Windows熱鍵註冊原理
要像系統註冊一個全域性熱鍵,需要用到RegisterHotKey,函式用法如下(MSDN):
BOOLRegisterHotKey(
HWNDhWnd,
intid,
UINTfsModifiers,
UINTvk
);
函式功能:該函式定義一個系統範圍的熱鍵。
函式原型:BOOLRegisterHotKey(HWNDhWnd,intid,UINTfsModifiers,UINTvk);
引數:
hWnd:接收熱鍵產生WM_HOTKEY訊息的視窗控制程式碼。若該引數NULL,傳遞給呼叫執行緒的WM_HOTKEY訊息必須在訊息迴圈中中進行處理。
id:定義熱鍵的識別符號。呼叫執行緒中的其他熱鍵不能使用同樣的識別符號。應用功能程式必須定義一個0X0000-0xBFFF範圍的值。一個共享的動態連結庫(DLL)必須
定義一個0xC000-0xFFFF範圍的值伯GlobalAddAtom函式返回該範圍)。為了避免與其他動態連結庫定義的熱鍵衝突,一個DLL必須使用GlobalAddAtom函式獲得熱鍵的標
識符。
fsModifoers:定義為了產生WM_HOTKEY訊息而必須與由nVirtKey引數定義的鍵一起按下的鍵。該引數可以是如下值的組合:
MOD_ALT:按下的可以是任一Alt鍵。MOD_CONTROL:按下的可以是任一Ctrl鍵。
MOD_SHIFT:按下的可以是任一Shift鍵。
MOD_WIN:按下的可以是任一Windows按鍵。這些鍵可以用MicrosoftWindows日誌記錄下來。
MOD_NOREPEAT:Windows7或者後續版本:更改熱鍵行為,以便鍵盤自動重複不會產生多個熱鍵通知。
vk:定義熱鍵的虛擬鍵碼。
返回值:若函式呼叫成功,返回一個非O值。若函式呼叫失敗,則返回值為0。若要獲得更多的錯誤資訊,可以呼叫GetLastError函式。
備註:當某鍵被接下時,系統在所有的熱鍵中尋找匹配者。一旦找到一個匹配的熱鍵,系統將把WM_HOTKEY訊息傳遞給登記了該熱鍵的執行緒的訊息佇列。該訊息被傳
送到佇列頭部,因此它將在下一輪訊息迴圈中被移去。該函式不能將熱鍵同其他執行緒建立的視窗關聯起來。
若為一熱鍵定義的擊鍵己被其他熱鍵所定義,則RegisterHotKey函式呼叫失敗。
若hWnd引數標識的視窗已用與id引數定義的相同的識別符號登記了一個熱鍵,則引數fsModifiers和vk的新值將替代這些引數先前定義的值。
WindowsCE:WindowsCE2.0以上版本對於引數fsModifiers支援一個附加的標誌位。叫做MOD_KEYUP。
若設定MOD_KEYUP位,則當發生鍵被按下或被彈起的事件時,視窗將傳送WM_HOTKEY訊息。
RegisterHotKey可以被用來線上程之間登記熱鍵。
速查:WindowsNT:3.1及以上版本;Windows:95及以上版本;WindowsCE:不支援;標頭檔案:winuser.h;庫檔案:Hotkey.lib。
F12鍵是偵錯程式所使用的保留,所以不應將其註冊為熱鍵
在IDA中反彙編RegisterHotKey
系統把服務號儲存在eax暫存器,直接call[edx]
OD檢視得到7FFE0300
Windbg檢視得到
windows中0x7FFE0000和0x0FFDF0000被對映到同一個實體地址,供4KB,但在使用者模式下該地址是不可寫的,核心模式下的可寫,4K空間作業系統佔用一部分,
餘下的大約有3K
USER:0x7FFE0000
KERNEL:0x0FFDF0000
在Windbg可用dtnt!_KUSER_SHARED_DATA命令檢視該共享區域
11EA=1000111101010=13~14位選擇服務描述表,選擇KeServiceDescriptorTableShadow,系統共有4個服務描述表,第一個在ntoskrnl.exe中
並匯出KeServiceDescriptorTable指標
可見該函式沒做任何處理直接進入核心(win32k.sys)中,在Windbg反彙編:
//NtUserRegisterHotKey虛擬碼:
//系統熱鍵結構:
_RegisterHotKey虛擬碼如下:
//用Windbg檢視下gphkFirst
e2ce10d8就是最近一次軟體向系統註冊的全域性熱鍵,繼續
e2265008是ETHREAD,檢視發現是QQ的一個執行緒
bbe35a28是視窗控制程式碼
00000003是功能鍵11,說明有Ctrl+Alt鍵
00000054是VK_?,0x54對應ASCI碼的大寫T,Ctrl+ATL+T(QQ上:傳送騰訊微博的)
0000c024是熱鍵的ID
e2291a68是下一個熱鍵結構
//遍歷系統熱鍵
BOOLRegisterHotKey(
HWNDhWnd,
intid,
UINTfsModifiers,
UINTvk
);
函式功能:該函式定義一個系統範圍的熱鍵。
函式原型:BOOLRegisterHotKey(HWNDhWnd,intid,UINTfsModifiers,UINTvk);
引數:
hWnd:接收熱鍵產生WM_HOTKEY訊息的視窗控制程式碼。若該引數NULL,傳遞給呼叫執行緒的WM_HOTKEY訊息必須在訊息迴圈中中進行處理。
