windows10 记事本进程键盘消息钩子 dll注入

看了很多文档，垮了很多坎，终于完成了这个demo；

有很多个人理解，可能不完全正确，见谅；

先上实现的图片：

如图，我通过SetWindowsHookEx()函数向记事本进程中当前窗口线程注入了自己写的dll，dll中设置的回调函数使，当键盘按了1，那么就会触发一个MessageBox。

工具：VS 2015， PCHunter(用于查看是否成功注入了dll，其实看能否实现功能就信，非必须的)

思路：先写一个dll（就是要被注入的dll），再写一个windows控制台程序（用于将dll注入到我们想要注入的进程）

接下来我们一步步实现看看：

一、DLL编写

1、打开VS新建一个名为DLL的Win32 项目：

2、在应用程序向导中选中DLL、空项目（空项目比较干净，没有多余的东西）：

3、创完了项目，先别急着写代码，还有很多必要的动西要改，右键点击项目->属性。将MFC的使用改为“在共享DLL中使用MFC”,原因是dll中会用到CString类型，要加入#include <afx.h>这个头文件，如果不设置MFC的话，之后编译会报错；将字符集改为“使用多字节字符集”，及ANSI，原因是在ANSI和Unicode下，CSting的存储结构是不同的，前者是char *,后者是wchar_t *，而且字符集不同，有些函数的参数也会跟着变，这个后面会说。

4、如图点击配置管理器：

5、将Debug配置的平台改为64位，原因是：我的windows是64位的，记事本软件也是64位的（虽然它的执行文件在System32文件夹下，但是用PCHunter可以看到它是64位的程序），而我们最重要的注入函数SetWindowsHookEx()的官网文档说了，这个函数只能用于64位程序将64位dll注入64位程序，或32位程序将32位dll注入32位程序，如果我们编写的dll是32位的，那么到时候注入时程序就会卡死(别问我为什么知道)，也就是注入失败了，再给个官方文档地址点击打开链接。

6、在源文件目录下新建一个名为DLL的cpp文件：

7、现在我们可以写代码了：

#include <afx.h> //CString的头文件
#include "stdio.h"
#include "windows.h" //要调用的很多windows api函数的头文件HHOOK g_hHook = NULL; //HHOOK是钩子句柄，如果想搭建钩子链，也可把下一个需要传给的钩子句柄放在这。CString IsNumber(WPARAM wParam)
{CString message;switch (wParam) {case 0x30: message.Format("按了0"); break;case 0x31: message.Format("按了1"); break;case 0x32: message.Format("按了2"); break;case 0x33: message.Format("按了3"); break;case 0x34: message.Format("按了4"); break;case 0x35: message.Format("按了5"); break;case 0x36: message.Format("按了6"); break;case 0x37: message.Format("按了7"); break;case 0x38: message.Format("按了8"); break;case 0x39: message.Format("按了9"); break;default: message.Format("未定义的按键"); break;}return message;
}
//获取到的wparam是16位的int（也可能是long，这个无所谓），用于标识键盘截取到的消息是哪个键，我简单的
//识别了键盘上的数组键（不是小键盘的数组键），返回CString对象。LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
//这是一个键盘钩子消息的回调函数，当设置钩子成功，dll被注入到目标线程，该回调函数会在每次有键盘消息
//传递给目标线程时被调用，第二个参数在这个类型的钩子中放回的是虚拟键盘的信息，其他两个参数我不太清楚
{MessageBox(NULL, IsNumber(wParam), _T("Message"), 0);return CallNextHookEx(g_hHook, nCode, wParam, lParam);//我理解这句代码意思是，如果g_hHook非空，就把消息传给这个句柄，否则就传给应用程序。
}

KeyboardProc，官方文档有解释：点击打开链接，关于KeyboardProc中wparam参数返回的信息：点击打开链接

我可能也有很多地方没理解对，有能力尽量看官方文档。

8、在源文件目录下新建一个名为DLL的def文件：

9、添加如下代码，可以将KeyboardProc函数导出：

LIBRARY DLLEXPORTS
KeyboardProc

整个项目下只有“源文件”下的两个文件：

10、点击最上方的生成->生成解决方案，成功的话，找到DLL->x64->Debug这个文件夹，看下有没有DLL.dll这个文件，注意：不是DLL->DLL->x64->Debug这个文件夹，不要问我为什么会知道。

