全局钩子源码

❶ 写出一个汇编语言的框架程序,内容2个段,数据段和代码段

呵呵，建议你下了解一下杀毒软件的工作机制。
金山，360，瑞星等杀毒软件，都是驱动保护的，bat因为比它高层，所以做不到关闭杀毒软件。否则连批处理都可轻易攻破，那早就有无数病毒泛滥了。只有汇编语言这样的底层语言才可以，（其实C语言也能做到）。当然，bat也不是不行，可以用bat汇编，叫做ASCIICoding技术，挺难的。2007年以前国内还没有一个会的（除非会但不说，那我当然就不知道了）。也建议你学习Rootkit Hook技术，可以读一读这篇文章。

瘟神的尾行--Rootkit技术发展史
作者：小金
一. 无法驱逐的“助手”
网管小张正在手忙脚乱的寻找他的手工杀毒工具包，因为他在安装一个网管工具的时候无意中走了神，点击了“下一步”按钮后才惊觉安装程序的界面里一个不引人注目的角落里写着“安装CNNIC网络实名”这一行小字，而且最开头部分有一个小小的勾。于是着名的“中国网民的得力助手”便理所当然的在他的机器里安了家。
心里把厂商骂了十八遍的小张终于翻出了他外出修机时最得意的工具IceSword和超级巡警，果然在进程列表和SSDT列表里发现了红色警报，小张笑了笑，对付这些一般用户无法卸载的恶意流氓，自己可谓经验丰富了，当下便三下五除二的把CNNIC的进程给终结了，SSDT也给恢复了初始状态，然后小张去删除注册表启动项——突然发出的一个错误提示声音把小张吓了一跳，再定睛一看，他的笑容凝固了：“删除项时出错”。不会吧？小张急忙去删除CNNIC目录，结果彻底愣在了那里，系统弹出的错误提示很明确的告诉他，“无法删除文件，文件可能正在被使用”。怎么回事？小张一下子没了头绪……
达尔文的进化论告诉我们，“物竞天择，适者生存”，同样，在这安全与入侵的网络世界里，也在进行着这样一场选择的过程……

二. 被AIDS纠缠的互联网
。。。。。。。。。
。。。。。。。。。。。。。
。。。。。。。。。。。。。。（网络长度限制。。。想看全篇自己搜吧）
三. 结语

虽然到处都在提倡和谐网络的普及，但是，“健康上网”仅仅是指代那些黄赌毒而已吗？在利益面前，开发者的正义感越发渺小起来，我们的网络世界，是被瘟神紧紧跟随着的。技术的斗争越发激烈，但是用户的电脑知识是不会跟着时代发展而自动填充的，最终，大众上网的人民成了这一切技术较量的受害者。
这个荒谬的发展方向，何时才能休止呢？

还有这篇：

对大多数的Windows开发者来说，如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题，因为这将是对你所掌握的计算机知识较为全面的考验，尤其是一些在如今使用RAD进行软件开发时并不常用的知识，这包括了操作系统原理、汇编语言甚至是机器指令（听上去真是有点恐怖，不过这是事实）。

当前广泛使用的Windows操作系统中，像Win 9x和Win NT/2K，都提供了一种比较稳健的机制来使得各个进程的内存地址空间之间是相互独立，也就是说一个进程中的某个有效的内存地址对另一个进程来说是无意义的，这种内存保护措施大大增加了系统的稳定性。不过，这也使得进行系统级的API拦截的工作的难度也大大加大了。

当然，我这里所指的是比较文雅的拦截方式，通过修改可执行文件在内存中的映像中有关代码，实现对API调用的动态拦截；而不是采用比较暴力的方式，直接对可执行文件的磁盘存储中机器代码进行改写。

二、API钩子系统一般框架
通常，我们把拦截API的调用的这个过程称为是安装一个API钩子（API Hook）。一个API钩子基本是由两个模块组成：一个是钩子服务器（Hook Server）模块，一般为EXE的形式；一个是钩子驱动器（Hook Driver）模块，一般为DLL的形式。

钩子服务器主要负责向目标进程注入钩子驱动器，使得钩子驱动器运行在目标进程的地址空间中，这是关键的第一步，而钩子驱动器则负责实际的API拦截处理工作，以便在我们所关心的API函数调用的之前或之后能做一些我们所希望的工作。一个比较常见的API钩子的例子就是一些实时翻译软件（像金山词霸）中必备的的功能：屏幕抓词。它主要是对一些Win32 API中的GDI函数进行了拦截，获取它们的输入参数中的字符串，然后在自己的窗口中显示出来。

针对上述关于API钩子的两个部分，有以下两点需要我们重点考虑的： 选用何种DLL注入技术，以及采用何种API拦截机制。

三、注入技术的选用
由于在Win32系统中各个进程的地址是互相独立的，因此我们无法在一个进程中对另一个进程的代码进行有效的修改，但如果你要完成API钩子的工作又必须如此。因此，我们必须采取某种独特的手段，使得API钩子（准确的说是钩子驱动器）能够成为目标进程中的一部分，才有较大的可能来对目标进程数据和代码进行有控制的修改。

通常可采用的几种注入方式：

1．利用注册表
如果我们准备拦截的进程连接了User32.dll，也就是使用了 User32.dll中的API（一般图形界面的应用程序都是符合这个条件），那么就可以简单把你的钩子驱动器DLL的名字作为值添加在下面注册表的键下： HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs 值的形式可以为单个DLL的文件名，或者是一组DLL的文件名，相邻的名称之间用逗号或空格间隔。所有由该值标识的DLL将在符合条件的应用程序启动的时候装载。这是一个操作系统内建的机制，相对其他方式来说危险性较小，但它也有一些比较明显的缺点：该方法仅适用于NT/2K操作系统，显然看看键的名称就可以明白；如果需要激活或停止钩子的注入，只有重新启动Windows，这个就似乎太不方便了；最后一点也很显然，不能用此方法向没有使用User32.dll的应用程序注入DLL，例如控制台应用程序等。另外，不管是否为你所希望，钩子DLL将注入每一个GUI应用程序，这将导致整个系统性能的下降！