id:定義熱鍵的識別符號。呼叫執行緒中的其他熱鍵不能使用同樣的識別符號。應用功能程式必須定義一個0X0000-0xBFFF範圍的值。一個共享的動態連結庫(DLL)必須
定義一個0xC000-0xFFFF範圍的值伯GlobalAddAtom函式返回該範圍)。為了避免與其他動態連結庫定義的熱鍵衝突,一個DLL必須使用GlobalAddAtom函式獲得熱鍵的標
識符。
fsModifoers:定義為了產生WM_HOTKEY訊息而必須與由nVirtKey引數定義的鍵一起按下的鍵。該引數可以是如下值的組合:
MOD_ALT:按下的可以是任一Alt鍵。MOD_CONTROL:按下的可以是任一Ctrl鍵。
MOD_SHIFT:按下的可以是任一Shift鍵。
MOD_WIN:按下的可以是任一Windows按鍵。這些鍵可以用MicrosoftWindows日誌記錄下來。
MOD_NOREPEAT:Windows7或者後續版本:更改熱鍵行為,以便鍵盤自動重複不會產生多個熱鍵通知。
vk:定義熱鍵的虛擬鍵碼。
返回值:若函式呼叫成功,返回一個非O值。若函式呼叫失敗,則返回值為0。若要獲得更多的錯誤資訊,可以呼叫GetLastError函式。
備註:當某鍵被接下時,系統在所有的熱鍵中尋找匹配者。一旦找到一個匹配的熱鍵,系統將把WM_HOTKEY訊息傳遞給登記了該熱鍵的執行緒的訊息佇列。該訊息被傳
送到佇列頭部,因此它將在下一輪訊息迴圈中被移去。該函式不能將熱鍵同其他執行緒建立的視窗關聯起來。
若為一熱鍵定義的擊鍵己被其他熱鍵所定義,則RegisterHotKey函式呼叫失敗。
若hWnd引數標識的視窗已用與id引數定義的相同的識別符號登記了一個熱鍵,則引數fsModifiers和vk的新值將替代這些引數先前定義的值。
WindowsCE:WindowsCE2.0以上版本對於引數fsModifiers支援一個附加的標誌位。叫做MOD_KEYUP。
若設定MOD_KEYUP位,則當發生鍵被按下或被彈起的事件時,視窗將傳送WM_HOTKEY訊息。
RegisterHotKey可以被用來線上程之間登記熱鍵。
速查:WindowsNT:3.1及以上版本;Windows:95及以上版本;WindowsCE:不支援;標頭檔案:winuser.h;庫檔案:Hotkey.lib。
F12鍵是偵錯程式所使用的保留,所以不應將其註冊為熱鍵
程式碼:
#defineMOD_ALT0x0001=1 #defineMOD_CONTROL0x0002=10 #defineMOD_SHIFT0x0004=100 #defineMOD_WIN0x0008=1000
在IDA中反彙編RegisterHotKey
程式碼:
.text:77D1EBB3moveax,11EAh//系統服務號 .text:77D1EBB8movedx,7FFE0300h .text:77D1EBBDcalldwordptr[edx] .text:77D1EBBFretn10h .text:77D1EBBF_NtUserRegisterHotKey@16endp
OD檢視得到7FFE0300
程式碼:
dd7FFE0300 7FFE03007C92E510ntdll.KiFastSystemCall 7FFE03047C92E514ntdll.KiFastSystemCallRet
程式碼:
lkd>ddffdf0300l2 ffdf03007c92e5107c92e514 lkd>u7c92e510 7c92e5108bd4movedx,esp 7c92e5120f34sysenter
餘下的大約有3K
USER:0x7FFE0000
KERNEL:0x0FFDF0000
在Windbg可用dtnt!_KUSER_SHARED_DATA命令檢視該共享區域
程式碼:
lkd>dtnt!_KUSER_SHARED_DATA +0x000TickCountLow:Uint4B +0x004TickCountMultiplier:Uint4B +0x008InterruptTime:_KSYSTEM_TIME +0x014SystemTime:_KSYSTEM_TIME +0x020TimeZoneBias:_KSYSTEM_TIME +0x02cImageNumberLow:Uint2B +0x02eImageNumberHigh:Uint2B +0x030NtSystemRoot:[260]Uint2B +0x238MaxStackTraceDepth:Uint4B +0x23cCryptoExponent:Uint4B +0x240TimeZoneId:Uint4B +0x244Reserved2:[8]Uint4B +0x264NtProductType:_NT_PRODUCT_TYPE +0x268ProductTypeIsValid:UChar +0x26cNtMajorVersion:Uint4B +0x270NtMinorVersion:Uint4B +0x274ProcessorFeatures:[64]UChar +0x2b4Reserved1:Uint4B +0x2b8Reserved3:Uint4B +0x2bcTimeSlip:Uint4B +0x2c0AlternativeArchitecture:_ALTERNATIVE_ARCHITECTURE_TYPE +0x2c8SystemExpirationDate:_LARGE_INTEGER +0x2d0SuiteMask:Uint4B +0x2d4KdDebuggerEnabled:UChar +0x2d5NXSupportPolicy:UChar +0x2d8ActiveConsoleId:Uint4B +0x2dcDismountCount:Uint4B +0x2e0ComPlusPackage:Uint4B +0x2e4LastSystemRITEventTickCount:Uint4B +0x2e8NumberOfPhysicalPages:Uint4B +0x2ecSafeBootMode:UChar +0x2f0TraceLogging:Uint4B +0x2f8TestRetInstruction:Uint8B +0x300SystemCall:Uint4B +0x304SystemCallReturn:Uint4B +0x308SystemCallPad:[3]Uint8B +0x320TickCount:_KSYSTEM_TIME +0x320TickCountQuad:Uint8B +0x330Cookie:Uint4B
並匯出KeServiceDescriptorTable指標
可見該函式沒做任何處理直接進入核心(win32k.sys)中,在Windbg反彙編:
程式碼:
lkd>ufwin32k!NtUserRegisterHotKey win32k!NtUserRegisterHotKey+0x34: bf89972033c0xoreax,eax//eax=NULL bf899722eb29jmpwin32k!NtUserRegisterHotKey+0x36(bf89974d) win32k!NtUserRegisterHotKey: bf8997298bffmovedi,edi bf89972b55pushebp bf89972c8becmovebp,esp bf89972e56pushesi bf89972fe8b673f6ffcallwin32k!EnterCrit(bf800aea) bf899734f74510f07ffffftestdwordptr[ebp+10h],0FFFF7FF0h//fsModifiers是否有效,是否大於1000b11111111111111110111111111110000 bf89973b752djnewin32k!NtUserRegisterHotKey+0x14(bf89976a)//fsModifiers無效則跳轉 win32k!NtUserRegisterHotKey+0x20: bf89973d8b4d08movecx,dwordptr[ebp+8]//hWnd bf89974085c9testecx,ecx bf89974274dcjewin32k!NtUserRegisterHotKey+0x34(bf899720)//hWnd==NULL win32k!NtUserRegisterHotKey+0x27: bf899744e86a7ef6ffcallwin32k!ValidateHwnd(bf8015b3)//則驗證控制程式碼 bf89974985c0testeax,eax bf89974b7427jewin32k!NtUserRegisterHotKey+0x30(bf899774)//返回NULL win32k!NtUserRegisterHotKey+0x36: bf89974dff7514pushdwordptr[ebp+14h]//vk bf899750ff7510pushdwordptr[ebp+10h]//fsModifiers bf899753ff750cpushdwordptr[ebp+0Ch]//id bf89975650pusheax//pWnd bf899757e8aefeffffcallwin32k!_RegisterHotKey(bf89960a) bf89975c8bf0movesi,eax win32k!NtUserRegisterHotKey+0x47: bf89975ee8b373f6ffcallwin32k!LeaveCrit(bf800b16) bf8997638bc6moveax,esi bf8997655epopesi bf8997665dpopebp bf899767c21000ret10h win32k!NtUserRegisterHotKey+0x14: bf89976a68ec030000push3ECh//錯誤碼:1004,引數無效 bf89976fe83da0f6ffcallwin32k!UserSetLastError(bf8037b1) win32k!NtUserRegisterHotKey+0x30: bf89977433f6xoresi,esi bf899776ebe6jmpwin32k!NtUserRegisterHotKey+0x47(bf89975e) /***************************************/ PWNDFASTCALLValidateHwnd( HWNDhwnd);
