网络安全编程：Windows钩子函数

Windows下的窗口应用程序是基于消息驱动的，但是在某些情况下需要捕获或者修改消息，从而完成一些特殊的功能。对于捕获消息而言，无法使用IAT或Inline Hook之类的方式去进行捕获，不过Windows提供了专门用于处理消息的钩子函数。

01 钩子原理

Windows下的应用程序大部分是基于消息模式机制的，一些CUI的程序不是基于消息的。Windows下的应用程序都有一个消息过程函数，根据不同的消息来完成不同的功能。Windows操作系统提供的钩子机制的作用是用来截获、监视系统中的消息。Windows操作系统提供了很多不同种类的钩子，可以处理不同的消息。

Windows系统提供的钩子按照挂钩范围分为局部钩子和全局钩子。局部钩子是针对一个线程的，而全局钩子则是针对整个操作系统内基于消息机制的应用程序的。全局钩子需要使用DLL文件，DLL文件里存放了钩子函数的代码。

在操作系统中安装全局钩子以后，只要进程接收到可以发出钩子的消息后，全局钩子的DLL文件会被操作系统自动或强行地加载到该进程中。由此可见，设置消息钩子也是一种可以进行DLL注入的方法。

02 钩子函数

钩子函数主要有3个，分别是SetWindowsHookEx()、CallNextHookEx()和UnhookWindowsHookEx()。下面介绍这些函数的使用方法。

SetWindowsHookEx()函数的定义如下：

HHOOKSetWindowsHookEx(
intidHook,
HOOKPROClpfn,
HINSTANCEhMod,
DWORDdwThreadId
);

该函数的返回值为一个钩子句柄。这个函数有4个参数，下面分别进行介绍。

lpfn：该参数指定为 Hook 函数的地址。如果 dwThreadId 参数被赋值为 0，或者被设置为一个其他进程中的线程 ID，那么 lpfn 则属于 DLL 中的函数过程。如果 dwThreadId 为当前进程中的线程 ID，那么 lpfn 可以是指向当前进程中的函数过程，也可以是属于 DLL 中的函数过程。

hMod：该参数指定钩子函数所在模块的模块句柄。该模块句柄就是 lpfn 所在的模块的句柄。如果 dwThreadId 为当前进程中的线程 ID，而且 lpfn 所指向的函数在当前进程中，那么 hMod 将被设置为 NULL。

dwThreadId：该参数设置为需要被挂钩的线程的 ID 号。如果设置为 0，表示在所有的线程中挂钩（这里的“所有的线程”表示基于消息机制的所有的线程）。如果指定为具体的线程的 ID 号，表示要在指定的线程中进行挂钩。该参数影响上面两个参数的取值。该参数的取值决定了该钩子属于全局钩子，还是局部钩子。

idHook：该参数表示钩子的类型。由于钩子的类型非常多，因此放在所有的参数后面进行介绍。下面介绍几个常用到的钩子，也可能是大家比较关心的几个类型。

1. WH_GETMESSAGE

安装该钩子的作用是监视被投递到消息队列中的消息。也就是当调用GetMessage()或PeekMessage()函数时，函数从程序的消息队列中获取一个消息后调用该钩子。

WH_GETMESSAGE钩子函数的定义如下：

LRESULTCALLBACKGetMsgProc(
intcode,//钩子编码
WPARAMwParam,//移除选项
LPARAMlParam//消息
);

2. WH_MOUSE

安装该钩子的作用是监视鼠标消息。该钩子函数的定义如下：

LRESULTCALLBACKMouseProc(
intnCode,//钩子编码
WPARAMwParam,//消息标识符
LPARAMlParam//鼠标的坐标
);

3. WH_KEYBOARD

安装该钩子的作用是监视键盘消息。该钩子函数的定义如下：

LRESULTCALLBACKKeyboardProc(
intcode,//钩子编码
WPARAMwParam,//虚拟键编码
LPARAMlParam//按键信息
);

4. WH_DEBUG

安装该钩子的作用是调试其他钩子的钩子函数。该钩子函数的定义如下：

LRESULTCALLBACKDebugProc(
intnCode,//钩子编码
WPARAMwParam,//钩子类型
LPARAMlParam//调试信息
);

从上面的这些钩子函数定义可以看出，每个钩子函数的定义都是一样的。每种类型的钩子监视、截获的消息不同。虽然它们的定义都是相同的，但是函数参数的意义是不同的。

接着介绍跟钩子有关的另外一个函数：UnhookWindowsHookEx()，其定义如下：

BOOLUnhookWindowsHookEx(
HHOOKhhk//钩子函数的句柄
);

这个函数是用来移除先前用SetWindowsHookEx()安装的钩子。该函数只有一个参数，是钩子句柄，也就是调用该函数通过指定的钩子句柄来移除与其相应的钩子。

在操作系统中，可以多次反复地使用SetWindowsHookEx()函数来安装钩子，而且可以安装多个同样类型的钩子。这样，钩子就会形成一条钩子链，最后安装的钩子会首先截获到消息。当该钩子对消息处理完毕以后，会选择返回，或者选择把消息继续传递下去。在通常情况下，如果为了屏蔽消息，则直接在钩子函数中返回一个非零值。比如要在自己程序中屏蔽鼠标消息，则在安装的鼠标钩子函数中直接返回非零值即可。如果为了消息在经过钩子函数后可以继续传达到目标窗口，必须选择将消息继续传递。使消息能继续传递的函数的定义如下：

