Windows热键注册原理

要像系统注册一个全局热键,需要用到RegisterHotKey,函数用法如下(MSDN):
BOOLRegisterHotKey(
HWNDhWnd,
intid,
UINTfsModifiers,
UINTvk
);
函数功能:该函数定义一个系统范围的热键。
  函数原型:BOOLRegisterHotKey(HWNDhWnd,intid,UINTfsModifiers,UINTvk);
  参数:
  hWnd:接收热键产生WM_HOTKEY消息的窗口句柄。若该参数NULL,传递给调用线程的WM_HOTKEY消息必须在消息循环中中进行处理。
  id:定义热键的标识符。调用线程中的其他热键不能使用同样的标识符。应用功能程序必须定义一个0X0000-0xBFFF范围的值。一个共享的动态链接库(DLL)必须

定义一个0xC000-0xFFFF范围的值伯GlobalAddAtom函数返回该范围)。为了避免与其他动态链接库定义的热键冲突,一个DLL必须使用GlobalAddAtom函数获得热键的标

识符。
  fsModifoers:定义为了产生WM_HOTKEY消息而必须与由nVirtKey参数定义的键一起按下的键。该参数可以是如下值的组合:
  MOD_ALT:按下的可以是任一Alt键。MOD_CONTROL:按下的可以是任一Ctrl键。
  MOD_SHIFT:按下的可以是任一Shift键。
  MOD_WIN:按下的可以是任一Windows按键。这些键可以用MicrosoftWindows日志记录下来。
  MOD_NOREPEAT:Windows7或者后续版本:更改热键行为,以便键盘自动重复不会产生多个热键通知。
  vk:定义热键的虚拟键码。
  返回值:若函数调用成功,返回一个非O值。若函数调用失败,则返回值为0。若要获得更多的错误信息,可以调用GetLastError函数。
  备注:当某键被接下时,系统在所有的热键中寻找匹配者。一旦找到一个匹配的热键,系统将把WM_HOTKEY消息传递给登记了该热键的线程的消息队列。该消息被传

送到队列头部,因此它将在下一轮消息循环中被移去。该函数不能将热键同其他线程创建的窗口关联起来。
  若为一热键定义的击键己被其他热键所定义,则RegisterHotKey函数调用失败。
  若hWnd参数标识的窗口已用与id参数定义的相同的标识符登记了一个热键,则参数fsModifiers和vk的新值将替代这些参数先前定义的值。
  WindowsCE:WindowsCE2.0以上版本对于参数fsModifiers支持一个附加的标志位。叫做MOD_KEYUP。
  若设置MOD_KEYUP位,则当发生键被按下或被弹起的事件时,窗口将发送WM_HOTKEY消息。
  RegisterHotKey可以被用来在线程之间登记热键。
  速查:WindowsNT:3.1及以上版本;Windows:95及以上版本;WindowsCE:不支持;头文件:winuser.h;库文件:Hotkey.lib。
F12键是调试器所使用的保留,所以不应将其注册为热键

代码:

#defineMOD_ALT0x0001=1
#defineMOD_CONTROL0x0002=10
#defineMOD_SHIFT0x0004=100
#defineMOD_WIN0x0008=1000

在IDA中反汇编RegisterHotKey

代码:

.text:77D1EBB3moveax,11EAh//系统服务号
.text:77D1EBB8movedx,7FFE0300h
.text:77D1EBBDcalldwordptr[edx]
.text:77D1EBBFretn10h
.text:77D1EBBF_NtUserRegisterHotKey@16endp

系统把服务号保存在eax寄存器,直接call[edx]
OD查看得到7FFE0300

代码:

dd7FFE0300
7FFE03007C92E510ntdll.KiFastSystemCall
7FFE03047C92E514ntdll.KiFastSystemCallRet

Windbg查看得到

代码:

lkd>ddffdf0300l2
ffdf03007c92e5107c92e514

lkd>u7c92e510
7c92e5108bd4movedx,esp
7c92e5120f34sysenter

windows中0x7FFE0000和0x0FFDF0000被映射到同一个物理地址,供4KB,但在用户模式下该地址是不可写的,内核模式下的可写,4K空间操作系统占用一部分,
余下的大约有3K
USER:0x7FFE0000
KERNEL:0x0FFDF0000
在Windbg可用dtnt!_KUSER_SHARED_DATA命令查看该共享区域

