windows API 钩子

最新推荐文章于 2026-03-15 04:44:50 发布
转载 最新推荐文章于 2026-03-15 04:44:50 发布 · 2.1k 阅读 · 0
标签
#windows #exception #api #user #dll
#struct
本文介绍如何使用C#语言通过调用WinAPI函数SetWindowsHookEx来实现键盘钩子,包括安装和卸载钩子的过程,并提供了一个具体的代码示例。文中详细解释了如何监听键盘按键状态变化及处理过程。

使用键盘钩子,调用Win API 函数SetWindowHock。在Hock函数里进行处理。但是,无法勾住Ctrl+Alt+Del。因为他是底层实现的,必须使用键盘驱动才可以实现。 示例代码: C# code /************************* //定义变量 public delegate int HookProc(int nCode, Int32 wParam, IntPtr lParam); static int hKeyboardHook = 0; HookProc KeyboardHookProcedure; /************************* * 声明API函数 * ***********************/ // 安装钩子 (using System.Runtime.InteropServices;) [DllImport("user32.dll",CharSet=CharSet.Auto, CallingC.StdCall)] public static extern int SetWindowsHookEx(int idHook,HookProc lpfn, IntPtr hInstance, int threadId); // 卸载钩子 [DllImport("user32.dll",CharSet=CharSet.Auto, CallingC.StdCall)] public static extern bool UnhookWindowsHookEx(int idHook); // 继续下一个钩子 [DllImport("user32.dll",CharSet=CharSet.Auto, CallingC.StdCall)] public static extern int CallNextHookEx(int idHook, int nCode, Int32 wParam, IntPtr lParam); // 取得当前线程编号(线程钩子需要用到) [DllImport("kernel32.dll")] static extern int GetCurrentThreadId(); //钩子子程:就是钩子所要做的事情 private int KeyboardHookProc(int nCode, Int32 wParam, IntPtr lParam) { if (nCode >= 0) { /**************** //线程键盘钩子判断是否按下键 Keys keyData = (Keys)wParam; if(lParam.ToInt32() > 0) { // 键盘按下 } if(lParam.ToInt32() < 0) { // 键盘抬起 } ****************/ /**************** //全局键盘钩子判断是否按下键 wParam = = 0x100 // 键盘按下 wParam = = 0x101 // 键盘抬起 ****************/ KeyMSG m = (KeyMSG) Marshal.PtrToStructure(lParam, typeof(KeyMSG));//键盘 // 在这里添加你想要做是事情(比如把键盘某些nCode忽略掉) return 0;//如果返回1,则结束消息,这个消息到此为止,不再传递。如果返回0或调用CallNextHookEx函数则消息出了这个钩子继续往下传递,也就是传给消息真正的接受者 } return CallNextHookEx(hKeyboardHook, nCode, wParam, lParam); } //键盘结构 public struct KeyMSG { public int vkCode; //键值 public int scanCode; public int flags; public int time; public int dwExtraInfo; } // 安装钩子 public void HookStart() { if(hKeyboardHook == 0) { // 创建HookProc实例 KeyboardHookProcedure = new HookProc(KeyboardHookProc); // 设置线程钩子 hKeyboardHook = SetWindowsHookEx( 13,KeyboardHookProcedure,Marshal.GetHINSTANCE(Assembly.GetExecutingAssembly().GetModules()[0]),0); //************************************ //键盘线程钩子 //SetWindowsHookEx( 2,KeyboardHookProcedure, IntPtr.Zero, GetCurrentThreadId()); //GetCurrentThreadId() 为要监视的线程ID,你完全可以自己写个方法获取QQ的线程哦 //键盘全局钩子,需要引用空间(using System.Reflection;) //SetWindowsHookEx( 13,KeyboardHookProcedure,Marshal.GetHINSTANCE(Assembly.GetExecutingAssembly().GetModules()[0]),0); // //关于SetWindowsHookEx (int idHook, HookProc lpfn, IntPtr hInstance, int threadId)函数将钩子加入到钩子链表中,说明一下四个参数: //idHook 钩子类型,即确定钩子监听何种消息,上面的代码中设为2,即监听键盘消息并且是线程钩子,如果是全局钩子监听键盘消息应设为13, //线程钩子监听鼠标消息设为7,全局钩子监听鼠标消息设为14。 // //lpfn 钩子子程的地址指针。如果dwThreadId参数为0 或是一个由别的进程创建的线程的标识,lpfn必须指向DLL中的钩子子程。 除此以外,lpfn可 //以指向当前进程的一段钩子子程代码。钩子函数的入口地址,当钩子钩到任何消息后便调用这个函数。 // //hInstance应用程序实例的句柄。标识包含lpfn所指的子程的DLL。如果threadId 标识当前进程创建的一个线程,而且子程代码位于当前 //进程,hInstance必须为NULL。可以很简单的设定其为本应用程序的实例句柄。 // //threadedId 与安装的钩子子程相关联的线程的标识符。如果为0,钩子子程与所有的线程关联,即为全局钩子。 //************************************ // 如果设置钩子失败 if(hKeyboardHook == 0 ) { HookStop(); throw new Exception("SetWindowsHookEx failed."); } } } // 卸载钩子 public void HookStop() { bool retKeyboard = true; if(hKeyboardHook != 0) { retKeyboard = UnhookWindowsHookEx(hKeyboardHook); hKeyboardHook = 0; } if (!( retKeyboard)) throw new Exception("UnhookWindowsHookEx failed."); } //*****************************

huhuapop
关注
windows钩子编程大全
10-26
二、API Hook的原理 这里的API既包括传统的Win32 APIs,也包括任何Module输出的函数调用。熟悉PE文件格 式的朋友都知道,PE文件将对外部Module输出函数的调用信息保存在输入表中,即.idata段。 下面首先介绍本段的结构。 输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接 进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL,可以由此计算出该数组的项数。 例如,某个PE文件从两个DLL中引入函数,就存在两个IID结构来描述这些DLL文件,并在两个 IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下: IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics; ;00h DWORD OriginalFirstThunk; }; TimeDateStamp DWORD ;04h ForwarderChain DWORD ;08h Name DWORD ;0Ch FirstThunk DWORD ;10h IMAGE_IMPROT_DESCRIPTOR ends typedef struct _IMAGE_THUNK_DATA{ union{ PBYTE ForwarderString; PDWORD Functions; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; }u1; } IMAGE_IMPORT_BY_NAME结构保存一个输入函数的相关信息: IMAGE_IMPORT_BY_NAME struct Hint WORD ? ;本函数在其所驻留DLL的输出表中的序号 Name BYTE ? ;输入函数的函数名,以NULL结尾的ASCII字符串 IMAGE_IMPORT_BY_NAME ends OriginalFirstThunk(Characteristics):这是一个IMAGE_THUNK_DATA数组的RVA(相对于PE文件 起始处)。其中每个指针都指向IMAGE_IMPORT_BY_NAME结构。 TimeDateStamp:一个32位的时间标志,可以忽略。 ForwarderChain:正向链接索引,一般为0。当程序引用一个DLL中的API,而这个API又引用别的 DLLAPI时使用。 NameLL名字的指针。是个以00结尾的ASCII字符的RVA地址,如"KERNEL32.DLL"。 FirstThunk:通常也是一个IMAGE_THUNK_DATA数组的RVA。如果不是一个指针,它就是该功能在 DLL中的序号。 OriginalFirstThunk与FirstThunk指向两个本质相同的数组IMAGE_THUNK_DATA,但名称不同, 分别是输入名称表(Import Name Table,INT)和输入地址表(Import Address Table,IAT)。 IMAGE_THUNK_DATA结构是个双字,在不同时刻有不同的含义,当双字最高位为1时,表示函数以 序号输入,低位就是函数序号。当双字最高位为0时,表示函数以字符串类型的函数名 方式输入,这时它是指向IMAGE_IMPORT_BY_NAME结构的RVA。 三个结构关系如下图: IMAGE_IMPORT_DESCRIPTOR INT IMAGE_IMPORT_BY_NAME IAT -------------------- /-->---------------- ---------- ---------------- |01| 函数1 ||02| 函数2 || n| ... |"USER32.dll" | |--------------------| | | FirstThunk |---------------------------------------------------------------/ -------------------- 在PE文件中对DLL输出函数的调用,主要以这种形式出现: call dword ptr[xxxxxxxx] 或 jmp [xxxxxxxx] 其中地址xxxxxxxx就是IAT中一个IMAGE_THUNK_DATA结构的地址,[xxxxxxxx]取值为IMAGE_THUNK_DATA 的值,即IMAGE_IMPORT_BY_NAME的地址。