VC++屏幕抓词的技术实现
生活随笔
收集整理的這篇文章主要介紹了
VC++屏幕抓词的技术实现
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
屏幕上的文字大都是由gdi32.dll的以下幾個函數(shù)顯示的:TextOutA、TextOutW、ExtTextOutA、ExtTextOutW。實現(xiàn)屏幕抓詞的關鍵就是截獲對這些函數(shù)的調用,得到程序發(fā)給它們的參數(shù)。
我的方法有以下三個步驟:
一、得到鼠標的當前位置
通過SetWindowsHookEx實現(xiàn)。
二、向鼠標下的窗口發(fā)重畫消息,讓它調用系統(tǒng)函數(shù)重畫
通過WindowFromPoint,ScreenToClient,InvalidateRect 實現(xiàn)。
三、截獲對系統(tǒng)函數(shù)的調用,取得參數(shù)(以TextOutA為例)
1.仿照TextOutA作成自己的函數(shù)MyTextOutA,與TextOutA有相同參數(shù)和返回
值,放在系統(tǒng)鉤子所在
的DLL里。
SysFunc1=(DWORD)GetProcAddress(GetModuleHandle( "gdi32.dll"),"TextO
utA");
BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR l
pszString,int cbString)
{ //輸出lpszString的處理
return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);}
2.由于系統(tǒng)鼠標鉤子已經(jīng)完成注入其它GUI進程的工作,我們不需要為注入再
做工作。
如果你知道所有系統(tǒng)鉤子的函數(shù)必須要在動態(tài)庫里,就不會對“注入”感到
奇怪。當進程隱式或顯式
調用一個動態(tài)庫里的函數(shù)時,系統(tǒng)都要把這個動態(tài)庫映射到這個進程的虛擬地址
空間里(以下簡稱“地址空
間”)。這使得DLL成為進程的一部分,以這個進程的身份執(zhí)行,使用這個進程的
堆棧(見圖1)。
圖1 DLL映射到虛擬地址空間中
對系統(tǒng)鉤子來說,系統(tǒng)自動將包含“鉤子回調函數(shù)”的DLL映射到受鉤子函數(shù)
影響的所有進程的地址
空間中,即將這個DLL注入了那些進程。
3.當包含鉤子的DLL注入其它進程后,尋找映射到這個進程虛擬內存里的各個
模塊(EXE和DLL)的
基地址。EXE和DLL被映射到虛擬內存空間的什么地方是由它們的基地址決定的。
它們的基地址是在鏈接
時由鏈接器決定的。當你新建一個Win32工程時,VC++鏈接器使用缺省的基地址
0x00400000。可以通
過鏈接器的BASE選項改變模塊的基地址。EXE通常被映射到虛擬內存的0x0040000
0處,DLL也隨之有
不同的基地址,通常被映射到不同進程的相同的虛擬地址空間處。
如何知道EXE和DLL被映射到哪里了呢?
