屏幕取词功能和防屏幕取词

作者: admin 分类: 屏幕取词发布时间: 2013-03-16 09:40 ė4,284 浏览数 6没有评论

屏幕抓词的技术实现

屏幕上的文字大都是由gdi32.dll的以下几个函数显示的：TextOutA、TextOutW、ExtTextOutA、ExtTextOutW。实现屏幕抓词的关键就是截获对这些函数的调用，得到程序发给它们的参数。

我的方法有以下三个步骤：

一、得到鼠标的当前位置

通过SetWindowsHookEx实现。

二、向鼠标下的窗口发重画消息，让它调用系统函数重画

通过WindowFromPoint，ScreenToClient，InvalidateRect 实现。

三、截获对系统函数的调用，取得参数(以TextOutA为例)

1.仿照TextOutA作成自己的函数MyTextOutA，与TextOutA有相同参数和返回值，放在系统钩子所在的DLL里。

SysFunc1=(DWORD)GetProcAddress(GetModuleHandle(“gdi32.dll”),”TextOutA”);

BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)

{ //输出lpszString的处理

return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);}

2.由于系统鼠标钩子已经完成注入其它GUI进程的工作，我们不需要为注入再做工作。

如果你知道所有系统钩子的函数必须要在动态库里，就不会对“注入”感到奇怪。当进程隐式或显式调用一个动态库里的函数时，系统都要把这个动态库映射到这个进程的虚拟地址空间里(以下简称“地址空间”)。这使得DLL成为进程的一部分，以这个进程的身份执行，使用这个进程的堆栈(见图1)。

图1 DLL映射到虚拟地址空间中

对系统钩子来说，系统自动将包含“钩子回调函数”的DLL映射到受钩子函数影响的所有进程的地址空间中，即将这个DLL注入了那些进程。

3.当包含钩子的DLL注入其它进程后，寻找映射到这个进程虚拟内存里的各个模块（EXE和DLL）的基地址。EXE和DLL被映射到虚拟内存空间的什么地方是由它们的基地址决定的。它们的基地址是在链接时由链接器决定的。当你新建一个Win32工程时，VC＋＋链接器使用缺省的基地址0×00400000。可以通过链接器的BASE选项改变模块的基地址。EXE通常被映射到虚拟内存的0×00400000处，DLL也随之有不同的基地址，通常被映射到不同进程的相同的虚拟地址空间处。

如何知道EXE和DLL被映射到哪里了呢？

在Win32中，HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的虚拟内存空间的基地址。比如：

HMODULE hmodule=GetModuleHandle(″gdi32.dll″);

返回的模块句柄强制转换为指针后，就是gdi32.dll被装入的基地址。

关于如何找到虚拟内存空间映射了哪些DLL？我用如下方式实现：

[cce_cpp]
while(VirtualQuery (base, ＆mbi, sizeof (mbi))〉0)
{ 
	if(mbi.Type==MEM—IMAGE)
		ChangeFuncEntry((DWORD)mbi.BaseAddress,1);
	base=(DWORD)mbi.BaseAddress＋mbi.RegionSize; 
}

[/cce_cpp]

[cce_cpp]

while(VirtualQuery (base, ＆mbi, sizeof (mbi))〉0)

{

if(mbi.Type==MEM—IMAGE)

ChangeFuncEntry((DWORD)mbi.BaseAddress,1);

base=(DWORD)mbi.BaseAddress＋mbi.RegionSize;

}

[/cce_cpp]

4.得到模块的基地址后，根据PE文件的格式穷举这个模块的IMAGE—IMPORT—DESCRIPTOR数组，看是否引入了gdi32.dll。如是，则穷举IMAGE—THUNK—DATA数组，看是否引入了TextOutA函数。

5.如果找到，将其替换为相应的自己的函数。

系统将EXE和DLL原封不动映射到虚拟内存空间中，它们在内存中的结构与磁盘上的静态文件结构是一样的。即PE (Portable Executable) 文件格式。

所有对给定API函数的调用总是通过可执行文件的同一个地方转移。那就是一个模块(可以是EXE或DLL)的输入地址表(import address table)。那里有所有本模块调用的其它DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地址表，由输入地址表再跳转到DLL真正的函数入口。例如：

图2 对MessageBox()的调用跳转到输入地址表，从输入地址表再跳转到MessageBox函数

IMAGE—IMPORT—DESCRIPTOR和IMAGE—THUNK—DATA分别对应于DLL和函数。它们是PE文件的输入地址表的格式（数据结构参见winnt.h）。

