Windows热键注册的底层原理

要像系统注册一个全局热键,需要用到RegisterHotKey,函数用法如下(MSDN):
BOOL RegisterHotKey(      
                                          HWND hWnd,
                                          int id,
                                          UINT fsModifiers,
                                          UINT vk
);
    函数功能:该函数定义一个系统范围的热键。
  函数原型:BOOL RegisterHotKey(HWND hWnd,int id,UINT fsModifiers,UINT vk);
  参数:
  hWnd:接收热键产生WM_HOTKEY消息的窗口句柄。若该参数NULL,传递给调用线程的WM_HOTKEY消息必须在消息循环中中进行处理。
  id:定义热键的标识符。调用线程中的其他热键不能使用同样的标识符。应用功能程序必须定义一个0X0000-0xBFFF范围的值。一个共享的动态链接库(DLL)必须

定义一个0xC000-0xFFFF范围的值伯GlobalAddAtom函数返回该范围)。为了避免与其他动态链接库定义的热键冲突,一个DLL必须使用GlobalAddAtom函数获得热键的标

识符。
  fsModifoers:定义为了产生WM_HOTKEY消息而必须与由nVirtKey参数定义的键一起按下的键。该参数可以是如下值的组合:
  MOD_ALT:按下的可以是任一Alt键。MOD_CONTROL:按下的可以是任一Ctrl键。
  MOD_SHIFT:按下的可以是任一Shift键。
  MOD_WIN:按下的可以是任一Windows按键。这些键可以用Microsoft Windows日志记录下来。
  MOD_NOREPEAT:Windows 7或者后续版本: 更改热键行为,以便键盘自动重复不会产生多个热键通知。
  vk:定义热键的虚拟键码。
  返回值:若函数调用成功,返回一个非O值。若函数调用失败,则返回值为0。若要获得更多的错误信息,可以调用GetLastError函数。
  备注:当某键被接下时,系统在所有的热键中寻找匹配者。一旦找到一个匹配的热键,系统将把WM_HOTKEY消息传递给登记了该热键的线程的消息队列。该消息被传

送到队列头部,因此它将在下一轮消息循环中被移去。该函数不能将热键同其他线程创建的窗口关联起来。
  若为一热键定义的击键己被其他热键所定义,则RegisterHotKey函数调用失败。
  若hWnd参数标识的窗口已用与id参数定义的相同的标识符登记了一个热键,则参数fsModifiers和vk的新值将替代这些参数先前定义的值。
  Windows CE:Windows CE 2.0以上版本对于参数fsModifiers支持一个附加的标志位。叫做MOD_KEYUP。
  若设置MOD_KEYUP位,则当发生键被按下或被弹起的事件时,窗口将发送WM_HOTKEY消息。
  RegisterHotKey可以被用来在线程之间登记热键。
  速查:Windows NT:3.1及以上版本;Windows:95及以上版本;Windows CE:不支持;头文件:winuser.h;库文件:Hotkey.lib。
    F12键是调试器所使用的保留,所以不应将其注册为热键


1

2

3

4

#define MOD_ALT         0x0001 =    1

#define MOD_CONTROL     0x0002 =   10

#define MOD_SHIFT       0x0004 =  100

#define MOD_WIN         0x0008 = 1000

在IDA中反汇编RegisterHotKey


1

2

3

4

5

.text:77D1EBB3                 mov     eax, 11EAh       //系统服务号

.text:77D1EBB8                 mov     edx, 7FFE0300h  

.text:77D1EBBD                 call    dword ptr [edx]

.text:77D1EBBF                 retn    10h

.text:77D1EBBF _NtUserRegisterHotK[email protected] endp

系统把服务号保存在eax寄存器,直接call [edx]
OD查看得到7FFE0300


1

2

3

dd 7FFE0300

7FFE0300  7C92E510  ntdll.KiFastSystemCall

7FFE0304  7C92E514  ntdll.KiFastSystemCallRet

Windbg查看得到


1

2

3

4

5

6

lkd> dd ffdf0300 l2

ffdf0300  7c92e510 7c92e514

lkd> u 7c92e510

7c92e510 8bd4            mov     edx,esp

7c92e512 0f34            sysenter

windows中0x7FFE0000和0x0FFDF0000被映射到同一个物理地址,供4KB,但在用户模式下该地址是不可写的,内核模式下的可写,4K空间操作系统占用一部分,
余下的大约有3K
USER:0x7FFE0000
KERNEL:0x0FFDF0000
在Windbg可用dt nt!_KUSER_SHARED_DATA命令查看该共享区域


