从屏幕抓词的技术实现--附带C++源代码和说明文档

 

前言：

  现在的即时翻译软件种类很多，使用方法也各有千秋，但它们大都有一个

共同的特点：鼠标指到哪儿，就翻译它下面的单词。这大大地方便了用户，但是

从一个编程人员的角度来看就不那么轻松了。因为没有一个方便的函数

类似 ” GetWordUnderMouse() ” 可以得到鼠标下面的单词，那么这些软件是怎么

做的呢？经常在BBS和mailing list里看到和我同样困惑的问着相同问题的网友们。

经过痛苦地研究后，我找到了一种实现的方法，现拿出来和大家共享。

注：这个程序是为NT定做的，只能在NT下运行。

技术概述：

  屏幕上的大多数文字都是由gdi32.dll的以下几个函数显示的：

TextOuA,TextOutW,ExtTextOutA,ExtTextOutW。象user32.dll中的DrawTextA，

DrawTextW都是调用GDI32.DLL的这几个函数实现的。其实大家都知道实现

屏幕抓词的关键是如何截获对这几个函数的调用。我从易到难简要描述一下

实现抓词需要做的几件事：

一、  得到鼠标的当前位置。

二、向鼠标下的窗口发重画消息，让它调用系统函数重画。

三、截获对系统函数的调用，得到发给系统函数的参数。

下面我对每一条逐个详细描述。

实现步骤相关技术的详细描述：

一、  得到鼠标的当前位置

只要装入一个 WH_MOUSE 类型的系统钩子，就可以截获所有的鼠标消息。

SetWindowsHookEx(WH_MOUSE,                //钩子类型

  (HOOKPROC)MouseProc,      //回调函数           

  GetModuleHandle("hookdll.dll"),  //我的动态库

                  0);                          //标明是系统钩子

在回调函数里：

   if ( wParam == WM_MOUSEMOVE ) {

     lpMouseHookStruct = (LPMOUSEHOOKSTRUCT)lParam;

     MousePoint=lpMouseHookStruct->pt;         //这就是鼠标的当前位置

}

二、  向鼠标下的窗口发重画消息，让它调用系统函数重画。

由鼠标的当前位置可以得到它下面的窗口句柄。

HANDLE hwnd= WindowFromPoint(MousePoint);

发重画消息。

 RECT rect;      //这样构造rect是为了简单起见

   ScreenToClient(hwnd,&MousePoint);

   rect.left=MousePoint.x;

   rect.top=MousePoint.y;

   rect.right=MousePoint.x+1;

   rect.bottom=MousePoint.y+ 1 ;

   InvalidateRect(hwnd,&rect,FALSE);

三、  截获对系统函数的调用，得到发给系统函数的参数。

我先作出结论，随后再一条一条地解释。

1、  仿照TextOuA,TextOutW,ExtTextOutA,ExtTextOutW做4个自己的函数，与它们的副本

   拥有相同的参数和返回值，和系统钩子放在同一个DLL里。它们分别是：MyTextOuA,

   MyTextOutW,MyExtTextOutA,MyExtTextOutW。

2、由于系统鼠标钩子已经完成注入其它GUI进程的工作，我们不需要为注入再做工作。

2、  当包含钩子的DLL注入了其它的进程后，寻找映射到这个进程虚拟内存里的各个

   模块（EXE和DLL）的基地址。

3、  得到模块的基地址后，根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR

   数组，看是否引入了gdi32.dll。如是，穷举IMAGE_THUNK_DATA数组，看是否引入了

   TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。

4、如果找到其中之一，将其替换为相应的自己的函数。

下面我对每一步用到的代码和概念进行解释。我们只以TextOutA为例，其余都是相同的。

1、自己的四个函数的代码

    SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");

    BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)

    {

       输出 lpszString 的处理。

      return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);