2．建立系统范围的Windows钩子
要向某个进程注入DLL，一个十分普遍也是比较简单的方法就是建立在标准的Windows钩子的基础上。Windows钩子一般是在DLL中实现的，这是一个全局性的Windows钩子的基本要求，这也很符合我们的需要。当我们成功地调用SetWindowsHookEx函数之后，便在系统中安装了某种类型的消息钩子，这个钩子可以是针对某个进程，也可以是针对系统中的所有进程。一旦某个进程中产生了该类型的消息，操作系统会自动把该钩子所在的DLL映像到该进程的地址空间中，从而使得消息回调函数（在 SetWindowsHookEx的参数中指定）能够对此消息进行适当的处理，在这里，我们所感兴趣的当然不是对消息进行什么处理，因此在消息回调函数中只需把消息钩子向后传递就可以了，但是我们所需的DLL已经成功地注入了目标进程的地址空间，从而可以完成后续工作。

我们知道，不同的进程之间是不能直接共享数据的，因为它们活动在不同的地址空间中。但在Windows钩子 DLL中，有一些数据，例如Windows钩子句柄HHook，这是由SetWindowsHookEx函数返回值得到的，并且作为参数将在 CallNextHookEx函数和UnhookWindoesHookEx函数中使用，显然使用SetWindowsHookEx函数的进程和使用 CallNextHookEx函数的进程一般不会是同一个进程，因此我们必须能够使句柄在所有的地址空间中都是有效的有意义的，也就是说，它的值必须必须在这些钩子DLL所挂钩的进程之间是共享的。为了达到这个目的，我们就应该把它存储在一个共享的数据区域中。

在VC++中我们可以采用预编译指令#pragma data_seg在DLL文件中创建一个新的段，并且在DEF文件中把该段的属性设置为"shared"，这样就建立了一个共享数据段。对于使用 Delphi的人来说就没有这么幸运了：没有类似的比较简单的方法（或许是有的，但我没有找到）。不过我们还是可以利用内存映像技术来申请使用一块各进程可以共享的内存区域，主要是利用了CreateFileMapping和MapViewOfFile这两个函数，这倒是一个通用的方法，适合所有的开发语言，只要它能直接或间接的使用Windows的API。

在Borland的BCB中有一个指令#pragma codeseg与VC++中的#pragma data_seg指令有点类似，应该也能起到一样的作用，但我试了一下，没有没有效果，而且BCB的联机帮助中对此也提到的不多，不知怎样才能正确的使用（或许是另外一个指令，呵呵）。

一旦钩子DLL加载进入目标进程的地址空间后，在我们调用UnHookWindowsHookEx函数之前是无法使它停止工作的，除非目标进程关闭。

这种DLL注入方式有两个优点： 这种机制在Win 9x/Me和Win NT/2K中都是得到支持的，预计在以后的版本中也将得到支持；钩子DLL可以在不需要的时候，可由我们主动的调用 UnHookWindowsHookEx来卸载，比起使用注册表的机制来说方便了许多。尽管这是一种相当简洁明了的方法，但它也有一些显而易见的缺点：首先值得我们注意的是，Windows钩子将会降低整个系统的性能，因为它额外增加了系统在消息处理方面的时间；其次，只有当目标进程准备接受某种消息时，钩子所在的DLL才会被系统映射到该进程的地址空间中，钩子才能真正开始发挥作用，因此如果我们要对某些进程的整个生命周期内的API调用情况进行监控，用这种方法显然会遗漏某些API的调用 。

3．使用 CreateRemoteThread函数
在我看来这是一个相当棒的方法，然而不幸的是，CreateRemoteThread这个函数只能在Win NT/2K系统中才得到支持，虽然在Win 9x中这个API也能被安全的调用而不出错，但它除了返回一个空值之外什么也不做。该注入过程也十分简单：我们知道，任何一个进程都可以使用 LoadLibrary来动态地加载一个DLL。但问题是，我们如何让目标进程(可能正在运行中)在我们的控制下来加载我们的钩子DLL（也就是钩子驱动器）呢？有一个API函数CreateRemoteThread，通过它可在一个进程中可建立并运行一个远程的线程--这个好像和注入没什么关系嘛？往下看！

调用该API需要指定一个线程函数指针作为参数，该线程函数的原型如下： Function ThreadProc(lpParam: Pointer): DWORD，我们再来看一下LoadLibrary的函数原型： Function LoadLibrary(lpFileName: PChar): HMole。发现了吧！这两个函数原型几乎是一样的（其实返回值是否相同关系不大，因为我们是无法得到远程线程函数的返回值的），这种类似使得我们可以把直接把LoadLibrary当做线程函数来使用，从而在目标进程中加载钩子DLL。

与此类似，当我们需要卸载钩子DLL时，也可以FreeLibrary作为线程函数来使用，在目标进程中卸载钩子DLL，一切看来是十分的简洁方便。通过调用GetProcAddress函数，我们可以得到LoadLibrary函数的地址。由于 LoadLibrary是Kernel32中的函数，而这个系统DLL的映射地址对每一个进程来说都是相同的，因此LoadLibrary函数的地址也是如此。这点将确保我们能把该函数的地址作为一个有效的参数传递给CreateRemoteThread使用。 FreeLibrary也是一样的。