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

lkd> dt nt!_KUSER_SHARED_DATA

   +0x000 TickCountLow     : Uint4B

   +0x004 TickCountMultiplier : Uint4B

   +0x008 InterruptTime    : _KSYSTEM_TIME

   +0x014 SystemTime       : _KSYSTEM_TIME

   +0x020 TimeZoneBias     : _KSYSTEM_TIME

   +0x02c ImageNumberLow   : Uint2B

   +0x02e ImageNumberHigh  : Uint2B

   +0x030 NtSystemRoot     : [260] Uint2B

   +0x238 MaxStackTraceDepth : Uint4B

   +0x23c CryptoExponent   : Uint4B

   +0x240 TimeZoneId       : Uint4B

   +0x244 Reserved2        : [8] Uint4B

   +0x264 NtProductType    : _NT_PRODUCT_TYPE

   +0x268 ProductTypeIsValid : UChar

   +0x26c NtMajorVersion   : Uint4B

   +0x270 NtMinorVersion   : Uint4B

   +0x274 ProcessorFeatures : [64] UChar

   +0x2b4 Reserved1        : Uint4B

   +0x2b8 Reserved3        : Uint4B

   +0x2bc TimeSlip         : Uint4B

   +0x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE

   +0x2c8 SystemExpirationDate : _LARGE_INTEGER

   +0x2d0 SuiteMask        : Uint4B

   +0x2d4 KdDebuggerEnabled : UChar

   +0x2d5 NXSupportPolicy  : UChar

   +0x2d8 ActiveConsoleId  : Uint4B

   +0x2dc DismountCount    : Uint4B

   +0x2e0 ComPlusPackage   : Uint4B

   +0x2e4 LastSystemRITEventTickCount : Uint4B

   +0x2e8 NumberOfPhysicalPages : Uint4B

   +0x2ec SafeBootMode     : UChar

   +0x2f0 TraceLogging     : Uint4B

   +0x2f8 TestRetInstruction : Uint8B

   +0x300 SystemCall       : Uint4B

   +0x304 SystemCallReturn : Uint4B

   +0x308 SystemCallPad    : [3] Uint8B

   +0x320 TickCount        : _KSYSTEM_TIME

   +0x320 TickCountQuad    : Uint8B

   +0x330 Cookie           : Uint4B

11EA = 1000111101010 = 13~14位选择服务描述表,选择KeServiceDescriptorTableShadow,系统共有4个服务描述表,第一个在ntoskrnl.exe中
并导出KeServiceDescriptorTable指针

可见该函数没做任何处理直接进入内核(win32k.sys)中,在Windbg反汇编:


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

lkd> uf win32k!NtUserRegisterHotKey

win32k!NtUserRegisterHotKey+0x34:

bf899720 33c0            xor     eax,eax        //eax = NULL

bf899722 eb29            jmp     win32k!NtUserRegisterHotKey+0x36 (bf89974d)

win32k!NtUserRegisterHotKey:

bf899729 8bff            mov     edi,edi

bf89972b 55              push    ebp

bf89972c 8bec            mov     ebp,esp

bf89972e 56              push    esi

bf89972f e8b673f6ff      call    win32k!EnterCrit (bf800aea)

bf899734 f74510f07fffff  test    dword ptr [ebp+10h],0FFFF7FF0h     //fsModifiers是否有效,是否大于1000b 11111111111111110111111111110000

bf89973b 752d            jne     win32k!NtUserRegisterHotKey+0x14 (bf89976a)//fsModifiers无效则跳转

win32k!NtUserRegisterHotKey+0x20:

bf89973d 8b4d08          mov     ecx,dword ptr [ebp+8]  //hWnd

bf899740 85c9            test    ecx,ecx   

bf899742 74dc            je      win32k!NtUserRegisterHotKey+0x34 (bf899720)//hWnd == NULL

win32k!NtUserRegisterHotKey+0x27:

bf899744 e86a7ef6ff      call    win32k!ValidateHwnd (bf8015b3)//则验证句柄

bf899749 85c0            test    eax,eax   

bf89974b 7427            je      win32k!NtUserRegisterHotKey+0x30 (bf899774) //返回NULL

win32k!NtUserRegisterHotKey+0x36:

bf89974d ff7514          push    dword ptr [ebp+14h]    //vk

bf899750 ff7510          push    dword ptr [ebp+10h]    //fsModifiers

bf899753 ff750c          push    dword ptr [ebp+0Ch]    //id

bf899756 50              push    eax            //pWnd

bf899757 e8aefeffff      call    win32k!_RegisterHotKey (bf89960a)