     }

   我的意图是：当截获了系统调用，每次要显示文字时会调到我的函数，等我显示了

   通过参数传给我的单词后，再交给系统函数处理。

2、由于系统鼠标钩子已经完成注入其它GUI进程的工作，我们不需要注入再做工作。

   如果你知道所有系统钩子的函数必须要在动态库里，你就不会对注入这个词感到奇怪。

   首先，当一个进程隐式或显示调用一个动态库里的函数时，系统都要把这个动态库映射

   到这个进程的虚拟地址空间里。将DLL映射到进程的虚拟地址空间里使得DLL成为

   这个进程的一部分，它以这个进程的身份执行，使用这个进程的堆栈。

图1：DLL映射到进程的虚拟地址空间中

对于一个系统钩子来说，系统自动将包含“钩子回调函数”的DLL映射到受到钩子函数

影响的所有进程的地址空间中。也就说是将这个DLL注入了那些进程。

为什么要注入DLL到别的进程呢？

当执行一个EXE时，系统给它分配4GB的虚拟地址空间并将EXE文件几乎是原封不动

到映射到其中，也就是内存中的映像与磁盘上的文件结构是几乎是相同的。然后，系统将

这个EXE直接和间接使用的DLL也几乎是原封不动到映射到其中。DLL在内存中的映像

与磁盘上的文件也几乎是一样的。为什么说几乎呢？因为PE文件的装载器还是要改一点

内容的，比如动态链接的函数的地址。

当我们编的包含钩子的动态库被注入到进程的地址空间后，它就能够查询被注入的进程的

地址空间，并找到EXE和其余DLL被映射到的虚拟内存的基地址。这是我们的目的。

3、当包含钩子的DLL注入了其它的进程后，寻找映射到虚拟内存的各个模块（EXE和DLL）

   的基地址。

EXE和DLL被映射到虚拟内存空间的什么地方是由它们的基地址决定的。它们的基地址

是在链接时由链接器决定的。当你新建一个Win32工程时，VC++链接器使用缺省的

基地址0x00400000。你如果跟踪进WinMain的时候， hInstance 值总是0x00400000就是上面的

原因。当然也可以通过链接器的/BASE选项改变模块的基地址。

现在我们知道了，EXE通常被映射到虚拟内存的0x00400000处。DLL由于它们也有各自

不同的基地址，通常情况下也被映射到不同进程的相同的虚拟地址空间处。

那么我们怎么才能知道EXE和DLL被映射到哪里了呢？

在win32中，HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的虚拟

内存空间的基地址。比如：

    HMODULE hmodule=GetModuleHandle( “ gdi32.dll ” );

返回的模块句柄强制转换为指针后，就是gdi32.dll被装入的基地址。

关于如何找到虚拟内存空间映射了哪些DLL？我用如下方式实现：

  while(VirtualQuery (base, &mbi, sizeof (mbi))>0)   //穷举每一块内存区域

  {

    if(mbi.Type==MEM_IMAGE)              //是EXE或DLL的映射

    ChangeFuncEntry((DWORD)mbi.BaseAddress,1);  //将基地址作为模块句柄传给我做的函数

    base=(DWORD)mbi.BaseAddress+mbi.RegionSize;    //继续

}

4、得到基地址后，根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR数组，

看是否引入了GDI32.DLL。如是，穷举IMAGE_THUNK_DATA数组，看是否引入了

TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。

5、如果找到其中之一，将其替换为相应的自己的函数。

   在前面已经说过，系统将EXE和DLL原封不动到映射到虚拟内存空间中，它们在内存

   中的结构与磁盘上的静态文件结构是一样的。即PE ( Portable Executable ) 文件格式。

   PE文件格式的详细说明请参见MSDN，这里只说明相关的地方。

   WIN32 EXE与DLL动态链接的概念。

     所有对给定API函数的调用总通过可执行文件的同一个地方转移。那就是一个模块

   (可以是EXE或DLL)的输入地址表(import address table)。那里有所有本模块调用的其它

   DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地址表，由输入

   地址表再跳转到DLL真正的函数入口。例如：

图2：对MessageBox()的调用跳转到输入地址表，从输入地址表再跳转到MessageBox函数

IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA分别对应于DLL和函数。

它们是PE文件的输入地址表的格式，反正只要这样做就好啦：

BOOL ChangeFuncEntry(HMODULE hmodule)