在操作系统加载PE文件的过程中,通过IID中的Name加载相应 的DLL,然后根据INT或IAT所指向的IMAGE_IMPORT_BY_NAME中的输入函数信息,在DLL中确定函数地址, 然后将函数地址写到IAT中,此时IAT将不再指向IMAGE_IMPORT_BY_NAME数组。这样[xxxxxxxx]取到的 就是真正的API地址。 从以上分析可以看出,要拦截API的调用,可以通过改写IAT来实现,将自己函数的地址写到IAT中, 达到拦截目的。 另外一种方法的原理更简单,也更直接。我们不是要拦截吗,先在内存中定位要拦截的API的地址, 然后改写代码的前几个字节为 jmp xxxxxxxx,其中xxxxxxxx为我们的API的地址。这样对欲拦截API的 调用实际上就跳转到了咱们的API调用去了,完成了拦截。不拦截时,再改写回来就是了。 这都是自己从网上辛辛苦苦找来的,真的很好啊
9.3 挂钩API技术(HOOK API
qq_36314864的博客
09-29 3608
9.3 挂钩API技术(HOOK API
Api函数钩子
ml232528的专栏
07-21 1095
windows 下,api钩子目前比较稳定和健壮的方法。 1、读取pe 文件:ImageDirectoryEntryToData 2、找到函数表中的 函数地址 (PROC *)&pThunk->u1.Function; 3、替换函数地址 WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew, sizeof(pfnNew), nul
深入理解API钩子技术:Hook_API.rar的代码解读
weixin_32999557的博客
10-19 996
本文还有配套的精品资源,点击获取 简介:API(应用程序接口)是操作系统中的一个重要概念,它定义了应用程序与系统交互的方式。本文讨论了API钩子技术,这是一种可以监控或修改其他程序调用API行为的技术。文章详细介绍了各种API钩子的类型和实现方式,并探讨了如何在Windows平台上实现API钩子。这些技术在系统工具开发、游戏外挂、安全软件以及恶意软件分析等领域有着广泛的应用...
WindowsAPI——使用Windows API中键盘、鼠标监控钩子
10-22 3701
函数,该函数可以将一个热键与当前应用程序或线程绑定,使得当用户按下热键时,系统会自动将该热键的消息发送到该应用程序或线程中,该函数原型如下;消息发送给注册了该热键的窗口,应用程序需要重载该窗口的消息处理函数来响应该事件,从而实现相应的响应操作。函数,该函数用于从消息队列中获取一个消息并将其存储在一个结构体中,通常用于在一个循环中不断地获取消息,从而实现对。消息,并监控是否为我们所需要的即可,如下代码是一段注册热键的实现,分别注册了。函数可以对所有线程进行监控,包括其他进程中的线程,而。
Windows中的Hook机制
Albert_weiku的博客
06-27 5021
windows中的Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。...
EasyHook:Windows API钩子技术的革命性简化方案
gitblog_00097的博客
03-04 843
EasyHook 是一款功能强大的 Windows API 钩子工具,它彻底改变了传统钩子技术复杂难懂的局面,为开发者提供了简单高效的钩子开发体验。无论是新手还是经验丰富的开发者,都能通过 EasyHook 轻松实现对 Windows 系统 API 的拦截与修改,为应用程序开发带来无限可能。 ### 🚀 EasyHook 的核心优势 EasyHook 作为 Windows API 钩子技术的
终极EasyHook完整教程:轻松掌握Windows API钩子技术
gitblog_00875的博客
03-04 1116
Windows API钩子技术是软件开发中一项强大而实用的技能,能够帮助开发者监控、分析和修改应用程序行为。EasyHook作为一款开源的Windows API钩子库,彻底革新了这一技术的实现方式,让开发者可以轻松地在32位或64位Windows系统上,使用纯托管代码对非托管API进行扩展和钩子操作。 ## 🌟 EasyHook简介:Windows API钩子的革新者 EasyHook是一个
如何快速掌握Windows API钩子技术:MinHook完整指南
gitblog_01146的博客
03-15 966
Windows API钩子技术是系统级编程中的重要技能,而MinHook作为一款轻量级x86/x64 API钩子库,为开发者提供了简单高效的钩子实现方案。本文将带你从基础到进阶,全面掌握MinHook的使用方法与核心原理,让你在Windows开发中轻松实现API拦截与功能扩展。 ## 🚀 MinHook核心功能解析 MinHook的设计理念是"极简而强大",通过几个核心函数即可完成复杂的AP
Mhook - 一个Windows API钩子库的使用教程
gitblog_00888的博客
04-20 690
Mhook - 一个Windows API钩子库的使用教程 1. 项目介绍 Mhook是一个开源的Windows API钩子库,它提供了一个用于拦截和修改Windows系统调用的框架。这个库最初由Marton Anka开发,并由Apriorit公司提供支持和维护。Mhook可以作为Microsoft Detours的免费替代品,用于各种需要对Windows系统底层进行监控和修改的场景。 2. 项目...