bf89975c 8bf0            mov     esi,eax

win32k!NtUserRegisterHotKey+0x47:

bf89975e e8b373f6ff      call    win32k!LeaveCrit (bf800b16)

bf899763 8bc6            mov     eax,esi

bf899765 5e              pop     esi

bf899766 5d              pop     ebp

bf899767 c21000          ret     10h

win32k!NtUserRegisterHotKey+0x14:

bf89976a 68ec030000      push    3ECh       //错误码:1004,参数无效

bf89976f e83da0f6ff      call    win32k!UserSetLastError (bf8037b1)

win32k!NtUserRegisterHotKey+0x30:

bf899774 33f6            xor     esi,esi

bf899776 ebe6            jmp     win32k!NtUserRegisterHotKey+0x47 (bf89975e)

/***************************************/

PWND FASTCALL ValidateHwnd(

     HWND hwnd);

//NtUserRegisterHotKey伪代码:


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

BOOLEN APIENTRY

NtUserRegisterHotKey(HWND hWnd,

                     int id,

                     UINT fsModifiers,

                     UINT vk)

{

    BOOLEN bRet;

    PWND pWnd = NULL;

    EnterCrit();

    if(!(fsModifiers & 0x0FFFF7FF0h))

    {

        if(hWnd)

        {

            pWnd = ValidateHwnd(hWnd);

        }

        bRet = _RegisterHotKey(pWnd,id,fsModifiers,vk);

    }

    else

    {

        UserSetLastError(1004);//1004无效标志

        bRet = FALSE;

    }      

    LeaveCrit();

    return bRet;

}

//系统热键结构:


1

2

3

4

5

6

7

8

9

typedef struct _HOT_KEY_ITEM

    PETHREAD Thread;

    HWND spwnd;

    UINT fsModifiers;   

    UINT vk;

    int id;

    struct _HOT_KEY_ITEM phkNext;

} HOT_KEY_ITEM, *PHOT_KEY_ITEM;

_RegisterHotKey伪代码如下:


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

BOOL _RegisterHotKey(

                     PWND pwnd,

                     int id,

                     UINT fsModifiers,

                     UINT vk)

{

    PHOT_KEY_ITEM phk;

    BOOL fKeysExist = FALSE;

    PTHREADINFO ptiCurrent;

    PWINDOWSTATION pwinsta = _GetProcessWindowStation(NULL);

    DWORD ErrorCode;

    

    ptiCurrent = gptiCurrent;

    //如果调用者不是WindowStation初始化的线程和不适当的权限

    if(grpwinstaList && !CheckWinstaWriteAttributesAccess())

    {

        return FALSE;

    }

    //不能为其他线程的窗口注册热键

    if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER))

    {

        if (GETPTI(pwnd) != ptiCurrent)

        {

            UserSetLastError(1408); //1408错误码:无效窗口;它属于另一线程。

            return FALSE;

        }

    }

    

    phk = FindHotKey(ptiCurrent, pwnd, id, fsModifiers, vk, FALSE, &fKeysExist);

    //如果其他线程已经注册过该热键,返回FALSE

    if (fKeysExist)

    {

        UserSetLastError(1409); //1409错误码:热键已被注册

        return FALSE;

    }

    

    if (phk == NULL)

    {

        //热键并未被注册

        phk = (PHOT_KEY_ITEM)HeavyAllocPool(sizeof(HOT_KEY_ITEM), TAG_HOTKEY);

        //分配失败,返回FALSE

        if (phk == NULL)

        {

            return FALSE;

        }

        

        phk->pti = ptiCurrent;

        

        if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER))

        {

            phk->spwnd = NULL;

            HMAssignmentLock(&phk->spwnd, pwnd);

        }

        else

        {

            phk->spwnd = pwnd;

        }

        phk->fsModifiers = fsModifiers;

        phk->vk = vk;

        phk->id id;

        //插入到系统热键链表中

        //gphkFirst - 这是不导出变量存储了系统结构热键(phkNext指向下一个热键结构域)地址

        phk->phkNext = gphkFirst;

        gphkFirst = phk;

        

    }

    else

    {

        //如果本线程已注册过该热键,则重新覆盖

        phk->fsModifiers = fsModifiers;

        phk->vk = vk;

    }  

    return TRUE;

