屏幕上的文字大都是由gdi32.dll的以下幾個函數顯示的:TextOutA、TextOutW、ExtTextOutA、ExtTextOutW。實現屏幕抓詞的關鍵就是截獲對這些函數的調用,得到程序發給它們的參數。
我的方法有以下三個步驟:
一、得到鼠標的當前位置
通過SetWindowsHookEx實現。
二、向鼠標下的窗口發重畫消息,讓它調用系統函數重畫
通過WindowFromPoint,ScreenToClient,InvalidateRect 實現。
三、截獲對系統函數的調用,取得參數(以TextOutA為例)
1.仿照TextOutA作成自己的函數MyTextOutA,與TextOutA有相同參數和返回值,放在系統鉤子所在的DLL裡。
SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)
{ //輸出lpszString的處理
return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);}
2.由於系統鼠標鉤子已經完成注入其它GUI進程的工作,我們不需要為注入再做工作。
如果你知道所有系統鉤子的函數必須要在動態庫裡,就不會對“注入”感到奇怪。當進程隱式或顯式調用一個動態庫裡的函數時,系統都要把這個動態庫映射到這個進程的虛擬地址空間裡(以下簡稱“地址空間”)。這使得DLL成為進程的一部分,以這個進程的身份執行,使用這個進程的堆棧(見圖1)。
圖1 DLL映射到虛擬地址空間中
對系統鉤子來說,系統自動將包含“鉤子回調函數”的DLL映射到受鉤子函數影響的所有進程的地址空間中,即將這個DLL注入了那些進程。
3.當包含鉤子的DLL注入其它進程後,尋找映射到這個進程虛擬內存裡的各個模塊(EXE和DLL)的基地址。EXE和DLL被映射到虛擬內存空間的什麼地方是由它們的基地址決定的。它們的基地址是在鏈接時由鏈接器決定的。當你新建一個Win32工程時,VC++鏈接器使用缺省的基地址0x00400000。可以通過鏈接器的BASE選項改變模塊的基地址。EXE通常被映射到虛擬內存的0x00400000處,DLL也隨之有不同的基地址,通常被映射到不同進程的相同的虛擬地址空間處。
如何知道EXE和DLL被映射到哪裡了呢?
在Win32中,HMODULE和HINSTANCE是相同的。它們就是相應模塊被裝入進程的虛擬內存空間的基地址。比如:
HMODULE hmodule=GetModuleHandle(〃gdi32.dll〃);
返回的模塊句柄強制轉換為指針後,就是gdi32.dll被裝入的基地址。
關於如何找到虛擬內存空間映射了哪些DLL?我用如下方式實現:
while(VirtualQuery (base, &mbi, sizeof (mbi))〉0)
{ if(mbi.Type==MEM—IMAGE)
ChangeFuncEntry((DWORD)mbi.BaseAddress,1);
base=(DWORD)mbi.BaseAddress+mbi.RegionSize; }
4.得到模塊的基地址後,根據PE文件的格式窮舉這個模塊的IMAGE—IMPORT—DESCRIPTOR數組,看是否引入了gdi32.dll。如是,則窮舉IMAGE—THUNK—DATA數組,看是否引入了TextOutA函數。
5.如果找到,將其替換為相應的自己的函數。
系統將EXE和DLL原封不動映射到虛擬內存空間中,它們在內存中的結構與磁盤上的靜態文件結構是一樣的。即PE (Portable Executable) 文件格式。
所有對給定API函數的調用總是通過可執行文件的同一個地方轉移。那就是一個模塊(可以是EXE或DLL)的輸入地址表(import address table)。那裡有所有本模塊調用的其它DLL的函數名及地址。對其它DLL的函數調用實際上只是跳轉到輸入地址表,由輸入地址表再跳轉到DLL真正的函數入口。例如:
圖2 對MessageBox()的調用跳轉到輸入地址表,從輸入地址表再跳轉到MessageBox函數
IMAGE—IMPORT—DESCRIPTOR和IMAGE—THUNK—DATA分別對應於DLL和函數。它們是PE文件的輸入地址表的格式(數據結構參見winnt.h)。
BOOL ChangeFuncEntry(HMODULE hmodule)
{ PIMAGE—DOS—HEADER pDOSHeader;
PIMAGE—NT—HEADERS pNTHeader;
PIMAGE—IMPORT—DESCRIPTOR pImportDesc;
/ get system functions and my functions′entry /
pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle(〃gdi32.dll〃),〃TextOutA〃);
pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle(〃hookdll.dll〃),〃MyTextOutA〃);
pDOSHeader=(PIMAGE—DOS—HEADER)hmodule;
if (IsBadReadPtr(hmodule, sizeof(PIMAGE—NT—HEADERS)))
return FALSE;
if (pDOSHeader-〉e—magic != IMAGE—DOS—SIGNATURE)
return FALSE;
pNTHeader=(PIMAGE—NT—HEADERS)((DWORD)pDOSHeader+(DWORD)pDOSHeader-〉e—lfanew);
if (pNTHeader-〉Signature != IMAGE—NT—SIGNATURE)
return FALSE;
pImportDesc = (PIMAGE—IMPORT—DESCRIPTOR)((DWORD)hmodule+(DWORD)pNTHeader-〉OptionalHeader.DataDirectory
[IMAGE—DIRECTORY—ENTRY—IMPORT].VirtualAddress);
if (pImportDesc == (PIMAGE—IMPORT—DESCRIPTOR)pNTHeader)
return FALSE;
while (pImportDesc-〉Name)
{ PIMAGE—THUNK—DATA pThunk;
strcpy(buffer,(char )((DWORD)hmodule+(DWORD)pImportDesc-〉Name));
CharLower(buffer);
if(strcmp(buffer,"gdi32.dll"))
{ pImportDesc++;
continue;
}else
{ pThunk=(PIMAGE—THUNK—DATA)((DWORD)hmodule+(DWORD)pImportDesc-〉FirstThunk);
while (pThunk-〉u1.Function)
{ if ((pThunk-〉u1.Function) == pSysFunc1)
{ VirtualProtect((LPVOID)(&pThunk-〉u1.Function),
sizeof(DWORD),PAGE—EXECUTE—READWRITE, &dwProtect);
(pThunk-〉u1.Function)=pMyFunc1;
VirtualProtect((LPVOID)(&pThunk-〉u1.Function), sizeof(DWORD),dwProtect,&temp); }
pThunk++; } return 1;}}}
替換了輸入地址表中TextOutA的入口為MyTextOutA後,截獲系統函數調用的主要部分已經完成,當一個被注入進程調用TextOutA時,其實調用的是MyTextOutA,只需在MyTextOutA中顯示傳進來的字符串,再交給TextOutA處理即可。
