDesc-〉FirstThunk);
while (pThunk-〉u1.Function)
{ if ((pThunk-〉u1.Function) == pSysFunc1)
{ VirtualProtect((LPVOID)(&pThunk-〉u1.Function),
sizeof(DWORD),PAGE—EXECUTE—READWRITE, &dwProtect);
(pThunk-〉u1.Function)=pMyFunc1;
VirtualProtect((LPVOID)(&pThunk-〉u1.Function), sizeof(DWORD),dwProtect,&temp); }
pThunk++; } return 1;}}}
#p#分页标题#e#
替换了输入地点表中TextOutA的进口为MyTextOutA后,截获系统函数挪用的主要部门已经完成,当一个被注入历程挪用TextOutA时,其实挪用的是MyTextOutA,只需在MyTextOutA中显示传进来的字符串,再交给TextOutA处理惩罚即可。
