DLL注入——使用全局钩子

1.简介

因为进程的地址空间是独立的，发生对应事件的进程不能调用其他进程地址空间的钩子函数。如果钩子函数的实现代码在DLL中，则在对应事件发生时，系统会把这个DLL加载到发生事件的进程地址空间中，使它可以调用钩子函数进行处理。

所以只要在系统中安装了全局钩子，那么只要进程接收到可以发出钩子的消息，全局钩子的DLL就会被系统自动或者强行加载到进程空间中，这就可以实现DLL注入。

安装挂钩是通过下列方法实现的：

HHOOK SetWindowsHookExW(
  [in] int       idHook,
  [in] HOOKPROC  lpfn,
  [in] HINSTANCE hmod,
  [in] DWORD     dwThreadId
);

• 参数1：表示要安装的挂钩类型。
• 参数2：表示的是钩子的回调函数。
• 参数3：包含由lpfn参数执行的钩子过程的DLL句柄
• 参数4：与钩子过程关联的线程标识符，如果为0则表示与所有线程相关联。

这里将参数1设置为WH_GETMESSAGE，因为这种类型的钩子会监视消息队列，又因为Windows系统是基于消息驱动的，所以所有的进程都会有自己的一个消息队列，都会加载WH_GETMESSAGE类型的全局钩子。

当idHook设置为WH_GETMESSAGE的时候，回调函数lpfn的定义如下：

LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam);

2.示例

2.1生成动态库

我使用的vs2019，创建一个动态链接库，如下图所示。

 2.2在pch.h文件总声明几个函数如下

// 设置全局钩子
extern"C" __declspec(dllexport)  BOOL SetGlobalHook();
 
// 钩子回调函数
extern"C" __declspec(dllexport) LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam);
 
卸载钩子
extern"C" __declspec(dllexport) BOOL UnsetGlobalHook();

注意：必须添加extern"C" __declspec(dllexport)。

2.3pch.cpp中定义

// 共享内存
#pragma data_seg("mydata")
HHOOK g_hHook = NULL;
#pragma data_seg()
#pragma comment(linker, "/SECTION:mydata,RWS")
 
extern HMODULE g_hDllModule;
// 设置全局钩子
BOOL SetGlobalHook()
{
    g_hHook = SetWindowsHookEx(WH_GETMESSAGE, (HOOKPROC)GetMsgProc, g_hDllModule, 0);
    if (NULL == g_hHook)
    {
        return FALSE;
    }
    return TRUE;
}
 
// 钩子回调函数
LRESULT GetMsgProc(int code, WPARAM wParam, LPARAM lParam)
{
    return CallNextHookEx(g_hHook, code, wParam, lParam);
}
 
//卸载钩子
BOOL UnsetGlobalHook()
{
    if (g_hHook)
    {
        UnhookWindowsHookEx(g_hHook);
    }
    return TRUE;
}

回调函数中，简单的调用CallNextHookEx函数表示将当前钩子传递给钩链中的下一个钩子。第一个参数要指定当前钩子的句柄。如果直接返回0，则表示中断钩子传递，这就实现了对钩子进行拦截。

为了让任意一个独立的进程中对句柄的修改都可以影响到其他进程，就需要在DLL中使用共享内存，来保证将DLL中加载到多个进程以后，一个进程对它的修改可以影响到其他进程。设置共享内存的方式如下：

#pragma data_seg("mydata")
HHOOK g_hHook = NULL;
#pragma data_seg()
#pragma comment(linker, "/SECTION:mydata,RWS")

2.4在dllmain.cpp中设置g_hDllModule，编译成库。

HMODULE g_hDllModule = NULL;
 
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        g_hDllModule = hModule;
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

2.5编写一个控制台应用程序来设置全局钩子

typedef BOOL(*SetHook)();
typedef BOOL(*UnsetHook)();
 
int main()
{
    //加载dll
    HMODULE hDll = LoadLibrary(L"F:\\hookDll.dll");
 
    if (NULL == hDll)
    {
        return -1;
    }
 
    BOOL isHook = FALSE;
 
    //导出SetGlobalHook函数地址
    SetHook SetGlobalHook = (SetHook)GetProcAddress(hDll, "SetGlobalHook");
 
    if (NULL == SetGlobalHook)
    {
        return -1;
    }
 
    //导出UnsetGlobalHook函数地址
    UnsetHook UnsetGlobalHook = (UnsetHook)GetProcAddress(hDll, "UnsetGlobalHook");
 
    if (NULL == UnsetGlobalHook)
    {
        return -1;
    }
 
    //调用设置全局钩子
    isHook = SetGlobalHook();
 
    if (isHook) 
    {
        printf("Hook is ok!\n");
    }
    else 
    {
        printf("Hook is error\n");
    }
 
    system("pause");
 
    //调用卸载全局钩子
    UnsetGlobalHook();
 
    FreeLibrary(hDll);
 
    return 0;
}

3.使用Process Explorer工具查看

直接ctrl+F，搜索加载的dll名称，可以看到dll已经注入到很多程序当中。

4.卸载钩子

 UnhookWindowsHookEx(g_hHook);