LRESULTCallNextHookEx(
HHOOKhhk,//当前钩子的句柄
intnCode,//传递给钓子函数的钓子编码
WPARAMwParam,//传递给钓子函数的值
LPARAMlParam//传递给钓子函数的值
);

该函数有4个参数。第一个参数是钩子句柄，就是调用SetWindowsHookEx()函数的返回值；后面3个参数是钩子函数的参数，直接依次抄过来即可。例如：

HHOOKg_Hook=SetWindowsHook(……);
LRESULTCALLBACKGetMsgProc(
intcode,//钩子编码
WPARAMwParam,//移除选项
LPARAMlParam//消息
)
{
returnCallNextHookEx(g_Hook,code,wParam,lParam);
}

03 钩子实例

Windows钩子的应用比较广。无论是安全产品还是恶意软件，甚至是常规软件，都会用到Windows提供的钩子功能。

1. 全局键盘钩子

下面来写一个可以截获键盘消息的钩子程序，其功能非常简单，就是把按下的键对应的字符显示出来。既然要截获键盘消息，那么肯定是截获系统范围内的键盘消息，因此需要安装全局钩子，这样就需要DLL文件的支持。先来新建一个DLL文件，在该DLL文件中需要定义两个导出函数和两个全局变量，定义如下：

extern"C"__declspec(dllexport)VOIDSetHookOn();
extern"C"__declspec(dllexport)VOIDSetHookOff();
//钩子句柄
HHOOKg_Hook=NULL;
//DLL模块句柄
HINSTANCEg_Inst=NULL;

在DllMain()函数中，需要保存该DLL模块的句柄，以方便安装全局钩子。代码如下：

BOOLAPIENTRYDllMain(HANDLEhModule,
DWORDul_reason_for_call,
LPVOIDlpReserved
)
{
//保存DLL的模块句柄
g_Inst=(HINSTANCE)hModule;
returnTRUE;
}

安装与卸载钩子的函数如下：

VOIDSetHookOn()
{
//安装钩子
g_Hook=SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,g_Inst,0);
}
VOIDSetHookOff()
{
//卸载钩子
UnhookWindowsHookEx(g_Hook);
}

对于Windows钩子来说，上面的这些步骤基本上都是必需的，或者是差别不大，关键在于钩子函数的实现。这里是为了获取键盘按下的键，钩子函数如下：

//钩子函数
LRESULTCALLBACKKeyboardProc(
intcode,//钩子编码
WPARAMwParam,//虚拟键编码
LPARAMlParam//按建信息
)
{
if(code<0)
{
returnCallNextHookEx(g_Hook,code,wParam,lParam);
}
if(code==HC_ACTION&&lParam>0)
{
charszBuf[MAXBYTE]={0};
GetKeyNameText(lParam,szBuf,MAXBYTE);
MessageBox(NULL,szBuf,NULL,MB_OK);
}
returnCallNextHookEx(g_Hook,code,wParam,lParam);
}

关于钩子函数，这里简单地解释一下，首先是进入钩子函数的第一个判断。

if(code<0)
{
returnCallNextHookEx(g_Hook,code,wParam,lParam);
}

如果code的值小于0，则必须调用CallNextHookEx()，将消息继续传递下去，不对该消息进行处理，并返回CallNextHookEx()函数的返回值。这一点是MSDN上要求这么做的。

if(code==HC_ACTION&&lParam>0)
{
charszBuf[MAXBYTE]={0};
GetKeyNameText(lParam,szBuf,MAXBYTE);
MessageBox(NULL,szBuf,NULL,MB_OK);
}

如果code等于HC_ACTION，表示消息中包含按键消息；如果为WM_KEYDOWN，则显示按键对应的文本。

将该DLL文件编译连接。为了测试该DLL文件，新建一个MFC的Dialog工程，添加两个按钮，如图1所示。

图1 键盘钩子的测试程序

分别对这两个按钮添加代码，具体如下：

voidCHookTestDlg::OnButton1()
{
//在这里添加控制通知的处理程序
SetHookOn();
}
voidCHookTestDlg::OnButton2()
{
//在这里添加控制通知的处理程序
SetHookOff();
}

直接调用DLL文件导出这两个函数，不过在使用之前要先对这两个函数进行声明，否则编译器因无法找到这两个函数的原型而导致连接失败。定义如下：

extern"C"VOIDSetHookOn();
extern"C"VOIDSetHookOff();

进行编译连接，提示出错，内容如下：

Linking...
HookTestDlg.obj:errorLNK2001:unresolvedexternalsymbol_SetHookOn
HookTestDlg.obj:errorLNK2001:unresolvedexternalsymbol_SetHookOff
Debug/HookTest.exe:fatalerrorLNK1120:2unresolvedexternals
Errorexecutinglink.exe.
HookTest.exe-3error(s),0warning(s)

