从屏幕抓词的技术实现--附带C++源代码和说明文档
2008-12-15 22:46
232 查看
前言:
现在的即时翻译软件种类很多,使用方法也各有千秋,但它们大都有一个
共同的特点:鼠标指到哪儿,就翻译它下面的单词。这大大地方便了用户,但是
从一个编程人员的角度来看就不那么轻松了。因为没有一个方便的函数
类似 ” GetWordUnderMouse() ” 可以得到鼠标下面的单词,那么这些软件是怎么
做的呢?经常在BBS和mailing list里看到和我同样困惑的问着相同问题的网友们。
经过痛苦地研究后,我找到了一种实现的方法,现拿出来和大家共享。
注:这个程序是为NT定做的,只能在NT下运行。
技术概述:
屏幕上的大多数文字都是由gdi32.dll的以下几个函数显示的:
TextOuA,TextOutW,ExtTextOutA,ExtTextOutW。象user32.dll中的DrawTextA,
DrawTextW都是调用GDI32.DLL的这几个函数实现的。其实大家都知道实现
屏幕抓词的关键是如何截获对这几个函数的调用。我从易到难简要描述一下
实现抓词需要做的几件事:
一、 得到鼠标的当前位置。
二、向鼠标下的窗口发重画消息,让它调用系统函数重画。
三、截获对系统函数的调用,得到发给系统函数的参数。
下面我对每一条逐个详细描述。
实现步骤相关技术的详细描述:
一、 得到鼠标的当前位置
只要装入一个 WH_MOUSE 类型的系统钩子,就可以截获所有的鼠标消息。
SetWindowsHookEx(WH_MOUSE, //钩子类型
(HOOKPROC)MouseProc, //回调函数
GetModuleHandle("hookdll.dll"), //我的动态库
0); //标明是系统钩子
在回调函数里:
if ( wParam == WM_MOUSEMOVE ) {
lpMouseHookStruct = (LPMOUSEHOOKSTRUCT)lParam;
MousePoint=lpMouseHookStruct->pt; //这就是鼠标的当前位置
}
二、 向鼠标下的窗口发重画消息,让它调用系统函数重画。
由鼠标的当前位置可以得到它下面的窗口句柄。
HANDLE hwnd= WindowFromPoint(MousePoint);
发重画消息。
RECT rect; //这样构造rect是为了简单起见
ScreenToClient(hwnd,&MousePoint);
rect.left=MousePoint.x;
rect.top=MousePoint.y;
rect.right=MousePoint.x+1;
rect.bottom=MousePoint.y+ 1 ;
InvalidateRect(hwnd,&rect,FALSE);
三、 截获对系统函数的调用,得到发给系统函数的参数。
我先作出结论,随后再一条一条地解释。
1、 仿照TextOuA,TextOutW,ExtTextOutA,ExtTextOutW做4个自己的函数,与它们的副本
拥有相同的参数和返回值,和系统钩子放在同一个DLL里。它们分别是:MyTextOuA,
MyTextOutW,MyExtTextOutA,MyExtTextOutW。
2、由于系统鼠标钩子已经完成注入其它GUI进程的工作,我们不需要为注入再做工作。
2、 当包含钩子的DLL注入了其它的进程后,寻找映射到这个进程虚拟内存里的各个
模块(EXE和DLL)的基地址。
3、 得到模块的基地址后,根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR
数组,看是否引入了gdi32.dll。如是,穷举IMAGE_THUNK_DATA数组,看是否引入了
TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。
4、如果找到其中之一,将其替换为相应的自己的函数。
下面我对每一步用到的代码和概念进行解释。我们只以TextOutA为例,其余都是相同的。
1、自己的四个函数的代码
SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)
{
输出 lpszString 的处理。
return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);
}
我的意图是:当截获了系统调用,每次要显示文字时会调到我的函数,等我显示了
通过参数传给我的单词后,再交给系统函数处理。
2、由于系统鼠标钩子已经完成注入其它GUI进程的工作,我们不需要注入再做工作。
如果你知道所有系统钩子的函数必须要在动态库里,你就不会对注入这个词感到奇怪。
首先,当一个进程隐式或显示调用一个动态库里的函数时,系统都要把这个动态库映射
到这个进程的虚拟地址空间里。将DLL映射到进程的虚拟地址空间里使得DLL成为
这个进程的一部分,它以这个进程的身份执行,使用这个进程的堆栈。
图1:DLL映射到进程的虚拟地址空间中
对于一个系统钩子来说,系统自动将包含“钩子回调函数”的DLL映射到受到钩子函数
影响的所有进程的地址空间中。也就说是将这个DLL注入了那些进程。
为什么要注入DLL到别的进程呢?