至此第一部分就算完成了，我们得到了DLL.dll这个文件。

二、CPP编写

1、打开VS新建一个名为CPP的Win 32控制台应用程序：

2、之后的设置都是默认的（之前写dll选了空项目，写cpp就不用了）。

3、4、5、全部参考第一部分。

6、在源文件目录下的CPP.cpp文件添加代码：

#include "stdafx.h"
#include "windows.h"
#include "Psapi.h" //连接了库后引用头文件，EnumProcesses及GetModuleFileNameEx都需要引入这个头文件
#pragma comment(lib,"Psapi.lib") //预编译指令,连接psapi.lib库DWORD FindProcessByEnumProcess(CString TargetProcessName)
//参数是目标程序名，如notepad.exe
//返回值类型DWORD，是32位的long型，值是找到的目标进程的进程id, 如果打开了多个同名程序，找到的是最后打开的那个进程的进程id
{DWORD TargetProcessId = 0; //目标进程初始值是0，没找到时就返回0DWORD ProcessesId[1024] = { 0 }; //进程id数组，在之后EnumProcesses函数调用会将当前所有进程id放入数组DWORD NeededProcessesId = 0; //在之后EnumProcesses函数调用后会将实际需要的进程数组的大小赋值给它LPSTR ProcessName = (LPSTR)malloc((sizeof(char)) * 1024);//LPSTR定义是typedef LPSTR char * ，LPSTR被定义成是一个指向以NULL(‘\0’)结尾的32位ANSI字符数组指针//用于存储返回到的进程名EnumProcesses(ProcessesId, sizeof(ProcessesId), &NeededProcessesId);//查询所有当前进程//第一个参数是输出参数，返回进程数组存储到ProcessesId[1024]中//第二个参数的输入参数，输入需要返回的进程数组的存储大小//第三个参数的输出参数，返回实际需要的进程数组的存储大小DWORD ProcessNumber = NeededProcessesId / sizeof(DWORD);//得到进程个数，用于遍历for (unsigned int i = 0; i < ProcessNumber; i++){if (ProcessesId[i] != 0){//对每个进程id执行下面操作HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, ProcessesId[i]);//HANDLE是进程句柄类型，hProcess存储的就是进程句柄了//OpenProcess函数通过进程id获取进程句柄//第一个参数是输入参数，标识需要获取的权限，这里我们获取PROCESS_QUERY_INFORMATION和PROCESS_VM_READ权限//因为下面的GetModuleFileNameEx函数指定要这两个权限//第二个参数是输入参数，用来标识该句柄是否希望被子进程继承，不过不考虑子进程的继承权限则直接赋值为FALSE//第三个参数是输入参数，输入需要打开进程的进程id//返回值就是得到的句柄了if (hProcess != NULL){GetModuleFileNameEx(hProcess, NULL, ProcessName, 1024);//根据进程句柄获取到进程完整的名称,如C:\Windows\System32\notepad.exe//第一个参数是输入参数，输入需要获取进程名的进程句柄//第二个参数是输入参数，输入需要获取的模块的模块句柄，为NULL表示获取进程主模块//第三个参数是输出参数，输出进程模块完整的名称//第四个参数是输入参数，表明ProcessName的存储大小CString ProcessFullPathName = (CString)ProcessName;//把LPSTR类型转为CString类型，便于进行字符处理//CString在ANSI字符集下以存储char数组，在Unicode字符集下以存储wchar_t数组,后者的长度是前者的两倍//CString a，则a可作为指向存储的char数组的头部的指针，和LPSTR类型是一样的，所以我用了强转//我百度到的转化方法是这么写的：CString ProcessFullPathName(ProcessName); 也可以CString ProcessBaseName = ProcessFullPathName.Right(ProcessFullPathName.GetLength() - ProcessFullPathName.ReverseFind('\\') - 1);//把路径去掉，留下一个基础名称及C:\Windows\System32\notepad.exe转为notepad.exeif (ProcessBaseName == TargetProcessName)//如果该进程名与目标进程名相同，那么该进程id就是目标进程id{TargetProcessId = ProcessesId[i];}CloseHandle(hProcess);//关闭句柄hProcess = NULL;}}}return TargetProcessId;
}void DoInject(DWORD TargetWindowThreadId)
{HMODULE hDll = LoadLibrary(_T("DLL.dll"));//HMODULE是模块句柄类型//LoadLibrary可以显示加载dll//这里我没有加路径，所有执行前要将dll放到exe文件同目录下if (hDll == NULL) {printf("将dll加载到自身进程失败\n");exit(0);}else {printf("将dll加载到自身进程成功\n");}FARPROC KeyboardProc = (FARPROC)GetProcAddress(hDll, "KeyboardProc");//通过GetProcAddress函数获取到hDll句柄中的KeyboardProc函数的地址if (KeyboardProc == NULL) {printf("获取到回调函数地址失败\n");exit(0);}else {printf("获取到回调函数地址成功\n");}HHOOK g_hHook = SetWindowsHookEx(WH_KEYBOARD, (HOOKPROC)KeyboardProc, hDll, TargetWindowThreadId);//将dll注入目标线程，设置函数指针指向写好的键盘消息回调函数//第一个参数输入钩子类型//第二个参数根据不同的钩子类型，要输入不同类型的回调函数地址//第三个参数输入dll句柄//第四个参数输入目标线程idif (g_hHook) {printf("向目标线程添加钩子并注入dll成功\n");}printf("输入q卸载钩子：");while (getchar() != 'q');if (g_hHook){UnhookWindowsHookEx(g_hHook);g_hHook = NULL;}//卸载钩子FreeLibrary(hDll);//释放dll
}BOOL CALLBACK EnumWindowsProc(HWND hwnd, LPARAM lParam)
//EnumWindows设置的回调函数，系统每发现一个窗口都会调用该回调函数
//HWND是窗口句柄类型
//第一个参数返回的是当前窗口句柄，第二个参数类型可以自己定，我传入的是目标进程id
{DWORD CurrentWindowProcessId; //当前窗口进程idDWORD CurrentWindowThreadId; //当前窗口线程idCurrentWindowThreadId = GetWindowThreadProcessId(hwnd, &CurrentWindowProcessId);//GetWindowThreadProcessId()可以通过窗口句柄，获取该窗口的所在的进程及线程//第一个参数是输入参数，输入目标窗口句柄//第二个参数是输出参数，类型是LPDWORD，及指向DWORD的指针，所以要取地址，函数执行成功后CurrentWindowProcessId值就是返回的当前窗口进程id//返回值是值传递的，DWORD类型，直接赋值给DWORD类型就行了，值是当前窗口线程idif (CurrentWindowProcessId == lParam) {//如果当前窗口进程id等于目标进程的进程id//则得到的当前窗口线程id就是目标窗口线程idDoInject(CurrentWindowThreadId);//得到了线程id后就可以注入了return false; //当找到后就返回false，这样才会终止遍历}return true; //不是当前窗口，返回true，继续遍历
}int main()
{CString TargetProcessName(_T("notepad.exe"));DWORD TargetProcessId = FindProcessByEnumProcess(TargetProcessName); //先找到目标进程idEnumWindows(EnumWindowsProc, TargetProcessId); //根据目标进程id进行遍历，找到目标线程，并注入dll
}