在Win32中,HMODULE和HINSTANCE是相同的。它們就是相應模塊被裝入進程的
虛擬內存空間的
基地址。比如:
HMODULE hmodule=GetModuleHandle(″gdi32.dll″);
返回的模塊句柄強制轉換為指針后,就是gdi32.dll被裝入的基地址。
關于如何找到虛擬內存空間映射了哪些DLL?我用如下方式實現(xiàn):
while(VirtualQuery (base, &mbi, sizeof (mbi))〉0)
{ if(mbi.Type==MEM—IMAGE)
ChangeFuncEntry((DWORD)mbi.BaseAddress,1);
base=(DWORD)mbi.BaseAddress+mbi.RegionSize; }
4.得到模塊的基地址后,根據(jù)PE文件的格式窮舉這個模塊的IMAGE—IMPORT—
DESCRIPTOR數(shù)組,
看是否引入了gdi32.dll。如是,則窮舉IMAGE—THUNK—DATA數(shù)組,看是否引入了
TextOutA函數(shù)。
5.如果找到,將其替換為相應的自己的函數(shù)。
系統(tǒng)將EXE和DLL原封不動映射到虛擬內存空間中,它們在內存中的結構與磁
盤上的靜態(tài)文件結構
是一樣的。即PE (Portable Executable) 文件格式。
所有對給定API函數(shù)的調用總是通過可執(zhí)行文件的同一個地方轉移。那就是一
個模塊(可以是EXE或
DLL)的輸入地址表(import address table)。那里有所有本模塊調用的其它DLL的
函數(shù)名及地址。對其它DLL
的函數(shù)調用實際上只是跳轉到輸入地址表,由輸入地址表再跳轉到DLL真正的函數(shù)
入口。例如:
圖2 對MessageBox()的調用跳轉到輸入地址表,從輸入地址表再跳轉到Mess
ageBox函數(shù)
IMAGE—IMPORT—DESCRIPTOR和IMAGE—THUNK—DATA分別對應于DLL和函數(shù)。
它們是PE
文件的輸入地址表的格式(數(shù)據(jù)結構參見winnt.h)。
BOOL ChangeFuncEntry(HMODULE hmodule)
{ PIMAGE—DOS—HEADER pDOSHeader;
PIMAGE—NT—HEADERS pNTHeader;
PIMAGE—IMPORT—DESCRIPTOR pImportDesc;
/get system functions and my functions′entry/
pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle(″gdi32.dll″),″T
extOutA″);
pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle(″hookdll.dll″),″
MyTextOutA″);
pDOSHeader=(PIMAGE—DOS—HEADER)hmodule;
if (IsBadReadPtr(hmodule, sizeof(PIMAGE—NT—HEADERS)))
return FALSE;
if (pDOSHeader-〉e—magic != IMAGE—DOS—SIGNATURE)
return FALSE;
pNTHeader=(PIMAGE—NT—HEADERS)((DWORD)pDOSHeader+(DWORD)pDOSHead
er-〉e—
lfanew);
if (pNTHeader-)Signature != IMAGE—NT—SIGNATURE)
return FALSE;
pImportDesc = (PIMAGE—IMPORT—DESCRIPTOR)((DWORD)hmodule+(DWORD)
pNTHeader
-)OptionalHeader.DataDirectory
[IMAGE—DIRECTORY—ENTRY—IMPORT].VirtualAddress);
if (pImportDesc == (PIMAGE—IMPORT—DESCRIPTOR)pNTHeader)
return FALSE;
while (pImportDesc-)Name)
{ PIMAGE—THUNK—DATA pThunk;
strcpy(buffer,(char)((DWORD)hmodule+(DWORD)pImportDesc-)Name))
;
CharLower(buffer);
if(strcmp(buffer,"gdi32.dll"))
{ pImportDesc++;
continue;
}else
{ pThunk=(PIMAGE—THUNK—DATA)((DWORD)hmodule+(DWORD)pImportDesc-)Fi
rstThunk);
while (pThunk-)u1.Function)
{ if ((pThunk-)u1.Function) == pSysFunc1)
{ VirtualProtect((LPVOID)(&pThunk-)u1.Function),
sizeof(DWORD),PAGE—EXECUTE—READWRITE, &dwProtect);
(pThunk-)u1.Function)=pMyFunc1;
VirtualProtect((LPVOID)(&pThunk-)u1.Function), sizeof(DWORD),dw
Protect,&temp); }
pThunk++; } return 1;}}}
替換了輸入地址表中TextOutA的入口為MyTextOutA后,截獲系統(tǒng)函數(shù)調用的
主要部分已經(jīng)完成,當
一個被注入進程調用TextOutA時,其實調用的是MyTextOutA,只需在MyTextOutA
中顯示傳進來的字符
串,再交給TextOutA處理即可。
轉載于:https://www.cnblogs.com/hcmfys/archive/2008/11/17/1335296.html
總結
以上是生活随笔為你收集整理的VC++屏幕抓词的技术实现的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 用Eclipse开发PHP项目
- 下一篇: 让列表只显示数据,不显示文件夹的方法