当执行一个EXE时,系统给它分配4GB的虚拟地址空间并将EXE文件几乎是原封不动
到映射到其中,也就是内存中的映像与磁盘上的文件结构是几乎是相同的。然后,系统将
这个EXE直接和间接使用的DLL也几乎是原封不动到映射到其中。DLL在内存中的映像
与磁盘上的文件也几乎是一样的。为什么说几乎呢?因为PE文件的装载器还是要改一点
内容的,比如动态链接的函数的地址。
当我们编的包含钩子的动态库被注入到进程的地址空间后,它就能够查询被注入的进程的
地址空间,并找到EXE和其余DLL被映射到的虚拟内存的基地址。这是我们的目的。
3、当包含钩子的DLL注入了其它的进程后,寻找映射到虚拟内存的各个模块(EXE和DLL)
的基地址。
EXE和DLL被映射到虚拟内存空间的什么地方是由它们的基地址决定的。它们的基地址
是在链接时由链接器决定的。当你新建一个Win32工程时,VC++链接器使用缺省的
基地址0x00400000。你如果跟踪进WinMain的时候, hInstance 值总是0x00400000就是上面的
原因。当然也可以通过链接器的/BASE选项改变模块的基地址。
现在我们知道了,EXE通常被映射到虚拟内存的0x00400000处。DLL由于它们也有各自
不同的基地址,通常情况下也被映射到不同进程的相同的虚拟地址空间处。
那么我们怎么才能知道EXE和DLL被映射到哪里了呢?
在win32中,HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的虚拟
内存空间的基地址。比如:
HMODULE hmodule=GetModuleHandle( “ gdi32.dll ” );
返回的模块句柄强制转换为指针后,就是gdi32.dll被装入的基地址。
关于如何找到虚拟内存空间映射了哪些DLL?我用如下方式实现:
while(VirtualQuery (base, &mbi, sizeof (mbi))>0) //穷举每一块内存区域
{
if(mbi.Type==MEM_IMAGE) //是EXE或DLL的映射
ChangeFuncEntry((DWORD)mbi.BaseAddress,1); //将基地址作为模块句柄传给我做的函数
base=(DWORD)mbi.BaseAddress+mbi.RegionSize; //继续
}
4、得到基地址后,根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR数组,
看是否引入了GDI32.DLL。如是,穷举IMAGE_THUNK_DATA数组,看是否引入了
TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。
5、如果找到其中之一,将其替换为相应的自己的函数。
在前面已经说过,系统将EXE和DLL原封不动到映射到虚拟内存空间中,它们在内存
中的结构与磁盘上的静态文件结构是一样的。即PE ( Portable Executable ) 文件格式。
PE文件格式的详细说明请参见MSDN,这里只说明相关的地方。
WIN32 EXE与DLL动态链接的概念。
所有对给定API函数的调用总通过可执行文件的同一个地方转移。那就是一个模块
(可以是EXE或DLL)的输入地址表(import address table)。那里有所有本模块调用的其它
DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地址表,由输入
地址表再跳转到DLL真正的函数入口。例如:
图2:对MessageBox()的调用跳转到输入地址表,从输入地址表再跳转到MessageBox函数
IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA分别对应于DLL和函数。
它们是PE文件的输入地址表的格式,反正只要这样做就好啦:
BOOL ChangeFuncEntry(HMODULE hmodule)
{
PIMAGE_DOS_HEADER pDOSHeader;
PIMAGE_NT_HEADERS pNTHeader;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
/*get system functions and my functions' entry*/
p SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
p MyFunc1= (DWORD)GetProcAddress(GetModuleHandle("hookdll.dll"),"MyTextOutA");
pDOSHeader=(PIMAGE_DOS_HEADER)hmodule;
if (IsBadReadPtr(hmodule, sizeof(PIMAGE_NT_HEADERS)))