}

//用Windbg查看下gphkFirst


1

2

lkd> dd gphkFirst L1

bf9af814  e2ce10d8

e2ce10d8就是最近一次软件向系统注册的全局热键,继续


1

2

3

lkd> dd e2ce10d8 l6

e2ce10d8  e2265008 bbe35a28 00000003 00000054

e2ce10e8  0000c024 e2291a68

e2265008 是ETHREAD,查看发现是QQ的一个线程
bbe35a28 是窗口句柄
00000003 是功能键11,说明有Ctrl+Alt键
00000054 是VK_?,0x54对应ASCI码的大写T,Ctrl+ATL+T(QQ上:发送腾讯微博的)
0000c024 是热键的ID
e2291a68 是下一个热键结构


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

PHOT_KEY_ITEM FindHotKey(

                   PTHREADINFO ptiCurrent,

                   PWND pwnd,

                   int id,

                   UINT fsModifiers,

                   UINT vk,

                   BOOL fUnregister,

                   PBOOL pfKeysExist)

{

    PHOT_KEY_ITEM phk, phkRet, phkPrev;

    //初始化返回值

    *pfKeysExist = FALSE;

    phkRet = NULL;

    

    phk = gphkFirst;

    

    while (phk)

    {

    

        if ((phk->pti == ptiCurrent) && (phk->spwnd == pwnd) && (phk->id == id))

        {

            if (fUnregister)

            {

                //摘掉热键

                if (phk == gphkFirst)

                {

                    gphkFirst = phk->phkNext;

                }

                else

                {

                    phkPrev->phkNext = phk->phkNext;

                }

                

                if ((pwnd != PWND_FOCUS) && (pwnd != PWND_INPUTOWNER))

                {

                    Unlock(&phk->spwnd);

                }

                UserFreePool((PVOID)phk);

                

                return((PHOT_KEY_ITEM)1);

            }

            phkRet = phk;

        }

        //如果热键已经注册过,设置已存在标志

        if ((phk->fsModifiers == fsModifiers) && (phk->vk == vk))

        {

            if (phk->spwnd == PWND_FOCUS)

            {

                if (phk->pti == ptiCurrent)

                {

                    *pfKeysExist = TRUE;

                }

            }

            else

            {

                *pfKeysExist = TRUE;

            }

        }

        

        phkPrev = phk;

        phk = phk->phkNext;

    }

    

    return phkRet;

}

//遍历系统热键


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

VOID DumpHotKeys()

{

    ULONG dwAddr;

    KAPC_STATE ApcState;

    PETHREAD pThread;

    PEPROCESS pProc;

    PHOTKEY phk;

    //必须在GUI线程中遍历

    KeStackAttachProcess( pExpEprocess , &ApcState );

    dwAddr = *(PULONG)gphkFirst;

    KeUnstackDetachProcess(&ApcState);

    phk = (PHOTKEY)dwAddr;

    //解析系统所有热键

    while( phk != NULL )

    {

        pThread = *(PULONG)phk->pti;

        //0x220位置指向当前线程的EPROCESS

        pProc   = *(PULONG)( (ULONG)pThread + 0x220 );

        //EPROCESS + 0x174指向进程名字

        KdPrint(("Process Name : %s\n" , (ULONG)pProc + 0x174 ));

        KdPrint(("id : %d\n" , phk->id ));

        KdPrint(("Combination : %s + %X\n" , GetButton( phk->fsModifiers ) , phk->vk ));

        KdPrint(("------------------------------------------\n"));

        phk = phk->phkNext;

    }

}

快讯:科锐逆向工程师培训(第32期,10月10日开学)!

https://bbs.pediy.com/thread-135455.htm

原文地址:https://www.cnblogs.com/findumars/p/9774770.html

时间: 2024-07-31 21:58:59

Windows热键注册的底层原理的相关文章

C# 注册 Windows 热键

原文:C# 注册 Windows 热键 闲扯: 前几日,一个朋友问我如何实现按 F1 键实现粘贴(Ctrl+V)功能,百度了一个方法,发给他,他看不懂(已经是 Boss 的曾经的码农),我就做了个Demo给他参考.今日得空,将 Demo 整理一下,做为收集,也给大家一个参考. Begin: 注册系统热键,.net 类库好像没有提供现成的方法,需要使用系统提供的 DLL. 微软将许多常用的系统函数都封装在 user32.dll 中,注册系统热键使用到的 RegisterHotKey 函数和 Unr