AddrOfLoadLibrary := GetProcAddress(GetMoleHandle(‘Kernel32.dll'), ‘LoadLibrary');

HRemoteThread := CreateRemoteThread(HTargetProcess, nil, 0, AddrOfLoadLibrary, HookDllName, 0, nil);

要使用CreateRemoteThread，我们需要目标进程的句柄作为参数。当我们用 OpenProcess函数来得到进程的句柄时，通常是希望对此进程有全权的存取操作，也就是以PROCESS_ALL_ACCESS为标志打开进程。但对于一些系统级的进程，直接这样显然是不行的，只能返回一个的空句柄（值为零）。为此，我们必须把自己设置为拥有调试级的特权，这样将具有最大的存取权限，从而使得我们能对这些系统级的进程也可以进行一些必要的操作。

4．通过BHO来注入DLL
有时，我们想要注入DLL的对象仅仅是Internet Explorer，很幸运，Windows操作系统为我们提供了一个简单的归档方法（这保证了它的可靠性！）―― 利用Browser Helper Objects（BHO）。一个BHO是一个在 DLL中实现的COM对象，它主要实现了一个IObjectWithSite接口，而每当IE运行时，它会自动加载所有实现了该接口的COM对象。

四、拦截机制
在钩子应用的系统级别方面，有两类API拦截的机制――内核级的拦截和用户级的拦截。内核级的钩子主要是通过一个内核模式的驱动程序来实现，显然它的功能应该最为强大，能捕捉到系统活动的任何细节，但难度也较大，不在本文的探讨范围之内（尤其对我这个使用Delphi的人来说，还没涉足这块领域，因此也无法探讨，呵呵）。

而用户级的钩子则通常是在普通的DLL中实现整个API的拦截工作，这才是此次重点关注的。拦截API函数的调用，一般可有以下几种方法：

1． 代理DLL（特洛伊木马
一个容易想到的可行的方法是用一个同名的DLL去替换原先那个输出我们准备拦截的API所在的DLL。当然代理DLL也要和原来的一样，输出所有函数。但如果想到DLL中可能输出了上百个函数，我们就应该明白这种方法的效率是不高的，估计是要累死人的。另外，我们还不得不考虑DLL的版本问题，很是麻烦。

2．改写执行代码
有许多拦截的方法是基于可执行代码的改写，其中一个就是改变在CALL指令中使用的函数地址，这种方法有些难度，也比较容易出错。它的基本思路是检索出在内存中所有你所要拦截的API的CALL指令，然后把原先的地址改成为你自己提供的函数的地址。

另外一种代码改写的方法的实现方法更为复杂，它的主要的实现步骤是先找到原先的API函数的地址，然后把该函数开始的几个字节用一个JMP指令代替（有时还不得不改用一个INT指令），从而使得对该API函数的调用能够转向我们自己的函数调用。实现这种方法要牵涉到一系列压栈和出栈这样的较底层的操作，显然对我们的汇编语言和操作系统底层方面的知识是一种考验。这个方法倒和很多文件型病毒的感染机制相类似。

3．以调试器的身份进行拦截
另一个可选的方法是在目标函数中安置一个调试断点，使得进程运行到此处就进入调试状态。然而这样一些问题也随之而来，其中较主要的是调试异常的产生将把进程中所有的线程都挂起。它也需要一个额外的调试模块来处理所有的异常，整个进程将一直在调试状态下运行，直至它运行结束。

4．改写PE文件的输入地址表
这种方法主要得益于现如今Windows系统中所使用的可执行文件（包括EXE文件和DLL文件）的良好结构――PE文件格式（Portable Executable File Format），因此它相当稳健，又简单易行。要理解这种方法是如何运作的，首先你得对PE文件格式有所理解。

一个PE文件的结构大致如下所示：一般PE文件一开始是一段DOS程序，当你的程序在不支持Windows的环境中运行时，它就会显示"This Program cannot be run in DOS mode"这样的警告语句；接着这个DOS文件头，就开始真正的PE文件内容了，首先是一段称为"IMAGE_NT_HEADER"的数据，其中是许多关于整个PE文件的消息，在这段数据的尾端是一个称为Data Directory的数据表，通过它能快速定位一些PE文件中段（section）的地址；在这段数据之后，则是一个"IMAGE_SECTION_HEADER"的列表，其中的每一项都详细描述了后面一个段的相关信息；接着它就是PE文件中最主要的段数据了，执行代码、数据和资源等等信息就分别存放在这些段中。

在所有的这些段里，有一个被称为".idata"的段（输入数据段）值得我们去注意，该段中包含着一些被称为输入地址表（IAT，Import Address Table）的数据列表，每个用隐式方式加载的API所在的DLL都有一个IAT与之对应，同时一个API的地址也与IAT中一项相对应。当一个应用程序加载到内存中后，针对每一个API函数调用，相应的产生如下的汇编指令：

JMP DWORD PTR [XXXXXXXX]

如果在VC++中使用了_delcspec(import)，那么相应的指令就成为：

CALL DWORD PTR [XXXXXXXX]。

不管怎样，上述方括号中的总是一个地址，指向了输入地址表中一个项，是一个DWORD，而正是这个 DWORD才是API函数在内存中的真正地址。因此我们要想拦截一个API的调用，只要简单的把那个DWORD改为我们自己的函数的地址，那么所有关于这个API的调用将转到我们自己的函数中去，拦截工作也就宣告顺利的成功了。这里要注意的是，自定义的函数的调用约定应该是API的调用约定，也就是 stdcall，而Delphi中默认的调用约定是register，它们在参数的传递方法等方面存在着较大的区别。