程式碼:
BOOLENAPIENTRY
NtUserRegisterHotKey(HWNDhWnd,
intid,
UINTfsModifiers,
UINTvk)
{
BOOLENbRet;
PWNDpWnd=NULL;
EnterCrit();
if(!(fsModifiers&0x0FFFF7FF0h))
{
if(hWnd)
{
pWnd=ValidateHwnd(hWnd);
}
bRet=_RegisterHotKey(pWnd,id,fsModifiers,vk);
}
else
{
UserSetLastError(1004);//1004無效標誌
bRet=FALSE;
}
LeaveCrit();
returnbRet;
}
程式碼:
typedefstruct_HOT_KEY_ITEM
{
PETHREADThread;
HWNDspwnd;
UINTfsModifiers;
UINTvk;
intid;
struct_HOT_KEY_ITEMphkNext;
}HOT_KEY_ITEM,*PHOT_KEY_ITEM;
程式碼:
BOOL_RegisterHotKey(
PWNDpwnd,
intid,
UINTfsModifiers,
UINTvk)
{
PHOT_KEY_ITEMphk;
BOOLfKeysExist=FALSE;
PTHREADINFOptiCurrent;
PWINDOWSTATIONpwinsta=_GetProcessWindowStation(NULL);
DWORDErrorCode;
ptiCurrent=gptiCurrent;
//如果呼叫者不是WindowStation初始化的執行緒和不適當的許可權
if(grpwinstaList&&!CheckWinstaWriteAttributesAccess())
{
returnFALSE;
}
//不能為其他執行緒的視窗註冊熱鍵
if((pwnd!=PWND_FOCUS)&&(pwnd!=PWND_INPUTOWNER))
{
if(GETPTI(pwnd)!=ptiCurrent)
{
UserSetLastError(1408);//1408錯誤碼:無效視窗;它屬於另一執行緒。
returnFALSE;
}
}
phk=FindHotKey(ptiCurrent,pwnd,id,fsModifiers,vk,FALSE,&fKeysExist);
//如果其他執行緒已經註冊過該熱鍵,返回FALSE
if(fKeysExist)
{
UserSetLastError(1409);//1409錯誤碼:熱鍵已被註冊
returnFALSE;
}
if(phk==NULL)
{
//熱鍵並未被註冊
phk=(PHOT_KEY_ITEM)HeavyAllocPool(sizeof(HOT_KEY_ITEM),TAG_HOTKEY);
//分配失敗,返回FALSE
if(phk==NULL)
{
returnFALSE;
}
phk->pti=ptiCurrent;
if((pwnd!=PWND_FOCUS)&&(pwnd!=PWND_INPUTOWNER))
{
phk->spwnd=NULL;
HMAssignmentLock(&phk->spwnd,pwnd);
}
else
{
phk->spwnd=pwnd;
}
phk->fsModifiers=fsModifiers;
phk->vk=vk;
phk->id=id;
//插入到系統熱鍵連結串列中
//gphkFirst-這是不匯出變數儲存了系統結構熱鍵(phkNext指向下一個熱鍵結構域)地址
phk->phkNext=gphkFirst;
gphkFirst=phk;
}
else
{
//如果本執行緒已註冊過該熱鍵,則重新覆蓋
phk->fsModifiers=fsModifiers;
phk->vk=vk;
}
returnTRUE;
}
程式碼:
lkd>ddgphkFirstL1 bf9af814e2ce10d8
e2ce10d8就是最近一次軟體向系統註冊的全域性熱鍵,繼續
程式碼:
lkd>dde2ce10d8l6 e2ce10d8e2265008bbe35a280000000300000054 e2ce10e80000c024e2291a68
bbe35a28是視窗控制程式碼
00000003是功能鍵11,說明有Ctrl+Alt鍵
00000054是VK_?,0x54對應ASCI碼的大寫T,Ctrl+ATL+T(QQ上:傳送騰訊微博的)
0000c024是熱鍵的ID
e2291a68是下一個熱鍵結構
程式碼:
PHOT_KEY_ITEMFindHotKey(
PTHREADINFOptiCurrent,
PWNDpwnd,
intid,
UINTfsModifiers,
UINTvk,
BOOLfUnregister,
PBOOLpfKeysExist)
{
PHOT_KEY_ITEMphk,phkRet,phkPrev;
//初始化返回值
*pfKeysExist=FALSE;
phkRet=NULL;
phk=gphkFirst;