MVC底层原理

窥探ASP.Net MVC底层原理 实现跨越Session的分布式TempData 1.问题的引出 我相信大家在项目中都使用过TempData,TempData是一个字典集合,一般用于两个请求之间临时缓存数据或者页面之间传递消息.也都知道TempData是用Session来实现的,既然是用Session来实现的,那么模式就是线程模式,这样的Session是没法用到分布式系统中的,那么在多台机器上部署,怎么做到Session在多台机器中共存,这就涉及到分布式存储.那该如何实现TempData的分布

激活码方式注册的实现原理述

加密混淆授权 1. 软件授权方式概述 目前,商用软件和共享软件绝大部份都是采用注册码授权的方式来保证软件本身不被盗用,以保证自身的利益.尽管很多常用的许多软件系统的某些版本已经被别人破解,但对于软件特殊行业而言,注册码授权的方式还是一种保护软件系统本身的一种有效的手段. 通常而言,注册码授权方式有以下几种方式: l 安装序列号方式 这是最为常用的方式,Microsoft提供的产品(例如:Windows系列产品.Office系列产品等等)都是采用这种方式.通过一种复杂的算法生成安装序列号,在安装过

使用WinAPI全局热键注册和全局模拟按键

一.全局热键注册 1.先引用DLL [System.Runtime.InteropServices.DllImport("user32.dll")] //导入WinAPI public static extern bool RegisterHotKey( //设置热键 IntPtr hWnd, // 窗口句柄,一般使用Handle属性 int id, // 区别热键的ID号,这个可以随便写,只是用来区分不同热键 uint fsModifiers, // 修正键用户接下哪些键是发生 可能

快速构建Windows 8风格应用16-SettingContract原理及构建

原文:快速构建Windows 8风格应用16-SettingContract原理及构建 本篇博文主要介绍Setting Contract概述.Setting Contract实现基本原理.如何构建Setting Contract.构建Setting Contract最佳实践. Setting Contract概述 1)  Setting Contract在当前的应用中提供了快速.上下文相关的沉浸式的设置访问体验: 2)  Setting Contract始终是可用的: 3)  设置包括始终可用的

理解SQL查询的底层原理

阅读目录 一.SQL Server组成部分 二.查询的底层原理 本系列[T-SQL]主要是针对T-SQL的总结. T-SQL基础 [T-SQL基础]01.单表查询-几道sql查询题 [T-SQL基础]02.联接查询 [T-SQL基础]03.子查询 [T-SQL基础]04.表表达式-上篇 [T-SQL基础]04.表表达式-下篇 [T-SQL基础]05.集合运算 [T-SQL基础]06.透视.逆透视.分组集 [T-SQL基础]07.数据修改 [T-SQL基础]08.事务和并发 [T-SQL基础]09

Spring Cloud底层原理

目录 一.业务场景介绍 二.Spring Cloud核心组件:Eureka 三.Spring Cloud核心组件:Feign 四.Spring Cloud核心组件:Ribbon 五.Spring Cloud核心组件:Hystrix 六.Spring Cloud核心组件:Zuul 七.总结 概述 毫无疑问,Spring Cloud是目前微服务架构领域的翘楚,无数的书籍博客都在讲解这个技术.不过大多数讲解还停留在对Spring Cloud功能使用的层面,其底层的很多原理,很多人可能并不知晓.因此本文

面试请不要再问我Spring Cloud底层原理

概述 毫无疑问,Spring Cloud是目前微服务架构领域的翘楚,无数的书籍博客都在讲解这个技术.不过大多数讲解还停留在对Spring Cloud功能使用的层面,其底层的很多原理,很多人可能并不知晓.因此本文将通过大量的手绘图,给大家谈谈Spring Cloud微服务架构的底层原理. 实际上,Spring Cloud是一个全家桶式的技术栈,包含了很多组件.本文先从其最核心的几个组件入手,来剖析一下其底层的工作原理.也就是Eureka.Ribbon.Feign.Hystrix.Zuul这几个组件

通过子类实现KVO,浅析KVO底层原理

通过手动实现KVO,对KVO底层原理有一定认识. KVO只要是通过监听set方法,从而实现对该对象的监听. 要监听set方法,有两种实现方式,第一就是使用分类,重写set方法,但是这样就会覆盖父类的set方法,所以不可行,pass掉. 第二就是使用子类,把父类的isa指针改为子类.然后调用父类色set方法,最后调用回调方法,该方案可行. 首先是注册监听,在调用监听方法的时候,会动态实现子类,把observer保存到子类的属性中(弱引用weak类型,不能使用strong,会造成循环引用),并且把类