另外，自定义的函数的参数形式一般来讲和原先的API函数是相同的，不过这也不是必须的，而且这样的话在有些时候也会出现一些问题，我在后面将会提到。因此要拦截API的调用，首先我们就要得到相应的IAT的地址。系统把一个进程模块加载到内存中，其实就是把 PE文件几乎是原封不动的映射到进程的地址空间中去，而模块句柄HMole实际上就是模块映像在内存中的地址，PE文件中一些数据项的地址，都是相对于这个地址的偏移量，因此被称为相对虚拟地址（RVA，Relative Virtual Address）。

于是我们就可以从HMole开始，经过一系列的地址偏移而得到IAT的地址。不过我这里有一个简单的方法，它使用了一个现有的API函数ImageDirectoryEntryToData，它帮助我们在定位IAT时能少走几步，省得把偏移地址弄错了，走上弯路。不过纯粹使用RVA从HMole开始来定位IAT的地址其实并不麻烦，而且这样还更有助于我们对PE文件的结构的了解。上面提到的那个API 函数是在DbgHelp.dll中输出的（这是从Win 2K才开始有的，在这之前是由ImageHlp.dll提供的），有关这个函数的详细介绍可参见MSDN。

在找到IAT之后，我们只需在其中遍历，找到我们需要的API地址，然后用我们自己的函数地址去覆盖它，下面给出一段对应的源码：

procere RedirectApiCall; var ImportDesc:PIMAGE_IMPORT_DESCRIPTOR; FirstThunk:PIMAGE_THUNK_DATA32; sz:DWORD;
begin

//得到一个输入描述结构列表的首地址，每个DLL都对应一个这样的结构 ImportDesc:=ImageDirectoryEntryToData(Pointer(HTargetMole), true, IMAGE_DIRECTORY_ENTRY_IMPORT, sz);

while Pointer(ImportDesc.Name)<>nil do
begin //判断是否是所需的DLL输入描述

if StrIComp(PChar(DllName),PChar(HTargetMole+ImportDesc.Name))=0 then begin

//得到IAT的首地址
FirstThunk:=PIMAGE_THUNK_DATA32(HTargetMole+ImportDesc.FirstThunk);

while FirstThunk.Func<>nil do
begin

if FirstThunk.Func=OldAddressOfAPI then
begin

//找到了匹配的API地址 ......
//改写API的地址

break;

end;

Inc(FirstThunk);

end;

end;

Inc(ImportDesc);

end;

end;

最后有一点要指出，如果我们手工执行钩子DLL的退出目标进程，那么在退出前应该把函数调用地址改回原先的地址，也就是API的真正地址，因为一旦你的DLL退出了，改写的新的地址将指向一个毫无意义的内存区域，如果此时目标进程再使用这个函数显然会出现一个非法操作。

五、替换函数的编写
前面关键的两步做完了，一个API钩子基本上也就完成了。不过还有一些相关的东西需要我们研究一番的，包括怎样做一个替换函数。 下面是一个做替换函数的步骤： 首先，不失一般性，我们先假设有这样的一个API函数，它的原型如下：

function SomeAPI(param1: Pchar;param2: Integer): DWORD;

接着再建立一个与之有相同参数和返回值的函数类型：

type FuncType= function (param1: Pchar;param2: Integer): DWORD;

然后我们把SomeAPI函数的地址存放在OldAddress指针中。接着我们就可以着手写替换函数的代码了：

function DummyFunc(param1: Pchar;param2: Integer): DWORD; begin ......

//做一些调用前的操作

//调用被替换的函数，当然也可以不调用
result := FuncType(OldAddress) (param1 , param2);

//做一些调用后的操作

end;

我们再把这个函数的地址保存到NewAddress中，接着用这地址覆盖掉原先API的地址。这样当目标进程调用该API的时候，实际上是调用了我们自己的函数，在其中我们可以做一些操作，然后在调用原先的API函数，结果就像什么也没发生过一样。当然，我们也可以改变输入参数的值，甚至是屏蔽调这个API函数的调用。

尽管上述方法是可行的，但有一个明显的不足：这种替换函数的制作方法不具有通用性，只能针对少量的函数。如果只有几个API要拦截，那么只需照上述说的重复做几次就行了。但如果有各种各样的API要处理，它们的参数个数和类型以及返回值的类型是各不相同的，仍然采用这种方法就太没效率了。

的确是的，上面给出的只是一个最简单最容易想到的方法，只是一个替换函数的基本构架。正如我前面所提到的，替换函数的与原先的API函数的参数类型不必相同，一般的我们可以设计一个没有调用参数也没有返回值的函数，通过一定的技巧，使它能适应各种各样的API 函数调用，不过这得要求你对汇编语言有一定的了解。

首先，我们来看一下执行到一个函数体内前的系统堆栈情况（这里函数的调用方式为stdcall），函数的调用参数是按照从右到左的顺序压入堆栈的（堆栈是由高端向低端发展的），同时还压入了一个函数返回地址。在进入函数之前，ESP正指向返回地址。因此，我们只要从ESP+4开始就可以取得这个函数的调用参数了，每取一个参数递增4。另外，当从函数中返回时，一般在EAX中存放函数的返回值。

了解了上述知识，我们就可以设计如下的一个比较通用的替换函数，它利用了Delphi的内嵌式汇编语言的特性。

Procere DummyFunc;

asm add esp,4 mov eax,esp//得到第一个参数

mov eax,esp+4//得到第二个参数 ......