while(phk)
{
if((phk->pti==ptiCurrent)&&(phk->spwnd==pwnd)&&(phk->id==id))
{
if(fUnregister)
{
//摘掉熱鍵
if(phk==gphkFirst)
{
gphkFirst=phk->phkNext;
}
else
{
phkPrev->phkNext=phk->phkNext;
}
if((pwnd!=PWND_FOCUS)&&(pwnd!=PWND_INPUTOWNER))
{
Unlock(&phk->spwnd);
}
UserFreePool((PVOID)phk);
return((PHOT_KEY_ITEM)1);
}
phkRet=phk;
}
//如果熱鍵已經註冊過,設定已存在標誌
if((phk->fsModifiers==fsModifiers)&&(phk->vk==vk))
{
if(phk->spwnd==PWND_FOCUS)
{
if(phk->pti==ptiCurrent)
{
*pfKeysExist=TRUE;
}
}
else
{
*pfKeysExist=TRUE;
}
}
phkPrev=phk;
phk=phk->phkNext;
}
returnphkRet;
}
程式碼:
VOIDDumpHotKeys()
{
ULONGdwAddr;
KAPC_STATEApcState;
PETHREADpThread;
PEPROCESSpProc;
PHOTKEYphk;
//必須在GUI執行緒中遍歷
KeStackAttachProcess(pExpEprocess,&ApcState);
dwAddr=*(PULONG)gphkFirst;
KeUnstackDetachProcess(&ApcState);
phk=(PHOTKEY)dwAddr;
//解析系統所有熱鍵
while(phk!=NULL)
{
pThread=*(PULONG)phk->pti;
//0x220位置指向當前執行緒的EPROCESS
pProc=*(PULONG)((ULONG)pThread+0x220);
//EPROCESS+0x174指向程式名字
KdPrint(("ProcessName:%s\n",(ULONG)pProc+0x174));
KdPrint(("id:%d\n",phk->id));
KdPrint(("Combination:%s+%X\n",GetButton(phk->fsModifiers),phk->vk));
KdPrint(("------------------------------------------\n"));
phk=phk->phkNext;
}
}
相關文章
- nacos 服務註冊原理
- ElasticSearch註冊Windows服務ElasticsearchWindows
- 註冊無需視窗全域性常用熱鍵快捷鍵 2024年8月11日
- Dubbo 中 Zookeeper 註冊中心原理分析
- 將IoTdb註冊為Windows服務Windows
- 將windows應用程式註冊為windows服務Windows
- nacos原理三-註冊中心原理&原始碼啟動.md原始碼
- Nacos服務註冊與發現原理
- OpenFeign 服務註冊和呼叫原理
- Win10系統右鍵選單新增“註冊/反註冊DLL”功能的方法Win10
- Dubbo使用nacos作為註冊中心原理剖析
- Nacos 服務註冊與發現原理分析
- Nacos服務註冊與發現的原理
- k8s CSI 外掛註冊原理K8S
- exe程式註冊成windows系統服務Windows
- windows驅動註冊中斷服務程式Windows
- .NET Core中介軟體的註冊和管道的構建(1)---- 註冊和構建原理
- 【總結】註冊碼洩露原理以及例題
- 動態註冊和靜態註冊
- 靜態註冊和動態註冊
- 服務註冊與發現的原理和實現
- Windows下禁用鎖屏熱鍵WinKey+LWindows
- windows10系統中如何註冊Hotmail郵箱WindowsAI
- 註冊你的Windows Commander 4.51 (6千字)Windows
- 註冊你的Windows Commander 4.52(6千字)Windows
- 註冊你的Windows Commander 4.54 (5千字)Windows
- 快速搭建TC、易語言、按鍵註冊碼系統
- Oracle Listener 動態註冊 與 靜態註冊Oracle
- ffmpeg分析系列之一(註冊該註冊的)
- Oracle listener靜態註冊和動態註冊Oracle
- Oracle Listener 動態註冊與靜態註冊Oracle
- 【監聽】動態註冊和靜態註冊
- oracle的靜態註冊和動態註冊Oracle
- 註冊中心 Eureka 原始碼解析 —— 應用例項註冊發現(一)之註冊原始碼
- 5G核心網之UE初始註冊關鍵流程分析
- ActiveX註冊和反註冊工具――regsvr32VR
- oracle監聽靜態註冊和動態註冊Oracle
- 靜態註冊和動態註冊總結(zt)