Windows 两种 API 钩子技术比较
GenieWork的专栏
10-07 1267
最近研究了一下Windows 用户模式下 API 钩子的技术。主要研究了两种技术:一种是修改INT/IAT API入口地址的方式,一种是微软Detours的方式。 INT/IAT方式的优点:1。实现相对简单,很直接。2。自己实现后代码很精简,几十行就行了。 INT/IAT方式的缺点:1。需要详细了解PE的结构及Windows Loader的工作过程。2。有很多情况下
HOOK API DLL 注入
淡蓝色的帆 -编程空间
04-16 3729
 一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是关于机器指令代码的(听上去真是有点恐怖,不过这是事实)。当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
windows - Hook技术介绍
tuan8888888的博客
10-13 2249
hook 介绍 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。 分类 1、 SetWindowsHookEx Windows下的应用程序大部分都是基于消息机制的,它们都会有一个消息过程函数,根据不同的消息完成不同的功能。Windows操作系统提供的钩
HOOK专题(转)
刘雁行的专栏
01-06 2149
HOOK专题目录基本概念 运行机制 钩子类型 作者基本概念钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系
深入理解API钩子技术:使用EasyHook拦截TerminateProcess函数
weixin_42587866的博客
07-07 805
API钩子技术,又称为钩子(Hook),是一种程序化技术,它能够在调用API(应用程序编程接口)函数之前或之后介入,对API的调用进行拦截、监视或修改。这种技术常用于插件架构、安全监控、自动化测试、日志记录等多种场景。EasyHook 是一款开源的Windows钩子库,由Anders Hejlsberg (Delphi、C#语言的缔造者) 和他人合作开发。它的核心目的是为开发者提供一个简单而强大的平台,用于在本地和远程进程之间进行方法钩子(Hook)操作,实现对系统级或者应用程序级行为的控制和修改。
MinHook完全指南:掌握Windows API钩子技术的核心奥秘
最新发布
gitblog_00046的博客
03-15 921
MinHook是一款轻量级的x86/x64 Windows API钩子库,它能够帮助开发者轻松实现API函数的拦截与替换。无论是游戏开发、系统工具还是调试器,掌握MinHook都能让你在Windows平台上拥有更强大的功能扩展能力。本文将带你从入门到精通,全面了解MinHook的使用方法和核心原理。 ## 🚀 MinHook核心优势解析 MinHook作为一款优秀的API钩子库,具有以下显著
Delphi程序中的API钩子技术深入探讨
weixin_29935511的博客
09-21 1539
本文还有配套的精品资源,点击获取 简介:Delphi,作为一种流行的面向对象编程语言,在Windows平台下广泛用于开发桌面应用程序。在Delphi中实现API钩子技术,允许开发者拦截系统调用,以执行自定义代码。技术实现包括静态钩子、动态钩子、JMP/EAX技术、中间DLL、类钩子、消息钩子和内存钩子等方法。在实施API钩子时,开发者需注意权限安全性、性能影响、程序稳定性以...
深入理解DLL注入、输入法与键盘HOOK技术
weixin_35757531的博客
11-18 2120
本文还有配套的精品资源,点击获取 简介:本文深入探讨了Windows操作系统中DLL注入、输入法处理以及键盘HOOK技术的应用。DLL注入技术允许代码注入到其他进程,具有调试、监控和安全风险。键盘HOOK分为WH_KEYBOARD和WH_KEYBOARD_LL两种类型,前者线程局部,后者全局。输入法拦截和IME消息处理可用于自定义输入法或游戏外挂开发。DLL注入有时可利用I...
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 7011
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值