//做一些处理，这里要保证esp在这之后恢复原样

call OldAddress //调用原先的API函数 ......

//做一些其它的事情

end;

当然，这个替换函数还是比较简单的，你可以在其中调用一些纯粹用OP语言写的函数或过程，去完成一些更复杂的操作（要是都用汇编来完成，那可得把你忙死了），不过应该把这些函数的调用方式统一设置为stdcall方式，这使它们只利用堆栈来传递参数，因此你也只需时刻掌握好堆栈的变化情况就行了。如果你直接把上述汇编代码所对应的机器指令存放在一个字节数组中，然后把数组的地址当作函数地址来使用，效果是一样的。

六、后记
做一个API钩子的确是件不容易的事情，尤其对我这个使用Delphi的人来说，为了解决某个问题，经常在OP、C++和汇编语言的资料中东查西找，在程序调试中还不时的发生一些意想不到的事情，弄的自己是手忙脚乱。不过，好歹总算做出了一个 API钩子的雏形，还是令自己十分的高兴，对计算机系统方面的知识也掌握了不少，受益非浅。当初在写这篇文章之前，我只是想翻译一篇从网上Down下来的英文资料（网址为 ，文章名叫"API Hook Revealed"，示例源代码是用VC++写的，这里不得不佩服老外的水平，文章写得很有深度，而且每个细节都讲的十分详细）。

❷ 易语言～安装键盘钩子怎么使用

易语言哦，不知道怎么弄呢。按键连发的话，Windows有个API叫做keybd_event，你可以在键盘钩子的回调函数中多次模拟按键就是了。这里有完整C++键盘钩子的源代码，实现改键的。原理都差不多啦。。
LRESULT CALLBACK LowLevelKeyboardProc( int code, WPARAM wParam, LPARAM lParam) { if(code == HC_ACTION) { PKBDLLHOOKSTRUCT pStruct = (PKBDLLHOOKSTRUCT)lParam; DWORD dwIndex = 0; switch (pStruct->vkCode) { case L'A': case L'a': dwIndex = 0; break; case L'S': case L's': dwIndex = 1; break; case L'D': case L'd': dwIndex = 2; break; case L'W': case L'w': dwIndex = 3; break; default: return CallNextHookEx(g_hHook, code, wParam, lParam); } if (wParam == WM_KEYDOWN) { keybd_event(g_bVK[dwIndex], MapVirtualKey(g_bVK[dwIndex], 0), 0, 0); } else if (wParam == WM_KEYUP) { keybd_event(g_bVK[dwIndex], MapVirtualKey(g_bVK[dwIndex], 0), KEYEVENTF_KEYUP, 0); } return TRUE; } return CallNextHookEx(g_hHook, code, wParam, lParam); }完整的代码就去这里看吧： http://www.programlife.net/redirect-key-by-hook-keyboard.html

❸ 易语言编写键盘记录器 源码 说的详细点

.程序集
窗口程序集1
.程序集变量
钩子,
类_钩子
.子程序
__启动窗口_创建完毕
模块注册
()
.子程序
_按钮1_被单击
.局部变量
返回,
逻辑型
返回
＝
钩子_安装键盘钩子
(&键盘接口,
0)
信息框
(“全局钩子已经安装成功！”,
0,
“提示”)
编辑框1.内容
＝
“”
.子程序
键盘接口,
逻辑型
.参数
虚拟键码,
整数型
.参数
扫描键码,
整数型
.参数
键盘弹起,
逻辑型
.判断开始
(键盘弹起)
.默认

编辑框1.加入文本
(取键名
(扫描键码))
.判断结束
返回
(真)
.子程序
_按钮2_被单击
钩子.卸载所有钩子
()
.子程序
__启动窗口_将被销毁
_启动窗口.销毁
()
如果认为不详细，留下邮箱，我把代码传给你

❹ 求易语言钩子注入dll及home呼出源码

易语言钩子DLL注入源码及源码说明2010-04-06 13:52[所有要使用到的API]

.版本 2

.DLL命令 LoadLibraryA, 整数型,"kernel32.dll","LoadLibraryA"
.参数 lpLibFileName, 文本型

.DLL命令 SetWindowsHookExA, 整数型, "user32.dll", "SetWindowsHookExA", 公开, SetWindowsHookEx
.参数 钩子类型, 整数型, , idHook
.参数 回调函数地址, 整数型, , lpfn
.参数 实例句柄, 整数型, , hmod
.参数 线程ID, 整数型, , dwThreadId

.DLL命令 FreeLibrary, 整数型, "kernel32.dll", "FreeLibrary", , 释放指定的动态链接库，它们早先是用LoadLibrary ;API函数装载的 非零表示成功，零表示失败。会设置GetLastError
.参数 库句柄, 整数型, , hLibMole，要释放的一个库句柄，在VB里使用只能用这个函数释放那些由应用程序明确装载的DLL。对LoadLibrary的每一次调用都应该有一个对应的FreeLibrary调用;

.DLL命令 UnhookWindowsHookEx, 整数型, "user32.dll", "UnhookWindowsHookEx", , UnhookWindowsHookEx
.参数 钩子句柄, 整数型, , hHook

.DLL命令 CallNextHookEx, 整数型, "user32.dll", "CallNextHookEx", 公开, CallNextHookEx
.参数 钩子句柄, 整数型, , hHook
.参数 代码值, 整数型, , ncode
.参数 附加参数1, 整数型, , wParam
.参数 附加参数2, 整数型, 传址, lParam

.DLL命令 GetProcAddress, 整数型, "kernel32.dll", "GetProcAddress", , 取进程路径
.参数 模块句柄, 整数型, , hMole
.参数 进程名称, 文本型, , lpProcName