代码:

lkd>dtnt!_KUSER_SHARED_DATA
+0x000TickCountLow:Uint4B
+0x004TickCountMultiplier:Uint4B
+0x008InterruptTime:_KSYSTEM_TIME
+0x014SystemTime:_KSYSTEM_TIME
+0x020TimeZoneBias:_KSYSTEM_TIME
+0x02cImageNumberLow:Uint2B
+0x02eImageNumberHigh:Uint2B
+0x030NtSystemRoot:[260]Uint2B
+0x238MaxStackTraceDepth:Uint4B
+0x23cCryptoExponent:Uint4B
+0x240TimeZoneId:Uint4B
+0x244Reserved2:[8]Uint4B
+0x264NtProductType:_NT_PRODUCT_TYPE
+0x268ProductTypeIsValid:UChar
+0x26cNtMajorVersion:Uint4B
+0x270NtMinorVersion:Uint4B
+0x274ProcessorFeatures:[64]UChar
+0x2b4Reserved1:Uint4B
+0x2b8Reserved3:Uint4B
+0x2bcTimeSlip:Uint4B
+0x2c0AlternativeArchitecture:_ALTERNATIVE_ARCHITECTURE_TYPE
+0x2c8SystemExpirationDate:_LARGE_INTEGER
+0x2d0SuiteMask:Uint4B
+0x2d4KdDebuggerEnabled:UChar
+0x2d5NXSupportPolicy:UChar
+0x2d8ActiveConsoleId:Uint4B
+0x2dcDismountCount:Uint4B
+0x2e0ComPlusPackage:Uint4B
+0x2e4LastSystemRITEventTickCount:Uint4B
+0x2e8NumberOfPhysicalPages:Uint4B
+0x2ecSafeBootMode:UChar
+0x2f0TraceLogging:Uint4B
+0x2f8TestRetInstruction:Uint8B
+0x300SystemCall:Uint4B
+0x304SystemCallReturn:Uint4B
+0x308SystemCallPad:[3]Uint8B
+0x320TickCount:_KSYSTEM_TIME
+0x320TickCountQuad:Uint8B
+0x330Cookie:Uint4B

11EA=1000111101010=13~14位选择服务描述表,选择KeServiceDescriptorTableShadow,系统共有4个服务描述表,第一个在ntoskrnl.exe中
并导出KeServiceDescriptorTable指针

可见该函数没做任何处理直接进入内核(win32k.sys)中,在Windbg反汇编:

代码:

lkd>ufwin32k!NtUserRegisterHotKey
win32k!NtUserRegisterHotKey+0x34:
bf89972033c0xoreax,eax//eax=NULL
bf899722eb29jmpwin32k!NtUserRegisterHotKey+0x36(bf89974d)

win32k!NtUserRegisterHotKey:
bf8997298bffmovedi,edi
bf89972b55pushebp
bf89972c8becmovebp,esp
bf89972e56pushesi
bf89972fe8b673f6ffcallwin32k!EnterCrit(bf800aea)
bf899734f74510f07ffffftestdwordptr[ebp+10h],0FFFF7FF0h//fsModifiers是否有效,是否大于1000b11111111111111110111111111110000

bf89973b752djnewin32k!NtUserRegisterHotKey+0x14(bf89976a)//fsModifiers无效则跳转

win32k!NtUserRegisterHotKey+0x20:
bf89973d8b4d08movecx,dwordptr[ebp+8]//hWnd
bf89974085c9testecx,ecx
bf89974274dcjewin32k!NtUserRegisterHotKey+0x34(bf899720)//hWnd==NULL

win32k!NtUserRegisterHotKey+0x27:
bf899744e86a7ef6ffcallwin32k!ValidateHwnd(bf8015b3)//则验证句柄
bf89974985c0testeax,eax
bf89974b7427jewin32k!NtUserRegisterHotKey+0x30(bf899774)//返回NULL