return FALSE;
if (pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE)
return FALSE;
pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pDOSHeader+
(DWORD)pDOSHeader->e_lfanew);
if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)
return FALSE;
pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hmodule+
(DWORD)pNTHeader- > OptionalHeader.DataDirectory
[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
if (pImportDesc == (PIMAGE_IMPORT_DESCRIPTOR)pNTHeader)
return FALSE;
while (pImportDesc->Name)
{
PIMAGE_THUNK_DATA pThunk;
strcpy(buffer,(char*)((DWORD)hmodule+(DWORD)pImportDesc->Name));
CharLower(buffer);
if(strcmp(buffer,"gdi32.dll"))
{
pImportDesc++;
continue;
}
else
{
pThunk=(PIMAGE_THUNK_DATA)((DWORD)hmodule+(DWORD)pImportDesc->FirstThunk);
while (pThunk->u1.Function)
{
if ((pThunk->u1.Function) == pSys Func1)
{
VirtualProtect((LPVOID)(&pThunk->u1.Function),
sizeof(DWORD),PAGE_EXECUTE_READWRITE, &dwProtect);
(pThunk->u1.Function)= pMy Func1;
VirtualProtect((LPVOID)(&pThunk->u1.Function), sizeof(DWORD),dwProtect,&temp);
}
pThunk++;
}
return 1;
}
}
}
此段程序中的数据结构及其成员请参见winnt.h。
我们替换了输入地址表中TextOutA的入口为MyTextOutA后,截获系统函数调用的
主要部分已经完成,当一个被注入进程调用TextOutA时,其实调的是MyTextOutA,
只需在MyTextOutA中显示传进来的字符串,再交给TextOutA处理即可。
后记:
完成了这个程序以后觉得对windows系统有了更深的理解。比如中文平台
可能就是截获这几个函数,然后自己做了一套输出中文的函数。再比如我们
可以注入DLL到超户的进程,那么是不是就得到了超户的权限?关于截获
API调用是一个很复杂的问题,注入DLL的方法就有很多,比如
CreateRemoteThread ,win32 debug API等。用系统钩子注入带窗口的进程是
其中的一种比较简单的方法,它对无窗口的进程无效。
这个程序只能在NT上运行。其实我用的方法不是很简单,还有一种更简单
的方法,也许大家已经注意到了,我们可以用GetProcAddress得到TextOutA
的入口,那么我们直接修改入口不是也行吗?具体步骤如下:
1、 用系统钩子注入其它进程。
2、 调用GetProcAddress(GetModuleHandle( “ gdi32.dll ” ), ” TextOutA ” )得到
TextOutA在地址空间中的地址。
3、 用 WriteProcessMemory 函数在TextOutA处写一句跳转到MyTextOutA
的语句。( 0xE9909090L +MyTextOutA地址)
这样也会使对TextOutA的调用转向到MyTextOutA。只要在MyTextOutA
中得到参数后再跳回TextOutA即可。
参考文献:
Windows 95 windows NT 3.5高级编程技术 jeffrey richter著
Windows 95系统编程奥秘 matt pietrek著
参考: http://kola100.6to23.com/
附上源代码:
点击下载此文件
现在的即时翻译软件种类很多,使用方法也各有千秋,但它们大都有一个
共同的特点:鼠标指到哪儿,就翻译它下面的单词。这大大地方便了用户,但是
从一个编程人员的角度来看就不那么轻松了。因为没有一个方便的函数