.DLL命令 GetCurrentThreadId, 整数型, "kernel32.dll", "GetCurrentThreadId"

.DLL命令 获取特别文件夹位置_, 整数型, "shell32.dll", "SHGetSpecialFolderLocation"
.参数 窗口句柄, 整数型, , hwndOwner
.参数 文件夹位置, 整数型, , nFolder
.参数 结构, 项目标识符列表_, 传址, pIdl

.DLL命令 从列表id取路径_, 整数型, "shell32.dll", "SHGetPathFromIDListA", , $(b)
.参数 结构指针, 整数型, , pIdl
.参数 路径, 文本型, 传址, pszPath

.DLL命令 CallWindowProcA, 整数型, "user32.dll", "CallWindowProcA"
.参数 动态调用代码, 字节集, , 一定要用本人编写的
.参数 子程序, 子程序指针, , 子程序指针
.参数 参数, 整数型, 数组, 为整数数组，参数1为成员1…类推；文本型和字节集型（自定义结构）为指针
.参数 参数数目, 整数型, , 一定要和参数数组相符，不然会出错
.参数 是否C调用, 整数型, , 真为cdecl调用方式，假为stdcall调用方式（即标准WINAPI方式）

[这里函数所有代码和一个自定义类型,API代码在左边]

.版本 2

.程序集 程序集1
.程序集变量 临时呼出热键, 整数型
.程序集变量 临时载入窗口, 窗口
.程序集变量 钩子模块句柄, 整数型, , "1000"
.程序集变量 钩子句柄, 整数型, , "1000"
.程序集变量 钩子IDx, 整数型
.程序集变量 x, 整数型
.程序集变量 钩子句柄1, 整数型
.程序集变量 temp目录, 文本型
.程序集变量 xxx, 整数型
.程序集变量 热键钩子句柄, 整数型
.程序集变量 第一次, 逻辑型

.子程序 调用_调用子程序, 整数型, 公开, 呼叫某个函数 可以传入无限个参数 返回函数返回值
.参数 子程序指针, 子程序指针, , 指定函数
.参数 参数, 整数型, 可空 数组, 指定参数 可以不写, 参数为数组 格式为 参数[1]=xxx 参数[2]=xxx 文本型或字节集请用 转换指针 格式2 加入成员(参数,xxx)
.局部变量 动态调用代码, 字节集

动态调用代码 ＝ { 85, 139, 236, 86, 139, 117, 16, 141, 78, 255, 133, 201, 124, 21, 139, 69, 12, 141, 4, 136, 65, 139, 16, 137, 85, 16, 255, 117, 16, 131, 232, 4, 73, 117, 242, 255, 85, 8, 137, 69, 12, 139, 69, 20, 133, 192, 116, 13, 141, 4, 181, 0, 0, 0, 0, 137, 69, 16, 3, 101, 16, 139, 69, 12, 94, 93, 194, 16, 0 }
返回 (CallWindowProcA (动态调用代码, 子程序指针, 参数, 取数组成员数 (参数), 0))

.子程序 操作_取特定目录, 文本型, 公开, 取特定的目录(返回所要取的指定目录名 无效返回空)
.参数 欲获取目录类型, 整数型, 可空, 0我的桌面 1临时目录 5我的文档 6我的收藏夹 7我的启动 11我的开始菜单 20系统字体 36Windows安装目录 37系统目录 [99更多]
.局部变量 路径, 文本型
.局部变量 标示结构, 项目标识符列表_
.局部变量 目录类型, 整数型

.如果真 (欲获取目录类型 ＝ 99)
输出调试文本 (“0我的桌面 2我的程序 5我的文档 6我的收藏夹 7我的启动 8我最近的文档 9我的发送到 11我的开始菜单 13我的音乐 14我的视频 16我的桌面 20系统字体 22开始菜单组 23程序组 24启动组 25桌面 31收藏夹 32我的浏览器临时目录 33我的Cookies 34我的历史记录 36Windows安装目录 37系统目录 38文件安装目录 39我的图片 40用户目录 41系统目录 46文档 47管理工具 48我的管理工具 53音乐 54图片 55视频”)
.如果真结束
.如果 (欲获取目录类型 ＝ 1)
目录类型 ＝ 34
.否则
目录类型 ＝ 欲获取目录类型
.如果结束
获取特别文件夹位置_ (0, 目录类型, 标示结构)
路径 ＝ 取空白文本 (255)
从列表id取路径_ (标示结构.结构大小, 路径)
.如果真 (路径 ＝ “”)
返回 (“”)
.如果真结束
.如果真 (欲获取目录类型 ＝ 1)
路径 ＝ 子文本替换 (路径, “History”, “Temp”, , , 真)
.如果真结束
返回 (路径 ＋ “\”)

.子程序 注入_安装钩子DLL, 整数型, 公开, DLL注入 返回0=失败 整数型 DLL接口(代码值,参数1,参数2)
.参数 线程ID, 整数型, , -1 全局钩子
.参数 DLL全名, 文本型, , DLL全名
.参数 DLL接口, 文本型, 可空, 默认 整数型 钩子接口(代码值,参数1,参数2)
.局部变量 临时变量, 整数型
.局部变量 目录, 文本型
.局部变量 窗口句柄, 整数型