win32k!NtUserRegisterHotKey+0x36:
bf89974dff7514pushdwordptr[ebp+14h]//vk
bf899750ff7510pushdwordptr[ebp+10h]//fsModifiers
bf899753ff750cpushdwordptr[ebp+0Ch]//id
bf89975650pusheax//pWnd
bf899757e8aefeffffcallwin32k!_RegisterHotKey(bf89960a)
bf89975c8bf0movesi,eax

win32k!NtUserRegisterHotKey+0x47:
bf89975ee8b373f6ffcallwin32k!LeaveCrit(bf800b16)
bf8997638bc6moveax,esi
bf8997655epopesi
bf8997665dpopebp
bf899767c21000ret10h

win32k!NtUserRegisterHotKey+0x14:
bf89976a68ec030000push3ECh//错误码:1004,参数无效
bf89976fe83da0f6ffcallwin32k!UserSetLastError(bf8037b1)

win32k!NtUserRegisterHotKey+0x30:
bf89977433f6xoresi,esi
bf899776ebe6jmpwin32k!NtUserRegisterHotKey+0x47(bf89975e)

/***************************************/
PWNDFASTCALLValidateHwnd(
HWNDhwnd);

//NtUserRegisterHotKey伪代码:

代码:

BOOLENAPIENTRY
NtUserRegisterHotKey(HWNDhWnd,
intid,
UINTfsModifiers,
UINTvk)
{
BOOLENbRet;
PWNDpWnd=NULL;
EnterCrit();
if(!(fsModifiers&0x0FFFF7FF0h))
{
if(hWnd)
{
pWnd=ValidateHwnd(hWnd);
}
bRet=_RegisterHotKey(pWnd,id,fsModifiers,vk);
}
else
{
UserSetLastError(1004);//1004无效标志
bRet=FALSE;
}
LeaveCrit();
returnbRet;
}

//系统热键结构:

代码:

typedefstruct_HOT_KEY_ITEM
{
PETHREADThread;
HWNDspwnd;
UINTfsModifiers;
UINTvk;
intid;
struct_HOT_KEY_ITEMphkNext;
}HOT_KEY_ITEM,*PHOT_KEY_ITEM;

_RegisterHotKey伪代码如下:

代码:

BOOL_RegisterHotKey(
PWNDpwnd,
intid,
UINTfsModifiers,
UINTvk)
{
PHOT_KEY_ITEMphk;
BOOLfKeysExist=FALSE;
PTHREADINFOptiCurrent;
PWINDOWSTATIONpwinsta=_GetProcessWindowStation(NULL);
DWORDErrorCode;

ptiCurrent=gptiCurrent;

//如果调用者不是WindowStation初始化的线程和不适当的权限
if(grpwinstaList&&!CheckWinstaWriteAttributesAccess())
{
returnFALSE;
}

//不能为其他线程的窗口注册热键
if((pwnd!=PWND_FOCUS)&&(pwnd!=PWND_INPUTOWNER))
{
if(GETPTI(pwnd)!=ptiCurrent)
{
UserSetLastError(1408);//1408错误码:无效窗口;它属于另一线程。
returnFALSE;
}
}

phk=FindHotKey(ptiCurrent,pwnd,id,fsModifiers,vk,FALSE,&fKeysExist);

//如果其他线程已经注册过该热键,返回FALSE
if(fKeysExist)
{
UserSetLastError(1409);//1409错误码:热键已被注册
returnFALSE;
}

if(phk==NULL)
{

//热键并未被注册
phk=(PHOT_KEY_ITEM)HeavyAllocPool(sizeof(HOT_KEY_ITEM),TAG_HOTKEY);

//分配失败,返回FALSE
if(phk==NULL)
{
returnFALSE;
}

phk->pti=ptiCurrent;

if((pwnd!=PWND_FOCUS)&&(pwnd!=PWND_INPUTOWNER))
{
phk->spwnd=NULL;
HMAssignmentLock(&phk->spwnd,pwnd);
}
else
{
phk->spwnd=pwnd;
}
phk->fsModifiers=fsModifiers;
phk->vk=vk;
phk->id=id;