{

    PIMAGE_DOS_HEADER pDOSHeader;

    PIMAGE_NT_HEADERS pNTHeader;

    PIMAGE_IMPORT_DESCRIPTOR pImportDesc;

    /*get system functions and my functions' entry*/

     p SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");

     p MyFunc1= (DWORD)GetProcAddress(GetModuleHandle("hookdll.dll"),"MyTextOutA");

   

    pDOSHeader=(PIMAGE_DOS_HEADER)hmodule;

    if (IsBadReadPtr(hmodule, sizeof(PIMAGE_NT_HEADERS)))

        return FALSE;

    if (pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE)

        return FALSE;

    

pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pDOSHeader+

                            (DWORD)pDOSHeader->e_lfanew);

    if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)

        return FALSE;

    

pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hmodule+

            (DWORD)pNTHeader- > OptionalHeader.DataDirectory                       

              [IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

    if (pImportDesc == (PIMAGE_IMPORT_DESCRIPTOR)pNTHeader) 

       return FALSE;

    

    while (pImportDesc->Name) 

    {

            PIMAGE_THUNK_DATA pThunk;

          strcpy(buffer,(char*)((DWORD)hmodule+(DWORD)pImportDesc->Name));

  CharLower(buffer);

    if(strcmp(buffer,"gdi32.dll"))

    {

            pImportDesc++;

      continue;

  }

  else 

  {

      pThunk=(PIMAGE_THUNK_DATA)((DWORD)hmodule+(DWORD)pImportDesc->FirstThunk);

      while (pThunk->u1.Function) 

      {

         if ((pThunk->u1.Function) ==  pSys Func1) 

      {

                       VirtualProtect((LPVOID)(&pThunk->u1.Function), 

            sizeof(DWORD),PAGE_EXECUTE_READWRITE, &dwProtect);         

              (pThunk->u1.Function)= pMy Func1;

           VirtualProtect((LPVOID)(&pThunk->u1.Function), sizeof(DWORD),dwProtect,&temp);

          }

        pThunk++;

      }

   return 1;  

  }

     }

}

此段程序中的数据结构及其成员请参见winnt.h。

我们替换了输入地址表中TextOutA的入口为MyTextOutA后，截获系统函数调用的

主要部分已经完成，当一个被注入进程调用TextOutA时，其实调的是MyTextOutA，

只需在MyTextOutA中显示传进来的字符串，再交给TextOutA处理即可。

后记：

    完成了这个程序以后觉得对windows系统有了更深的理解。比如中文平台

可能就是截获这几个函数，然后自己做了一套输出中文的函数。再比如我们

可以注入DLL到超户的进程，那么是不是就得到了超户的权限？关于截获

API调用是一个很复杂的问题，注入DLL的方法就有很多，比如

CreateRemoteThread ，win32 debug API等。用系统钩子注入带窗口的进程是

其中的一种比较简单的方法，它对无窗口的进程无效。

这个程序只能在NT上运行。其实我用的方法不是很简单，还有一种更简单

的方法，也许大家已经注意到了，我们可以用GetProcAddress得到TextOutA

的入口，那么我们直接修改入口不是也行吗？具体步骤如下：

1、  用系统钩子注入其它进程。

2、  调用GetProcAddress(GetModuleHandle( “ gdi32.dll ” ), ” TextOutA ” )得到

TextOutA在地址空间中的地址。

3、  用 WriteProcessMemory 函数在TextOutA处写一句跳转到MyTextOutA

的语句。（ 0xE9909090L +MyTextOutA地址）

    这样也会使对TextOutA的调用转向到MyTextOutA。只要在MyTextOutA

中得到参数后再跳回TextOutA即可。

参考文献：

    Windows 95 windows NT 3.5高级编程技术   jeffrey richter著

    Windows 95系统编程奥秘                 matt pietrek著

参考： http://kola100.6to23.com/

 附上源代码：点击下载此文件