DLL注入——使用全局钩子

1.简介

因为进程的地址空间是独立的，发生对应事件的进程不能调用其他进程地址空间的钩子函数。如果钩子函数的实现代码在DLL中，则在对应事件发生时，系统会把这个DLL加载到发生事件的进程地址空间中，使它可以调用钩子函数进行处理。

所以只要在系统中安装了全局钩子，那么只要进程接收到可以发出钩子的消息，全局钩子的DLL就会被系统自动或者强行加载到进程空间中，这就可以实现DLL注入。

安装挂钩是通过下列方法实现的：

HHOOK SetWindowsHookExW(  [in] int       idHook,  [in] HOOKPROC  lpfn,  [in] HINSTANCE hmod,  [in] DWORD     dwThreadId);

参数1：表示要安装的挂钩类型。参数2：表示的是钩子的回调函数。参数3：包含由lpfn参数执行的钩子过程的DLL句柄参数4：与钩子过程关联的线程标识符，如果为0则表示与所有线程相关联。

这里将参数1设置为WH_GETMESSAGE，因为这种类型的钩子会监视消息队列，又因为Windows系统是基于消息驱动的，所以所有的进程都会有自己的一个消息队列，都会加载WH_GETMESSAGE类型的全局钩子。

当idHook设置为WH_GETMESSAGE的时候，回调函数lpfn的定义如下：

LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam);

2.示例

2.1生成动态库

我使用的vs2019，创建一个动态链接库，如下图所示。

 2.2在pch.h文件总声明几个函数如下

// 设置全局钩子extern"C" __declspec(dllexport)  BOOL SetGlobalHook();// 钩子回调函数extern"C" __declspec(dllexport) LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam);卸载钩子extern"C" __declspec(dllexport) BOOL UnsetGlobalHook();

注意：必须添加extern"C" __declspec(dllexport)。

2.3pch.cpp中定义

// 共享内存#pragma data_seg("mydata")HHOOK g_hHook = NULL;#pragma data_seg()#pragma comment(linker, "/SECTION:mydata,RWS")extern HMODULE g_hDllModule;// 设置全局钩子BOOL SetGlobalHook(){    g_hHook = SetWindowsHookEx(WH_GETMESSAGE, (HOOKPROC)GetMsgProc, g_hDllModule, 0);    if (NULL == g_hHook)    {        return FALSE;    }    return TRUE;}// 钩子回调函数LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam){    return CallNextHookEx(g_hHook, code, wParam, lParam);}//卸载钩子BOOL UnsetGlobalHook(){    if (g_hHook)    {        UnhookWindowsHookEx(g_hHook);    }    return TRUE;}

回调函数中，简单的调用CallNextHookEx函数表示将当前钩子传递给钩链中的下一个钩子。第一个参数要指定当前钩子的句柄。如果直接返回0，则表示中断钩子传递，这就实现了对钩子进行拦截。

为了让任意一个独立的进程中对句柄的修改都可以影响到其他进程，就需要在DLL中使用共享内存，来保证将DLL中加载到多个进程以后，一个进程对它的修改可以影响到其他进程。设置共享内存的方式如下：

#pragma data_seg("mydata")HHOOK g_hHook = NULL;#pragma data_seg()#pragma comment(linker, "/SECTION:mydata,RWS")

2.4在dllmain.cpp中设置g_hDllModule，编译成库。

HMODULE g_hDllModule = NULL;BOOL APIENTRY DllMain( HMODULE hModule,                       DWORD  ul_reason_for_call,                       LPVOID lpReserved                     ){    switch (ul_reason_for_call)    {    case DLL_PROCESS_ATTACH:        g_hDllModule = hModule;        break;    case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:    case DLL_PROCESS_DETACH:        break;    }    return TRUE;}

2.5编写一个控制台应用程序来设置全局钩子

typedef BOOL(*SetHook)();typedef BOOL(*UnsetHook)();int main(){    //加载dll    HMODULE hDll = LoadLibrary(L"F:\\hookDll.dll");    if (NULL == hDll)    {        return -1;    }    BOOL isHook = FALSE;    //导出SetGlobalHook函数地址    SetHook SetGlobalHook = (SetHook)GetProcAddress(hDll, "SetGlobalHook");    if (NULL == SetGlobalHook)    {        return -1;    }    //导出UnsetGlobalHook函数地址    UnsetHook UnsetGlobalHook = (UnsetHook)GetProcAddress(hDll, "UnsetGlobalHook");    if (NULL == UnsetGlobalHook)    {        return -1;    }    //调用设置全局钩子    isHook = SetGlobalHook();    if (isHook)     {        printf("Hook is ok!\n");    }    else     {        printf("Hook is error\n");    }    system("pause");    //调用卸载全局钩子    UnsetGlobalHook();    FreeLibrary(hDll);    return 0;}

3.使用Process Explorer工具查看

直接ctrl+F，搜索加载的dll名称，可以看到dll已经注入到很多程序当中。

4.卸载钩子

 UnhookWindowsHookEx(g_hHook);