我把cpp的框架写出来

FindProcessByEnumProcess()函数是输入进程名，返回进程id

DoInject()函数是执行注入的过程，需要知道被注入的线程的id

EnumWindowsProc()函数是回调函数，对于每个已存在的窗口，判断其进程id是否与目标进程id相同，如果是，就锁定了目标线程id，再调用DoInject()函数执行注入的过程

int main()

{

1、得到目标进程id

2、设置回调函数，等待其执行

}

再来说说我的思路：我们目标是要找到计算本程序线程id，因为注入函数SetWindowsHookEx的最后一个参数是目标线程id，进程id是不行的，其实有两种实现方法：

思路1：找到记事本进程id，根据进程id找到其所有的线程id，但是一个记事本进程有很多子线程，我不知道是否都要注入还是只要注入一个，而且列出所有子线程那个方法我没弄懂，于是没这么做；

思路2：找到找到记事本进程id，枚举当前所有窗口参看窗口的进程id以及线程id，对比记事本进程id，相同的话就锁定了记事本窗口所在线程id；

思路3：其实最开始我们的源头就是记事本的进程名notepad.exe，我们有没有办法绕过进程id，找到线程id呢，FindWindow()这个函数可以通过窗口名找到窗口句柄，再GetWindowThreadProcessId()根据窗口句柄找到窗口线程id不就行了吗，但是可惜的是这个窗口名并不是notepad.exe，而是“新建文本文档.txt - 记事本”，根本不好锁定，所以此路不通。

7、在stdafx.h这个头文件中添加代码：

#include <afx.h> //因为我们cpp建的不是空项目，项目是有结构的，引入头文件一定要放在stdafx.h中

8、点击最上方的生成->生成解决方案，将DLL->x64->Debug目录下的DLL.dll文件复制到CPP->x64->Debug目录下

9、先打开一个记事本程序（如果你打开两个，前面也说到了，只能锁定后打开的窗口），点击上方调试->开始执行，这时再打开回到记事本窗口，试试摁下键盘看看有没有效果。

还可以通过PCHunter查看被注入的dll，方法是右击进程->查看进程模块，如下图被标记为红色的dll：