.如果真 (是否为空 (DLL接口) ＝ 真)
DLL接口 ＝ “钩子接口”
.如果真结束
.如果真 (线程ID ＝ 0)
返回 (0)
.如果真结束
.如果真 (线程ID ＝ -1)
线程ID ＝ 0
.如果真结束
钩子IDx ＝ 钩子IDx ＋ 1
钩子模块句柄 [钩子IDx] ＝ LoadLibraryA (DLL全名)
钩子句柄 [钩子IDx] ＝ SetWindowsHookExA (3, GetProcAddress (钩子模块句柄 [钩子IDx], DLL接口), 钩子模块句柄 [钩子IDx], 线程ID)
目录 ＝ 操作_取特定目录 (1)
写配置项 (目录 ＋ “ada.ini”, “ada”, “钩子句柄”, 到文本 (钩子句柄 [钩子IDx]))
输出调试文本 (钩子IDx, 钩子模块句柄 [钩子IDx], 钩子句柄 [钩子IDx])
返回 (钩子IDx)

.版本 2

.子程序 注入_卸载钩子DLL, 逻辑型, 公开
.参数 钩子ID, 整数型, 可空, 卸载所有时无效
.参数 卸载所有, 逻辑型, 可空
.局部变量 xx, 整数型

.如果真 (卸载所有)
.如果真 (钩子IDx ＞ 0)
.计次循环首 (钩子IDx, xx)
.如果真 (钩子模块句柄 [xx] ≠ 0)
FreeLibrary (钩子模块句柄 [xx])
UnhookWindowsHookEx (钩子句柄 [xx])
.如果真结束

.计次循环尾 ()
.如果真结束
返回 (真)
.如果真结束
.如果真 (钩子ID ＞ 0)
.如果真 (钩子模块句柄 [钩子ID] ≠ 0)
FreeLibrary (钩子模块句柄 [钩子ID])
UnhookWindowsHookEx (钩子句柄 [钩子ID])
返回 (真)
.如果真结束

.如果真结束
返回 (假)

.子程序 注入_初始化钩子DLL, 整数型, 公开, DLL用.
.参数 代码值, 整数型
.参数 参数1, 整数型
.参数 参数2, 整数型
.参数 初始, 子程序指针
.局部变量 xxxx, 整数型

.如果真 (钩子句柄1 ＝ 0)
temp目录 ＝操作_取特定目录 (1)
钩子句柄1 ＝ 到整数 (读配置项 (temp目录 ＋ “ada.ini”, “ada”, “钩子句柄”, ))
.如果真结束
.如果真 (第一次 ＝ 假)
第一次 ＝ 真
调用_调用子程序 (初始)
.如果真结束
返回 (CallNextHookEx (钩子句柄1, 代码值, 参数1, 参数2))

.子程序 注入_设置呼出窗口, 逻辑型, 公开
.参数 设置热键, 整数型
.参数 呼出窗口, 窗口

临时呼出热键 ＝ 设置热键
临时载入窗口 ＝ 呼出窗口
热键钩子句柄 ＝ SetWindowsHookExA (2, 到整数 (&呼出键接口), 0, GetCurrentThreadId ())
.如果真 (热键钩子句柄 ＞ 0)
返回 (真)
.如果真结束
返回 (假)

.子程序 呼出键接口, 整数型
.参数 一, 整数型
.参数 二, 整数型
.参数 三, 整数型

.如果真 (一 ＝ 0 且 二 ＝ 临时呼出热键 且 三 ＞ 0)
.如果 (是否已创建 (临时载入窗口))
.如果 (临时载入窗口.可视)
临时载入窗口.可视＝ 假
.否则
临时载入窗口.可视＝ 真
.如果结束

.否则
载入 (临时载入窗口, , 假)
临时载入窗口.Esc键关闭＝ 假
临时载入窗口.最小化按钮＝ 真
.如果结束

.如果真结束
返回 (CallNextHookEx (热键钩子句柄, 一, 二, 三))

.版本 2

.数据类型 项目标识符列表_, , ITEMIDLIST
.成员 结构大小, 整数型, , , cb
.成员 标识符长度, 字节型, , "255", abID

此函数是用来调用指针函数的.就是CALL

取目录用这个我就不解释了
下面是源码主要函数
函数解释:

本函数参数1为要HOOK的线程ID,参数2为要注入的DLL名,参数3[可空]为DLL接口名字空则为"钩子接口".
下面解释是如何实现的:

1.首先使用LoadLibraryA获取DLL模块地址.
2.然后设置SetWindowsHookExA

参数一为HOOK类型,使用WH_GETMESSAGE(3) Hook来监视从GetMessage or PeekMessage函数返回息。

参数二为接口地址,就是说把消息返回转接到的位置,当然我们这里所使用的是我们DLL所公开的那个函数

参数三为接口模块的句柄即DLL的句柄(地址)

参数四为将要被HOOK的线程ID(0为全局HOOK,不推荐使用全局HOOK)

3.设置完后将钩子句柄写配置项到临时目录(后面将要使用).

说白了其实这个才是真正的接口(DLL里的接口只是在做转接而已),

我先讲这个函数是如何实现的(上面已经说了这才是真正的接口).

1,钩子句柄是一个程序集变量,先判断这个变量是否为0,如果等于0那么就是说这个函数第一次被使用,

第一次使用将读去上个函数写在临时目录的钩子句柄.

2.用一个逻辑变量(程序集变量或全局变量),来判断这个消息钩子是否第一次运行(为了防止后面调用

子程序被多次调用),是的话调用一个子程序(自己设置)

3.使用CallNextHookEx(呼叫下一个钩子)把当前HOOK的信息在传送回被HOOK的钩子里,那个钩子我们

就不用管了.

下来说下到底如何使用

首先在你的EXE程序里写这个(我就不多说这是干吗的了).

