VC程序設計中屏幕上的文字大都是由gdi32.dll的以下幾個函數(shù)顯示的：TextOutA、TextOutW、ExtTextOutA、ExtTextOutW。實現(xiàn)屏幕抓詞的關鍵就是截獲對這些函數(shù)的調用，得到程序發(fā)給它們的參數(shù)。

實現(xiàn)的方法有以下三個步驟：

一、得到鼠標的當前位置
通過SetWindowsHookEx實現(xiàn)。

二、向鼠標下的窗口發(fā)重畫消息，讓它調用系統(tǒng)函數(shù)重畫
通過WindowFromPoint，ScreenToClient，InvalidateRect 實現(xiàn)。

三、截獲對系統(tǒng)函數(shù)的調用，取得參數(shù)(以TextOutA為例)

1.仿照TextOutA作成自己的函數(shù)MyTextOutA，與TextOutA有相同參數(shù)和返回值，放在系統(tǒng)鉤子所在的DLL里。

SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)
{ //輸出lpszString的處理
return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);
}

2.由于系統(tǒng)鼠標鉤子已經(jīng)完成注入其它GUI進程的工作，我們不需要為注入再做工作。
如果你知道所有系統(tǒng)鉤子的函數(shù)必須要在動態(tài)庫里，就不會對"注入"感到奇怪。當進程隱式或顯式調用一個動態(tài)庫里的函數(shù)時，系統(tǒng)都要把這個動態(tài)庫映射到這個進程的虛擬地址空間里(以下簡稱"地址空間")。這使得DLL成為進程的一部分，以這個進程的身份執(zhí)行，使用這個進程的堆棧。

DLL映射到虛擬地址空間中

對系統(tǒng)鉤子來說，系統(tǒng)自動將包含"鉤子回調函數(shù)"的DLL映射到受鉤子函數(shù)影響的所有進程的地址空間中，即將這個DLL注入了那些進程。

3.當包含鉤子的DLL注入其它進程后，尋找映射到這個進程虛擬內存里的各個模塊（EXE和DLL）的基地址。EXE和DLL被映射到虛擬內存空間的什么地方是由它們的基地址決定的。它們的基地址是在鏈接時由鏈接器決定的。當你新建一個Win32工程時，VC++鏈接器使用缺省的基地址0x00400000?？梢酝ㄟ^鏈接器的BASE選項改變模塊的基地址。EXE通常被映射到虛擬內存的0x00400000處，DLL也隨之有不同的基地址，通常被映射到不同進程的相同的虛擬地址空間處。

那么如何知道EXE和DLL被映射到哪里了呢？
在Win32中，HMODULE和HINSTANCE是相同的。它們就是相應模塊被裝入進程的虛擬內存空間的基地址。比如：

HMODULE hmodule=GetModuleHandle("gdi32.dll");

返回的模塊句柄強制轉換為指針后，就是gdi32.dll被裝入的基地址。

對于如何找到虛擬內存空間映射了哪些DLL，我們可以通過如下方式得以實現(xiàn)：

while(VirtualQuery (base, &mbi, sizeof (mbi))>0)
{
if(mbi.Type==MEM-IMAGE)
ChangeFuncEntry((DWORD)mbi.BaseAddress,1);
base=(DWORD)mbi.BaseAddress+mbi.RegionSize;
}

4.得到模塊的基地址后，根據(jù)PE文件的格式窮舉這個模塊的IMAGE-IMPORT-DESCRIPTOR數(shù)組，看是否引入了gdi32.dll。如是，則窮舉IMAGE-THUNK-DATA數(shù)組，看是否引入了TextOutA函數(shù)。

5.如果找到，將其替換為相應的自己的函數(shù)。
系統(tǒng)將EXE和DLL原封不動映射到虛擬內存空間中，它們在內存中的結構與磁盤上的靜態(tài)文件結構是一樣的。即PE (Portable Executable) 文件格式。
所有對給定API函數(shù)的調用總是通過可執(zhí)行文件的同一個地方轉移。那就是一個模塊(可以是EXE或DLL)的輸入地址表(import address table)。那里有所有本模塊調用的其它DLL的函數(shù)名及地址。對其它DLL的函數(shù)調用實際上只是跳轉到輸入地址表，由輸入地址表再跳轉到DLL真正的函數(shù)入口。例如：

對MessageBox()的調用跳轉到輸入地址表，從輸入地址表再跳轉到MessageBox函數(shù)

IMAGE-IMPORT-DESCRIPTOR和IMAGE-THUNK-DATA分別對應于DLL和函數(shù)。它們是PE文件的輸入地址表的格式（數(shù)據(jù)結構參見winnt.h）。

BOOL ChangeFuncEntry(HMODULE hmodule)
{
PIMAGE-DOS-HEADER pDOSHeader;
PIMAGE-NT-HEADERS pNTHeader;
PIMAGE-IMPORT-DESCRIPTOR pImportDesc;
/ get system functions and my functions′entry /
pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle("hookdll.dll"),"MyTextOutA");
pDOSHeader=(PIMAGE-DOS-HEADER)hmodule;
if (IsBadReadPtr(hmodule, sizeof(PIMAGE-NT-HEADERS)))
return FALSE;
if (pDOSHeader->e-magic != IMAGE-DOS-SIGNATURE)
return FALSE;
pNTHeader=(PIMAGE-NT-HEADERS)((DWORD)pDOSHeader+(DWORD)pDOSHeader->e-lfanew);
if (pNTHeader->Signature != IMAGE-NT-SIGNATURE)
return FALSE;
pImportDesc = (PIMAGE-IMPORT-DESCRIPTOR)((DWORD)hmodule＋(DWORD)pNTHeader->OptionalHeader.DataDirectory[IMAGE-DIRECTORY-ENTRY-IMPORT].VirtualAddress);
if (pImportDesc == (PIMAGE-IMPORT-DESCRIPTOR)pNTHeader)
return FALSE;
while (pImportDesc->Name)
{
PIMAGE-THUNK-DATA pThunk;
strcpy(buffer,(char )((DWORD)hmodule+(DWORD)pImportDesc->Name));
CharLower(buffer);
if(strcmp(buffer,"gdi32.dll"))
{
pImportDesc++;
continue;
}else{
pThunk=(PIMAGE-THUNK-DATA)((DWORD)hmodule＋(DWORD)pImportDesc->FirstThunk);
while (pThunk->u1.Function)
{ 
if ((pThunk->u1.Function) == pSysFunc1)
{ 
VirtualProtect((LPVOID)(&pThunk->u1.Function),
sizeof(DWORD),PAGE-EXECUTE-READWRITE,&dwProtect);
(pThunk->u1.Function)=pMyFunc1;
VirtualProtect((LPVOID)(&pThunk->u1.Function), sizeof(DWORD),dwProtect,&temp);
}
pThunk++; 
} 
return 1;
}
}
}

替換了輸入地址表中TextOutA的入口為MyTextOutA后，截獲系統(tǒng)函數(shù)調用的主要部分已經(jīng)完成，當一個被注入進程調用TextOutA時，其實調用的是MyTextOutA，只需在MyTextOutA中顯示傳進來的字符串，再交給TextOutA處理即可。

最新評論