[cce_cpp]
BOOL ChangeFuncEntry(HMODULE hmodule)
{ 
	PIMAGE—DOS—HEADER pDOSHeader;
	PIMAGE—NT—HEADERS pNTHeader;
	PIMAGE—IMPORT—DESCRIPTOR pImportDesc;
	/ get system functions and my functions′entry /
	pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle(″gdi32.dll″),″TextOutA″);
	pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle(″hookdll.dll″),″MyTextOutA″);
	pDOSHeader=(PIMAGE—DOS—HEADER)hmodule;
	if (IsBadReadPtr(hmodule, sizeof(PIMAGE—NT—HEADERS)))
		return FALSE;
	if (pDOSHeader－〉e—magic != IMAGE—DOS—SIGNATURE)
		return FALSE;
	pNTHeader=(PIMAGE—NT—HEADERS)((DWORD)pDOSHeader＋(DWORD)pDOSHeader－〉e—lfanew);
	if (pNTHeader－〉Signature != IMAGE—NT—SIGNATURE)
		return FALSE;
	pImportDesc = (PIMAGE—IMPORT—DESCRIPTOR)((DWORD)hmodule＋(DWORD)pNTHeader－〉OptionalHeader.DataDirectory
		[IMAGE—DIRECTORY—ENTRY—IMPORT].VirtualAddress);
	if (pImportDesc == (PIMAGE—IMPORT—DESCRIPTOR)pNTHeader)
		return FALSE;
	while (pImportDesc－〉Name)
	{ PIMAGE—THUNK—DATA pThunk;
	strcpy(buffer,(char )((DWORD)hmodule＋(DWORD)pImportDesc－〉Name));
	CharLower(buffer);
	if(strcmp(buffer,"gdi32.dll"))
	{ pImportDesc＋＋;
	continue;
	}
	else
	{ 
		pThunk=(PIMAGE—THUNK—DATA)((DWORD)hmodule＋(DWORD)pImportDesc－〉FirstThunk);
		while (pThunk－〉u1.Function)
		{ 
			if ((pThunk－〉u1.Function) == pSysFunc1)
			{ 
				VirtualProtect((LPVOID)(＆pThunk－〉u1.Function),
					sizeof(DWORD),PAGE—EXECUTE—READWRITE, ＆dwProtect);
				(pThunk－〉u1.Function)=pMyFunc1;
				VirtualProtect((LPVOID)(＆pThunk－〉u1.Function), sizeof(DWORD),dwProtect,＆temp); }
			pThunk＋＋; 
		} 
		return 1;
	}
	}
}

[/cce_cpp]

[cce_cpp]

BOOL ChangeFuncEntry(HMODULE hmodule)

{

PIMAGE—DOS—HEADER pDOSHeader;

PIMAGE—NT—HEADERS pNTHeader;

PIMAGE—IMPORT—DESCRIPTOR pImportDesc;

/ get system functions and my functions′entry /

pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle(″gdi32.dll″),″TextOutA″);

pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle(″hookdll.dll″),″MyTextOutA″);

pDOSHeader=(PIMAGE—DOS—HEADER)hmodule;

if (IsBadReadPtr(hmodule, sizeof(PIMAGE—NT—HEADERS)))

return FALSE;

if (pDOSHeader－〉e—magic != IMAGE—DOS—SIGNATURE)

return FALSE;

pNTHeader=(PIMAGE—NT—HEADERS)((DWORD)pDOSHeader＋(DWORD)pDOSHeader－〉e—lfanew);

if (pNTHeader－〉Signature != IMAGE—NT—SIGNATURE)

return FALSE;

pImportDesc = (PIMAGE—IMPORT—DESCRIPTOR)((DWORD)hmodule＋(DWORD)pNTHeader－〉OptionalHeader.DataDirectory

[IMAGE—DIRECTORY—ENTRY—IMPORT].VirtualAddress);

if (pImportDesc == (PIMAGE—IMPORT—DESCRIPTOR)pNTHeader)

return FALSE;

while (pImportDesc－〉Name)

{ PIMAGE—THUNK—DATA pThunk;

strcpy(buffer,(char )((DWORD)hmodule＋(DWORD)pImportDesc－〉Name));

CharLower(buffer);

if(strcmp(buffer,"gdi32.dll"))

{ pImportDesc＋＋;

continue;

}

else

{

pThunk=(PIMAGE—THUNK—DATA)((DWORD)hmodule＋(DWORD)pImportDesc－〉FirstThunk);

while (pThunk－〉u1.Function)

{

if ((pThunk－〉u1.Function) == pSysFunc1)

{

VirtualProtect((LPVOID)(＆pThunk－〉u1.Function),

sizeof(DWORD),PAGE—EXECUTE—READWRITE, ＆dwProtect);

(pThunk－〉u1.Function)=pMyFunc1;

VirtualProtect((LPVOID)(＆pThunk－〉u1.Function), sizeof(DWORD),dwProtect,＆temp); }

pThunk＋＋;

}

return 1;

}

[/cce_cpp]

替换了输入地址表中TextOutA的入口为MyTextOutA后，截获系统函数调用的主要部分已经完成，当一个被注入进程调用TextOutA时，其实调用的是MyTextOutA，只需在MyTextOutA中显示传进来的字符串，再交给TextOutA处理即可。

++++++++++++++++++++++++++++++++++++++++++++

+===========================================

防止屏幕取词，自然就是打断以上过程的若干环节。

使用钩子来实现，呵呵，detour钩子来实现。去钩要防止的进程（如金山词霸），钩它的WindowFromPoint函数可以，它一取窗口就给它返回NULL，或者可以针对某个进程的防护，判断要取的窗口是否为我的安全进程的窗口，如果是，就返回NULL，不是的话，您请便，我放行。

只回答业务咨询

王牌软件，兼职软件设计，软件修改，毕业设计。

本文出自王牌软件，转载时请注明出处及相应链接。

本文永久链接: http://www.softwareace.cn/?p=269

« OpenedFilesView:查看被系统或程序占用的文件及相关信息

软件移植：从win32到x64 »

屏幕取词功能和防屏幕取词

发表评论取消回复

分类目录

业务咨询站长

屏幕取词功能和防屏幕取词

发表评论 取消回复

分类目录

业务咨询站长

发表评论取消回复