yehao's Blog

在windows核心編程中的第22章中提到了插入DLL和掛接API這個內(nèi)容，剛開始看到并不是很明白，所以當時關于注入DLL ，我選取的是一個相對我自己而言比較容易理解的遠程注入，在做畢設的過程中，我發(fā)現(xiàn)掛鉤注入DLL其實是更加方便和強悍的一種方法，我也在網(wǎng)上搜索過很多例子，試圖先尋找一個樣板依葫蘆畫瓢，可是一直沒有滿意的，所以自己下定決心寫了一個，發(fā)現(xiàn)也沒那么難，仔細一點就好了，下面是原理和實現(xiàn)的過程。

眾所周知，windows這個強大的消息是基于事件驅(qū)動的，事件驅(qū)動就會引發(fā)消息，所以在窗口接受到消息之前可以對其進行一些你想要的處理就會發(fā)生窗口處理消息之前先處理你所需要的操作，就達到了消息過濾的過程，這個主要基于windows的消息機制——系統(tǒng)一旦發(fā)生操作就會引發(fā)消息，并將消息放到消息隊列中，應用程序從消息隊列中獲取消息并發(fā)送到相應的窗口讓鉤子函數(shù)在這個函數(shù)“有機可趁”。消息過濾與我所要講的掛鉤注入DLL又有什么聯(lián)系呢，主要是掛鉤注入DLL中用到一個函數(shù)SetWindowsHookEx，這個函數(shù)大家網(wǎng)上一搜一堆解讀，這邊就不做贅述，其第一個參數(shù)就是消息鉤子，也就是說，DLL所要注入的那個進程發(fā)送了某種消息給窗口后才會引發(fā)鉤子鉤住并注入DLL，這與消息過濾其實是一個意思。我這邊主要做的是注入特定的進程，而不是全局鉤子，其實全局鉤子也很簡單，只需要將上述函數(shù)的最后一個參數(shù)設為0，但這樣會導致，但凡發(fā)送了相同消息給窗口的都會導致鉤子鉤住并注入DLL執(zhí)行相應處理，這樣我就不知道是不是我要的線程發(fā)送了這個消息，所以最后一個參數(shù)我傳遞了指定線程的ID。下面是實現(xiàn)的過程——將自己寫的Hooking.dll通過自己寫的應用程序MyHook.exe注入到word進程，目前是在word進程已經(jīng)存在，由于設置的是WH_CBT鉤子，所以一旦word進程最大化或者成為活動窗口之類的就會發(fā)送相應的消息，導致相應的處理，這里我只是做簡單的處理比如在桌面上建立一個小文件。

1.首先打開VS2008，創(chuàng)建一個工程，在該工程下面創(chuàng)建兩個項目，一個是Hooking的DLL項目，一個是MyHook項目，是負責設置掛鉤的

2.在該DLL中主要就是掛鉤函數(shù)SetWindowsHookExW(WH_CBT, HookmProc, g_hinstDll, dwThread)和處理函數(shù)LRESULT CALLBACK HookmProc(int nCode, WPARAM wParam, LPARAM lParam)，之所以能將DLL注入到指定進程，就是因為，以dwThread為ID的指定進程向窗口發(fā)送與WH_CBT掛鉤相關聯(lián)的消息，導致其執(zhí)行處理函數(shù)HookmProc，而處理函數(shù)又在以g_hinstDll為句柄的DLL中，所以必須先將DLL注入到指定進程才能執(zhí)行該處理函數(shù)，處理函數(shù)這里只進行了簡單的操作證明其注入成功了，例如創(chuàng)建一個桌面文件。這里的DLL的句柄參數(shù)就是就是掛鉤函數(shù)所在的DLL ，但DLL并不執(zhí)行掛鉤函數(shù)，而是作為接口，由MyHook.exe調(diào)用

3.所以MyHook模塊中主要就是加載Hooking.dll調(diào)用其接口函數(shù)SetHook，以指定被注入的線程的句柄為參數(shù)，在這之前，先要遍歷系統(tǒng)進程找到WINWORD.EXE并將其線程句柄獲得傳入，這里用到了快照方法，這個也不做贅述，網(wǎng)上一堆。

4.由此，先啟動word進程并將其窗口最小化，然后運行程序就會得到想要的效果，DLL被注入，再最大化word窗口，桌面就會出現(xiàn)小文件

5.總結一下，這中間遇到了一些問題，但都與掛鉤注入DLL無關，還是自己的基礎不牢。

下面要考慮的就是，加上監(jiān)視word啟動的代碼，這樣一旦word啟動了就進行上述操作，不啟動則不進行