屏幕上的文字大都是由gdi32.dll的以下幾個函數(shù)顯示的：TextOutA、TextOutW、ExtTextOutA、ExtTextOutW。實(shí)現(xiàn)屏幕抓詞的關(guān)鍵就是截獲對這些函數(shù)的調(diào)用，得到程序發(fā)給它們的參數(shù)。

　　我的方法有以下三個步驟：

　　一、得到鼠標(biāo)的當(dāng)前位置

　　通過SetWindowsHookEx實(shí)現(xiàn)。

　　二、向鼠標(biāo)下的窗口發(fā)重畫消息，讓它調(diào)用系統(tǒng)函數(shù)重畫

　　通過WindowFromPoint，ScreenToClient，InvalidateRect 實(shí)現(xiàn)。

　　三、截獲對系統(tǒng)函數(shù)的調(diào)用，取得參數(shù)(以TextOutA為例)

　　 1.仿照TextOutA作成自己的函數(shù)MyTextOutA，與TextOutA有相同參數(shù)和返回
值，放在系統(tǒng)鉤子所在
的DLL里。

　　 SysFunc1=(DWORD)GetProcAddress(GetModuleHandle( "gdi32.dll"),"TextO
utA");

　　 BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR l
pszString,int cbString)

　　 { //輸出lpszString的處理

return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);}


　　 2.由于系統(tǒng)鼠標(biāo)鉤子已經(jīng)完成注入其它GUI進(jìn)程的工作，我們不需要為注入再
做工作。

　　如果你知道所有系統(tǒng)鉤子的函數(shù)必須要在動態(tài)庫里，就不會對“注入”感到
奇怪。當(dāng)進(jìn)程隱式或顯式
調(diào)用一個動態(tài)庫里的函數(shù)時，系統(tǒng)都要把這個動態(tài)庫映射到這個進(jìn)程的虛擬地址
空間里(以下簡稱“地址空
間”)。這使得DLL成為進(jìn)程的一部分，以這個進(jìn)程的身份執(zhí)行，使用這個進(jìn)程的
堆棧(見圖1)。


　　圖1 DLL映射到虛擬地址空間中

　　對系統(tǒng)鉤子來說，系統(tǒng)自動將包含“鉤子回調(diào)函數(shù)”的DLL映射到受鉤子函數(shù)
影響的所有進(jìn)程的地址
空間中，即將這個DLL注入了那些進(jìn)程。

　　 3.當(dāng)包含鉤子的DLL注入其它進(jìn)程后，尋找映射到這個進(jìn)程虛擬內(nèi)存里的各個
模塊（EXE和DLL）的
基地址。EXE和DLL被映射到虛擬內(nèi)存空間的什么地方是由它們的基地址決定的。
它們的基地址是在鏈接
時由鏈接器決定的。當(dāng)你新建一個Win32工程時，VC＋＋鏈接器使用缺省的基地址
0x00400000。可以通
過鏈接器的BASE選項(xiàng)改變模塊的基地址。EXE通常被映射到虛擬內(nèi)存的0x0040000
0處，DLL也隨之有
不同的基地址，通常被映射到不同進(jìn)程的相同的虛擬地址空間處。

　　如何知道EXE和DLL被映射到哪里了呢？

　　在Win32中，HMODULE和HINSTANCE是相同的。它們就是相應(yīng)模塊被裝入進(jìn)程的
虛擬內(nèi)存空間的
基地址。比如：

　　 HMODULE hmodule=GetModuleHandle(″gdi32.dll″);

　　返回的模塊句柄強(qiáng)制轉(zhuǎn)換為指針后，就是gdi32.dll被裝入的基地址。

　　關(guān)于如何找到虛擬內(nèi)存空間映射了哪些DLL？我用如下方式實(shí)現(xiàn)：

while(VirtualQuery (base, ＆mbi, sizeof (mbi))〉0)

{ if(mbi.Type==MEM—IMAGE)

ChangeFuncEntry((DWORD)mbi.BaseAddress,1);

base=(DWORD)mbi.BaseAddress＋mbi.RegionSize; }

　　 4.得到模塊的基地址后，根據(jù)PE文件的格式窮舉這個模塊的IMAGE—IMPORT—
DESCRIPTOR數(shù)組，
看是否引入了gdi32.dll。如是，則窮舉IMAGE—THUNK—DATA數(shù)組，看是否引入了
TextOutA函數(shù)。