//插入到系统热键链表中
//gphkFirst-这是不导出变量存储了系统结构热键(phkNext指向下一个热键结构域)地址
phk->phkNext=gphkFirst;
gphkFirst=phk;

}
else
{
//如果本线程已注册过该热键,则重新覆盖
phk->fsModifiers=fsModifiers;
phk->vk=vk;
}
returnTRUE;
}

//用Windbg查看下gphkFirst

代码:

lkd>ddgphkFirstL1
bf9af814e2ce10d8

e2ce10d8就是最近一次软件向系统注册的全局热键,继续

代码:

lkd>dde2ce10d8l6
e2ce10d8e2265008bbe35a280000000300000054
e2ce10e80000c024e2291a68

e2265008是ETHREAD,查看发现是QQ的一个线程
bbe35a28是窗口句柄
00000003是功能键11,说明有Ctrl+Alt键
00000054是VK_?,0x54对应ASCI码的大写T,Ctrl+ATL+T(QQ上:发送腾讯微博的)
0000c024是热键的ID
e2291a68是下一个热键结构

代码:

PHOT_KEY_ITEMFindHotKey(
PTHREADINFOptiCurrent,
PWNDpwnd,
intid,
UINTfsModifiers,
UINTvk,
BOOLfUnregister,
PBOOLpfKeysExist)
{
PHOT_KEY_ITEMphk,phkRet,phkPrev;

//初始化返回值
*pfKeysExist=FALSE;
phkRet=NULL;

phk=gphkFirst;

while(phk)
{

if((phk->pti==ptiCurrent)&&(phk->spwnd==pwnd)&&(phk->id==id))
{
if(fUnregister)
{

//摘掉热键
if(phk==gphkFirst)
{
gphkFirst=phk->phkNext;
}
else
{
phkPrev->phkNext=phk->phkNext;
}

if((pwnd!=PWND_FOCUS)&&(pwnd!=PWND_INPUTOWNER))
{
Unlock(&phk->spwnd);
}
UserFreePool((PVOID)phk);

return((PHOT_KEY_ITEM)1);
}
phkRet=phk;
}

//如果热键已经注册过,设置已存在标志
if((phk->fsModifiers==fsModifiers)&&(phk->vk==vk))
{
if(phk->spwnd==PWND_FOCUS)
{
if(phk->pti==ptiCurrent)
{
*pfKeysExist=TRUE;
}
}
else
{
*pfKeysExist=TRUE;
}
}

phkPrev=phk;
phk=phk->phkNext;
}

returnphkRet;
}

//遍历系统热键

代码:

VOIDDumpHotKeys()
{
ULONGdwAddr;
KAPC_STATEApcState;
PETHREADpThread;
PEPROCESSpProc;
PHOTKEYphk;

//必须在GUI线程中遍历
KeStackAttachProcess(pExpEprocess,&ApcState);
dwAddr=*(PULONG)gphkFirst;
KeUnstackDetachProcess(&ApcState);
phk=(PHOTKEY)dwAddr;

//解析系统所有热键
while(phk!=NULL)
{
pThread=*(PULONG)phk->pti;
//0x220位置指向当前线程的EPROCESS
pProc=*(PULONG)((ULONG)pThread+0x220);

//EPROCESS+0x174指向进程名字
KdPrint(("ProcessName:%s\n",(ULONG)pProc+0x174));
KdPrint(("id:%d\n",phk->id));
KdPrint(("Combination:%s+%X\n",GetButton(phk->fsModifiers),phk->vk));
KdPrint(("------------------------------------------\n"));
phk=phk->phkNext;
}
}
时间: 2024-11-09 02:02:06

Windows热键注册原理的相关文章

C# 注册 Windows 热键

原文:C# 注册 Windows 热键 闲扯: 前几日,一个朋友问我如何实现按 F1 键实现粘贴(Ctrl+V)功能,百度了一个方法,发给他,他看不懂(已经是 Boss 的曾经的码农),我就做了个Demo给他参考.今日得空,将 Demo 整理一下,做为收集,也给大家一个参考.   Begin: 注册系统热键,.net 类库好像没有提供现成的方法,需要使用系统提供的 DLL. 微软将许多常用的系统函数都封装在 user32.dll 中,注册系统热键使用到的 RegisterHotKey 函数和 U