类似 ” GetWordUnderMouse() ” 可以得到鼠标下面的单词,那么这些软件是怎么
做的呢?经常在BBS和mailing list里看到和我同样困惑的问着相同问题的网友们。
经过痛苦地研究后,我找到了一种实现的方法,现拿出来和大家共享。
注:这个程序是为NT定做的,只能在NT下运行。
技术概述:
屏幕上的大多数文字都是由gdi32.dll的以下几个函数显示的:
TextOuA,TextOutW,ExtTextOutA,ExtTextOutW。象user32.dll中的DrawTextA,
DrawTextW都是调用GDI32.DLL的这几个函数实现的。其实大家都知道实现
屏幕抓词的关键是如何截获对这几个函数的调用。我从易到难简要描述一下
实现抓词需要做的几件事:
一、 得到鼠标的当前位置。
二、向鼠标下的窗口发重画消息,让它调用系统函数重画。
三、截获对系统函数的调用,得到发给系统函数的参数。
下面我对每一条逐个详细描述。
实现步骤相关技术的详细描述:
一、 得到鼠标的当前位置
只要装入一个 WH_MOUSE 类型的系统钩子,就可以截获所有的鼠标消息。
SetWindowsHookEx(WH_MOUSE, //钩子类型
(HOOKPROC)MouseProc, //回调函数
GetModuleHandle("hookdll.dll"), //我的动态库
0); //标明是系统钩子
在回调函数里:
if ( wParam == WM_MOUSEMOVE ) {
lpMouseHookStruct = (LPMOUSEHOOKSTRUCT)lParam;
MousePoint=lpMouseHookStruct->pt; //这就是鼠标的当前位置
}
二、 向鼠标下的窗口发重画消息,让它调用系统函数重画。
由鼠标的当前位置可以得到它下面的窗口句柄。
HANDLE hwnd= WindowFromPoint(MousePoint);
发重画消息。
RECT rect; //这样构造rect是为了简单起见
ScreenToClient(hwnd,&MousePoint);
rect.left=MousePoint.x;
rect.top=MousePoint.y;
rect.right=MousePoint.x+1;
rect.bottom=MousePoint.y+ 1 ;
InvalidateRect(hwnd,&rect,FALSE);
三、 截获对系统函数的调用,得到发给系统函数的参数。
我先作出结论,随后再一条一条地解释。
1、 仿照TextOuA,TextOutW,ExtTextOutA,ExtTextOutW做4个自己的函数,与它们的副本
拥有相同的参数和返回值,和系统钩子放在同一个DLL里。它们分别是:MyTextOuA,
MyTextOutW,MyExtTextOutA,MyExtTextOutW。
2、由于系统鼠标钩子已经完成注入其它GUI进程的工作,我们不需要为注入再做工作。
2、 当包含钩子的DLL注入了其它的进程后,寻找映射到这个进程虚拟内存里的各个
模块(EXE和DLL)的基地址。
3、 得到模块的基地址后,根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR
数组,看是否引入了gdi32.dll。如是,穷举IMAGE_THUNK_DATA数组,看是否引入了
TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。
4、如果找到其中之一,将其替换为相应的自己的函数。
下面我对每一步用到的代码和概念进行解释。我们只以TextOutA为例,其余都是相同的。
1、自己的四个函数的代码
SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)
{
输出 lpszString 的处理。
return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);
}
我的意图是:当截获了系统调用,每次要显示文字时会调到我的函数,等我显示了
通过参数传给我的单词后,再交给系统函数处理。
2、由于系统鼠标钩子已经完成注入其它GUI进程的工作,我们不需要注入再做工作。
如果你知道所有系统钩子的函数必须要在动态库里,你就不会对注入这个词感到奇怪。
首先,当一个进程隐式或显示调用一个动态库里的函数时,系统都要把这个动态库映射
到这个进程的虚拟地址空间里。将DLL映射到进程的虚拟地址空间里使得DLL成为
这个进程的一部分,它以这个进程的身份执行,使用这个进程的堆栈。
图1:DLL映射到进程的虚拟地址空间中
对于一个系统钩子来说,系统自动将包含“钩子回调函数”的DLL映射到受到钩子函数
影响的所有进程的地址空间中。也就说是将这个DLL注入了那些进程。
为什么要注入DLL到别的进程呢?
