| 出版日期:1999-08-09 总期号:847 本年期号:57 |
|
 |
屏幕抓词的技术实现
周天舒 屏幕上的文字大都是由gdi32.dll的以下几个函数显示的:textouta、textoutw、exttextouta、exttextoutw。实现屏幕抓词的关键就是截获对这些函数的调用,得到程序发给它们的参数。 我的方法有以下三个步骤: 一、得到鼠标的当前位置 通过setwindowshookex实现。 二、向鼠标下的窗口发重画消息,让它调用系统函数重画 通过windowfrompoint,screentoclient,invalidaterect 实现。 三、截获对系统函数的调用,取得参数(以textouta为例) 1.仿照textouta作成自己的函数mytextouta,与textouta有相同参数和返回值,放在系统钩子所在的dll里。 sysfunc1=(dword)getprocaddress(getmodulehandle("gdi32.dll"),"textouta"); bool winapi mytextouta(hdc hdc, int nxstart, int nystart, lpcstr lpszstring,int cbstring) { //输出lpszstring的处理 return ((farproc)sysfunc1)(hdc,nxstart,nystart,lpszstring,cbstring);} 2.由于系统鼠标钩子已经完成注入其它gui进程的工作,我们不需要为注入再做工作。 如果你知道所有系统钩子的函数必须要在动态库里,就不会对“注入”感到奇怪。当进程隐式或显式调用一个动态库里的函数时,系统都要把这个动态库映射到这个进程的虚拟地址空间里(以下简称“地址空间”)。这使得dll成为进程的一部分,以这个进程的身份执行,使用这个进程的堆栈(见图1)。 
图1 dll映射到虚拟地址空间中 对系统钩子来说,系统自动将包含“钩子回调函数”的dll映射到受钩子函数影响的所有进程的地址空间中,即将这个dll注入了那些进程。 3.当包含钩子的dll注入其它进程后,寻找映射到这个进程虚拟内存里的各个模块(exe和dll)的基地址。exe和dll被映射到虚拟内存空间的什么地方是由它们的基地址决定的。它们的基地址是在链接时由链接器决定的。当你新建一个win32工程时,vc++链接器使用缺省的基地址0x00400000。可以通过链接器的base选项改变模块的基地址。exe通常被映射到虚拟内存的0x00400000处,dll也随之有不同的基地址,通常被映射到不同进程的相同的虚拟地址空间处。 如何知道exe和dll被映射到哪里了呢? 在win32中,hmodule和hinstance是相同的。它们就是相应模块被装入进程的虚拟内存空间的基地址。比如: hmodule hmodule=getmodulehandle(″gdi32.dll″); 返回的模块句柄强制转换为指针后,就是gdi32.dll被装入的基地址。 关于如何找到虚拟内存空间映射了哪些dll?我用如下方式实现: while(virtualquery (base, &mbi, sizeof (mbi))〉0) { if(mbi.type==mem—image) changefuncentry((dword)mbi.baseaddress,1); base=(dword)mbi.baseaddress+mbi.regionsize; } 4.得到模块的基地址后,根据pe文件的格式穷举这个模块的image—import—descriptor数组,看是否引入了gdi32.dll。如是,则穷举image—thunk—data数组,看是否引入了textouta函数。 5.如果找到,将其替换为相应的自己的函数。 系统将exe和dll原封不动映射到虚拟内存空间中,它们在内存中的结构与磁盘上的静态文件结构是一样的。即pe (portable executable) 文件格式。 所有对给定api函数的调用总是通过可执行文件的同一个地方转移。那就是一个模块(可以是exe或dll)的输入地址表(import address table)。那里有所有本模块调用的其它dll的函数名及地址。对其它dll的函数调用实际上只是跳转到输入地址表,由输入地址表再跳转到dll真正的函数入口。例如: 
图2 对messagebox()的调用跳转到输入地址表,从输入地址表再跳转到messagebox函数 image—import—descriptor和image—thunk—data分别对应于dll和函数。它们是pe文件的输入地址表的格式(数据结构参见winnt.h)。 bool changefuncentry(hmodule hmodule) { pimage—dos—header pdosheader; pimage—nt—headers pntheader; pimage—import—descriptor pimportdesc; /get system functions and my functions′entry/ psysfunc1=(dword)getprocaddress(getmodulehandle(″gdi32.dll″),″textouta″); pmyfunc1= (dword)getprocaddress(getmodulehandle(″hookdll.dll″),″mytextouta″); pdosheader=(pimage—dos—header)hmodule; if (isbadreadptr(hmodule, sizeof(pimage—nt—headers))) return false; if (pdosheader-〉e—magic != image—dos—signature) return false; pntheader=(pimage—nt—headers)((dword)pdosheader+(dword)pdosheader-〉e—lfanew); if (pntheader-〉signature != image—nt—signature) return false; pimportdesc = (pimage—import—descriptor)((dword)hmodule+(dword)pntheader-〉optionalheader.datadirectory [image—directory—entry—import].virtualaddress); if (pimportdesc == (pimage—import—descriptor)pntheader) return false; while (pimportdesc-〉name) { pimage—thunk—data pthunk; strcpy(buffer,(char)((dword)hmodule+(dword)pimportdesc-〉name)); charlower(buffer); if(strcmp(buffer,"gdi32.dll")) { pimportdesc++; continue; }else { pthunk=(pimage—thunk—data)((dword)hmodule+(dword)pimportdesc-〉firstthunk); while (pthunk-〉u1.function) { if ((pthunk-〉u1.function) == psysfunc1) { virtualprotect((lpvoid)(&pthunk-〉u1.function), sizeof(dword),page—execute—readwrite, &dwprotect); (pthunk-〉u1.function)=pmyfunc1; virtualprotect((lpvoid)(&pthunk-〉u1.function), sizeof(dword),dwprotect,&temp); } pthunk++; } return 1;}}} 替换了输入地址表中textouta的入口为mytextouta后,截获系统函数调用的主要部分已经完成,当一个被注入进程调用textouta时,其实调用的是mytextouta,只需在mytextouta中显示传进来的字符串,再交给textouta处理即可。 |
||||||||||||||||