　　 5.如果找到，將其替換為相應(yīng)的自己的函數(shù)。

　　系統(tǒng)將EXE和DLL原封不動映射到虛擬內(nèi)存空間中，它們在內(nèi)存中的結(jié)構(gòu)與磁
盤上的靜態(tài)文件結(jié)構(gòu)
是一樣的。即PE (Portable Executable) 文件格式。

　　所有對給定API函數(shù)的調(diào)用總是通過可執(zhí)行文件的同一個地方轉(zhuǎn)移。那就是一
個模塊(可以是EXE或
DLL)的輸入地址表(import address table)。那里有所有本模塊調(diào)用的其它DLL的
函數(shù)名及地址。對其它DLL
的函數(shù)調(diào)用實(shí)際上只是跳轉(zhuǎn)到輸入地址表，由輸入地址表再跳轉(zhuǎn)到DLL真正的函數(shù)
入口。例如：


　　圖2 對MessageBox()的調(diào)用跳轉(zhuǎn)到輸入地址表，從輸入地址表再跳轉(zhuǎn)到Mess
ageBox函數(shù)



　　 IMAGE—IMPORT—DESCRIPTOR和IMAGE—THUNK—DATA分別對應(yīng)于DLL和函數(shù)。
它們是PE
文件的輸入地址表的格式（數(shù)據(jù)結(jié)構(gòu)參見winnt.h）。

　　 BOOL ChangeFuncEntry(HMODULE hmodule)

　　 { PIMAGE—DOS—HEADER pDOSHeader;

　　 PIMAGE—NT—HEADERS pNTHeader;

　　 PIMAGE—IMPORT—DESCRIPTOR pImportDesc;

/get system functions and my functions′entry/

　　 pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle(″gdi32.dll″),″T
extOutA″);

　　 pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle(″hookdll.dll″),″
MyTextOutA″);

pDOSHeader=(PIMAGE—DOS—HEADER)hmodule;

　　 if (IsBadReadPtr(hmodule, sizeof(PIMAGE—NT—HEADERS)))

　　 return FALSE;

　　 if (pDOSHeader－〉e—magic != IMAGE—DOS—SIGNATURE)

　　 return FALSE;

　　 pNTHeader=(PIMAGE—NT—HEADERS)((DWORD)pDOSHeader＋(DWORD)pDOSHead
er－〉e—
lfanew);

　　 if (pNTHeader－)Signature != IMAGE—NT—SIGNATURE)

　　 return FALSE;

　　 pImportDesc = (PIMAGE—IMPORT—DESCRIPTOR)((DWORD)hmodule＋(DWORD)
pNTHeader
－)OptionalHeader.DataDirectory

　　 [IMAGE—DIRECTORY—ENTRY—IMPORT].VirtualAddress);

　　 if (pImportDesc == (PIMAGE—IMPORT—DESCRIPTOR)pNTHeader)

return FALSE;

　　 while (pImportDesc－)Name)

　　 { PIMAGE—THUNK—DATA pThunk;

　　 strcpy(buffer,(char)((DWORD)hmodule＋(DWORD)pImportDesc－)Name))
;

CharLower(buffer);

if(strcmp(buffer,"gdi32.dll"))

{ pImportDesc＋＋;

continue;

}else

{ pThunk=(PIMAGE—THUNK—DATA)((DWORD)hmodule＋(DWORD)pImportDesc－)Fi
rstThunk);

while (pThunk－)u1.Function)

{ if ((pThunk－)u1.Function) == pSysFunc1)

{ VirtualProtect((LPVOID)(＆pThunk－)u1.Function),

　　 sizeof(DWORD),PAGE—EXECUTE—READWRITE, ＆dwProtect);

　　 (pThunk－)u1.Function)=pMyFunc1;

　　 VirtualProtect((LPVOID)(＆pThunk－)u1.Function), sizeof(DWORD),dw
Protect,＆temp); }

pThunk＋＋; } return 1;}}}

　　替換了輸入地址表中TextOutA的入口為MyTextOutA后，截獲系統(tǒng)函數(shù)調(diào)用的
主要部分已經(jīng)完成，當(dāng)
一個被注入進(jìn)程調(diào)用TextOutA時，其實(shí)調(diào)用的是MyTextOutA，只需在MyTextOutA
中顯示傳進(jìn)來的字符
串，再交給TextOutA處理即可。

轉(zhuǎn)載于:https://www.cnblogs.com/hcmfys/archive/2008/11/17/1335296.html

總結(jié)

以上是生活随笔為你收集整理的VC++屏幕抓词的技术实现的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。