从给出的提示可以看出是连接错误，找不到外部的符号。将DLL编译连接后生成的DLL文件和LIB文件都复制到测试工程的目录下，并将LIB文件添加到工程中。在代码中添加如下语句：

#pragmacomment(lib,KeyBoradHookTest)

再次连接，成功！

运行测试程序，并单击“HookOn”按钮，随便按下键盘上的任意一个键，会出现提示对话框，如图2所示。

图2 截获到的键盘输入

从图2中可以看出，当按下键盘上的按键时，程序将捕获到按键。到此，键盘钩子的例子程序就完成了。

2. 低级键盘钩子

数据防泄露软件通常会禁止PrintScreen键，防止通过截屏将数据保存为图片而导致泄密。这类软件想要实现是比较简单的，但是想要将功能做得强大些，还是需要下功夫的。数据防泄露的软件除了要有兼容性好的底层驱动的设计，还要有完善的规则设置。此外就是需要软件安全人员对其进行各种各样的攻击，避免数据防泄露软件因为各种各样的原因而被心怀恶意者突破。

这里介绍如何禁止PrintScreen键。其实很简单，只要安装低级键盘钩子（WH_KEYBO ARD_LL）就可以搞定。普通的键盘钩子（WH_KEYBOARD）是无法过滤一些系统按键的。在低级键盘钩子的回调函数中，判断是否为PrintScreen键，如果是，则直接返回TRUE（前面提到，如果想屏蔽某个消息的话，那么在钩子函数中对该消息进行处理后，直接返回一个非零值），如果不是，则传递给钩子链的下一处。

代码如下：

extern"C"__declspec(dllexport)BOOLSetHookOn()
{
if(g_hHook!=NULL)
{
returnFALSE;
}
g_hHook=SetWindowsHookEx(WH_KEYBOARD_LL,LowLevelKeyboardProc,g_hIns,NULL);
if(NULL==g_hHook)
{
MessageBox(NULL,"安装钩子出错!","error",MB_ICONSTOP);
returnFALSE;
}
returnTRUE;
}
extern"C"__declspec(dllexport)BOOLSetHookOff()
{
if(g_hHook==NULL)
{
returnFALSE;
}
UnhookWindowsHookEx(g_hHook);
g_hHook=NULL;
returnTRUE;
}
LRESULTCALLBACKLowLevelKeyboardProc(
intnCode,WPARAMwParam,LPARAMlParam)
{
KBDLLHOOKSTRUCT*Key_Info=(KBDLLHOOKSTRUCT*)lParam;
if(HC_ACTION==nCode)
{
if(WM_KEYDOWN==wParam||WM_SYSKEYDOWN==wParam)
{
if(Key_Info->vkCode==VK_SNAPSHOT)
{
returnTRUE;
}
}
}
returnCallNextHookEx(g_hHook,nCode,wParam,lParam);
}

代码量非常短，然而，就是这短短的代码阻止了数据的泄露。当然，对于一个攻击者来说，这个代码无法保护数据，这种保护也就很脆弱了。任何的保护都有突破的办法，攻击无处不在，攻击者会尝试任何手段突破所有的保护。

3. 使用钩子进行DLL注入

Windows提供的钩子类型非常多，其中一种类型的钩子非常实用，那就是WH_GETME SSAGE钩子。它可以很方便地将DLL文件注入到所有的基于消息机制的程序中。

在有些情况下，需要DLL文件完成一些功能，但是完成功能时需要DLL在目标进程的空间中。这时，就需要使用WH_GETMESSAGE消息把DLL注入到目标的进程中。代码非常简单，这里直接给出DLL文件的代码，具体如下：

#include<windows.h>
extern"C"__declspec(dllexport)VOIDSetHookOn();
extern"C"__declspec(dllexport)VOIDSetHookOff();
HHOOKg_HHook=NULL;
HINSTANCEg_hInst=NULL;
VOIDDoSomeThing()
{
/*
……
自己要实现功能的代码
……
*/
}
BOOLWINAPIDllMain(
HINSTANCEhinstDLL,//DLL模块的句柄
DWORDfdwReason,//调用函数的原因
LPVOIDlpvReserved//保留的
)
{
switch(fdwReason)
{
caseDLL_PROCESS_ATTACH:
{
g_hInst=hinstDLL;
DoSomeThing();
break;
}
}
returnTRUE;
}
LRESULTCALLBACKGetMsgProc(
intcode,//钩子编码
WPARAMwParam,//移除选项
LPARAMlParam//消息
)
{
returnCallNextHookEx(g_HHook,code,wParam,lParam);
}
VOIDSetHookOn()
{
g_HHook=SetWindowsHookEx(WH_GETMESSAGE,GetMsgProc,g_hInst,0);
}
VOIDSetHookOff()
{
UnhookWindowsHookEx(g_HHook);
}

整个代码就是这样。只要知道，在需要DLL大范围地注入到基于消息的进程中时，可以使用这种方法。