Windows操作系统注册表的组成与分析

和Windows9x一样,Windows NT也有注册表.注册表是保存系统配置的重要数据库,不过,与Windows 9x相比,它只包含五个部分: (1)HKEY-LOCAL-MACHINE:用于保存本机系统的信息,包含硬件与操作系统的数据,如驱动程序.系统配置信息等: (2)HKEY-CLASS-ROOT:用于保存与关联有关的信息: (3)HKEY-CURRENT-CONFIG:保存与当前的硬件配置文件有关的数据: (4)HKEY-CURRENT-USER:保存与当前登录的用户有关的环境设置的数

Windows的动态链接库原理及使用1

1.Windows的动态链接库原理 动态链接库(DLLs)是从C语言函数库和Pascal库单元的概念发展而来的.所有的C语言标准库函数都存放在某一函数库中,同时用户也可以用LIB程序创建自己的函数库.在链接应用程序的过程中,链接器从库文件中拷贝程序调用的函数代码,并把这些函数代码添加到可执行文件中.这 种方法同只把函数储存在已编译的.OBJ文件中相比更有利于代码的重用. 但随着Windows这样的多任务环境的出现,函数库的方法显得过于累赘.如果为了完成屏幕输出.消息处理.内存管理.对话框等操作,

Windows系统注册表知识完全揭密

  windows注册表是帮助windows控制硬件.软件.用户环境和windows界面的一套数据文件,注册表包含在windows目录下两个文件system.dat和user.dat里,还有它们的备份system.da0和user.da0.通过windows目录下的regedit.exe程序可以存取注册表数据库.在以前,在windows的更早版本(在Win95以前),这些功能是靠win.ini,system.ini和其他和应用程序有关联的.ini文件来实现的.  在windows操作系统家族中,

在windows中注册dll文件的方法

如何在windows中注册dll文件 在运行中输入regsvr32dllname.dll命令,其中dllname是你的dll文件名. 此命令自动在widnowssystem,windowssystem32文件夹下搜索并注册你指定的dll文件名称. 如果dll不在这两个文件夹下,则应该指定ddl文件的全路径. 如何查看应用程序使用的dll文件? 右键单击此应用程序并选择快捷菜单中的"快速查看命令",在随后出现的"快速查看"窗口的"引入表"一栏中将看

Windows Insider注册账号及注册网站

  1:点击登陆.登陆上你微软官网帐号. 2:可以看到个人帐号.就会显示Windows Insider注册页面.选择好,拉到最下方,点击确定. 3:注册好就加入该计划了.

【VS调试】C#读写Windows 7注册表时抛出“不允许所请求的注册表访问权”的解决办法

原文:[VS调试]C#读写Windows 7注册表时抛出"不允许所请求的注册表访问权"的解决办法 项目 - 属性 - 安全性,"使用ClickOnce",修改app.mainfest,再取消"使用ClickOnce" [另有一篇参考文章:http://blog.csdn.net/wonsoft/article/details/6598407]     在XP/2003下调试得好好的程序,到了windows7下,却抛出"不允许所请求的注册

class-怎么查看windows已经注册好的窗口类?

问题描述 怎么查看windows已经注册好的窗口类? 想使用windows已经注册好的窗口类,但不知道有哪些,也不知道名字.怎么才可以显示出来呢? 解决方案 VC++中为什么要注册窗口类注册窗口类注册窗口类 解决方案二: 请问什么是windows已经注册好的窗口类 解决方案三: 注册窗口类以后同一类窗口都用一套WindowProc.有统一的行为.以后不用每个窗口都实现一次了. 在我们构造一个窗口类结构后,我们需要将这个类结构指针加入到system atom table 即SAT中,这样系统就可以

windows通过注册表修改3389端口号

windows通过注册表修改3389端口号,步骤如下: 1.开始→运行,输入regedit,打开注册表 进入这个路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 右边有个PortNamber,默认值3389,需要点下十进制显示,改成你想修改的端口即可. 2.在进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Ten