然后在DLL里写上这个代码(有人可能觉得眼熟,好像在什么地方见过,对了这个代码和

外挂作坊的钩子注入差不多)

下来说明下按键呼出窗口的函数

用变量把当前参数存起来(主要方便接口调用)

1.为当前运行线程设置一个键盘钩子

2.[接口]设置按键判断,如果按下我们设置的键将呼出窗口,如果这个窗口没创建将判断创建,

如果已经创建再次按下则会隐藏,

载入后的窗口把用ESC关闭的属性弄成假,不需要ESC关闭

3.最后就是再呼叫下以前的钩子.

最后就是卸载钩子DLL了.

判断是否要卸载全部的钩子,如果是就循环将现有钩子DLL全部卸载.

不是就按着ID来卸载

卸载方法:

1.FreeLibrary就是卸载一个载入的DLL

2.UnhookWindowsHookEx乃是卸载这个HOOK

-.-OK了这就是 钩子DLL注入,谢谢大家阅读,如果看不明白,

❺ 顽固木马

dll木马的查杀前言 后门！相信这个词语对您来说一定不会陌生，它的危害不然而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不在恐惧DLL后门。好了，进入我们的主题。 一，DLL的原理 1，动态链接程序库 动态链接程序库，全称：Dynamic Link Library，简称：DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除。这是由于Windows内部机制造成的：正在运行的程序不能关闭。所以，DLL后门由此而生！ 2，DLL后门原理及特点 把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL文件中的DLLMain（）作为加载的条件（如同EXE的mian（））。做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。 常见的编写方法： (1)，只有一个DLL文件 这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。 现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看Rundll32.exe使用的函数原型： Void CALLBACK FunctionName ( HWND hwnd, HINSTANCE hinst, LPTSTR lpCmdLine, Int nCmdShow ); 其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments] DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。 (2)，替换系统中的DLL文件 这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时， DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。所以，这类后门一般都是把DLL文件做成一个“启动”文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下次客户端连接之前，都不会启动。但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。 提示： 在WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。 (3)，动态嵌入式 这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式有：“挂接API”“全局钩子（HOOK）”“远程线程”等。 远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统进程，那Windows也随即被终止！！！ 3，DLL后门的启动特性 启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是“真正”的后门。 二，DLL的清除 本节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。 1，PortLess BackDoor 这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有_blank">防火墙的主机来说，这个功能在好不过了。 在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务： Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。 呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容）。我们可以看到HKEY_LOCAL_下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。 这是注册表的HKEY_LOCAL_ NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_ NTCurrentVersionSvchost下。这里有四种方法来实现： 1， 添加一个新的组，在组里添加服务名 2， 在现有组里添加服务名 3， 直接使用现有组里的一个服务名，但是本机没有安装的服务 4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门 我测试的PortLess BackDoor使用的第三种方法。 好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。 注：由于本文只是介绍清除方法，使用方法在此略过。 后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理2.5，查看Svchost进程中的模块信息，SvchostDLL.dll已经插入到Svchost进程中了，在根据“直接使用现有组里的一个服务名，但是本机没有安装的服务”的提示，我们可以断定，在“管理工具”—“服务”中会有一项新的服务。证明了我的说法，此服务名称为：IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。 我们把该服务停掉，然后打开注册表编辑器（开始—运行--regedit），来到HKEY_LOCAL_下，查看其Parameters子键）。Program键的键值SvcHostDLL.exe为后门的Loader；ServiceDll的键值C:WINNTsystem32svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键（或者用SC来删除），然后在来到HKEY_LOCAL_ NTCurrentVersionSvchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名。然后退出，重启。重启之后删除WINNTsystem32目录下的后门文件即可。2，BITS.dll 这是榕哥的作品，也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即“修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门”。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），这样就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看，从图7中，我们可以看到bits.dll已经插入到Svchost进程当中。 好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_下搜索到了bits.dll，查看Parameters子键下的ServiceDll，其键值为C:WINNTsystem32bits.dll（如图8）。原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即%SystemRoot%System32rasauto.dll，退出，重启。之后删除WINNTsystem32目录下的bits.dll即可。 3，NOIR--QUEEN NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，我先介绍一下Lsass.exe进程： 这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。 从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢？请看下文。 后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程并自动启动（如图9）。现在我们打开注册表，来到HKEY_LOCAL_，直接删除QoSserver键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为“已禁用”；然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe（原因后边我会说到），具体如图11所示。我们再次打开注册表，来到HKEY_LOCAL_，删除AppCPI键，重启，再删除QoSserver，最后删除WINNTsystem32目录下的后门文件。 本人和这个后门“搏斗”了3个多小时，重启N次。原因在于即使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又“死灰复燃”。后来才知道原因：在我删除了QoSserver服务并重启之后，插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。 注意：在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为“已禁用”，否则即便删除了AppCPI服务，QoSserver服务又运行了。 三，DLL的防范 看了上边的例子，我想大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门，希望对大家有所帮助。 1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。 2，使用内存/模块工具来查看进程调用的DLL文件，比如Windows优化大师中的Windows 进程管理 2.5。这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。如果没有优化大师，可以使用TaskList，这个小工具也可以显示进程调用的DLL文件，而且还有源代码，方便修改。 3，普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。 4，定期检查系统自动加载的地方，比如：注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问？DLL后门还怎么运行？！ 通过使用上边的方法，我想大多数DLL后门都可以“现形”，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果.

❻ C++键盘钩子

g_hKBHook = ::SetWindowsHookEx(WH_KEYBOARD_LL,(HOOKPROC)KeyboardHookProc,g_hInstance,0);//GlobalKeyBoardHook

这是全局的，第一个参数使用WH_KEYBOARD_LL即可