当执行一个EXE时,系统给它分配4GB的虚拟地址空间并将EXE文件几乎是原封不动
到映射到其中,也就是内存中的映像与磁盘上的文件结构是几乎是相同的。然后,系统将
这个EXE直接和间接使用的DLL也几乎是原封不动到映射到其中。DLL在内存中的映像
与磁盘上的文件也几乎是一样的。为什么说几乎呢?因为PE文件的装载器还是要改一点
内容的,比如动态链接的函数的地址。
当我们编的包含钩子的动态库被注入到进程的地址空间后,它就能够查询被注入的进程的
地址空间,并找到EXE和其余DLL被映射到的虚拟内存的基地址。这是我们的目的。
3、当包含钩子的DLL注入了其它的进程后,寻找映射到虚拟内存的各个模块(EXE和DLL)
的基地址。
EXE和DLL被映射到虚拟内存空间的什么地方是由它们的基地址决定的。它们的基地址
是在链接时由链接器决定的。当你新建一个Win32工程时,VC++链接器使用缺省的
基地址0x00400000。你如果跟踪进WinMain的时候, hInstance 值总是0x00400000就是上面的
原因。当然也可以通过链接器的/BASE选项改变模块的基地址。
现在我们知道了,EXE通常被映射到虚拟内存的0x00400000处。DLL由于它们也有各自
不同的基地址,通常情况下也被映射到不同进程的相同的虚拟地址空间处。
那么我们怎么才能知道EXE和DLL被映射到哪里了呢?
在win32中,HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的虚拟
内存空间的基地址。比如:
HMODULE hmodule=GetModuleHandle( “ gdi32.dll ” );
返回的模块句柄强制转换为指针后,就是gdi32.dll被装入的基地址。
关于如何找到虚拟内存空间映射了哪些DLL?我用如下方式实现:
while(VirtualQuery (base, &mbi, sizeof (mbi))>0) //穷举每一块内存区域
{
if(mbi.Type==MEM_IMAGE) //是EXE或DLL的映射
ChangeFuncEntry((DWORD)mbi.BaseAddress,1); //将基地址作为模块句柄传给我做的函数
base=(DWORD)mbi.BaseAddress+mbi.RegionSize; //继续
}
4、得到基地址后,根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR数组,
看是否引入了GDI32.DLL。如是,穷举IMAGE_THUNK_DATA数组,看是否引入了
TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。
5、如果找到其中之一,将其替换为相应的自己的函数。
在前面已经说过,系统将EXE和DLL原封不动到映射到虚拟内存空间中,它们在内存
中的结构与磁盘上的静态文件结构是一样的。即PE ( Portable Executable ) 文件格式。
PE文件格式的详细说明请参见MSDN,这里只说明相关的地方。
WIN32 EXE与DLL动态链接的概念。
所有对给定API函数的调用总通过可执行文件的同一个地方转移。那就是一个模块
(可以是EXE或DLL)的输入地址表(import address table)。那里有所有本模块调用的其它
DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地址表,由输入
地址表再跳转到DLL真正的函数入口。例如:
图2:对MessageBox()的调用跳转到输入地址表,从输入地址表再跳转到MessageBox函数
IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA分别对应于DLL和函数。
它们是PE文件的输入地址表的格式,反正只要这样做就好啦:
BOOL ChangeFuncEntry(HMODULE hmodule)
{
PIMAGE_DOS_HEADER pDOSHeader;
PIMAGE_NT_HEADERS pNTHeader;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc;
/*get system functions and my functions' entry*/
p SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
p MyFunc1= (DWORD)GetProcAddress(GetModuleHandle("hookdll.dll"),"MyTextOutA");
pDOSHeader=(PIMAGE_DOS_HEADER)hmodule;
if (IsBadReadPtr(hmodule, sizeof(PIMAGE_NT_HEADERS)))
return FALSE;
if (pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE)
return FALSE;
pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pDOSHeader+
(DWORD)pDOSHeader->e_lfanew);
if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)
return FALSE;
pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hmodule+
(DWORD)pNTHeader- > OptionalHeader.DataDirectory
[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
if (pImportDesc == (PIMAGE_IMPORT_DESCRIPTOR)pNTHeader)
return FALSE;
while (pImportDesc->Name)
{
PIMAGE_THUNK_DATA pThunk;
strcpy(buffer,(char*)((DWORD)hmodule+(DWORD)pImportDesc->Name));
CharLower(buffer);
if(strcmp(buffer,"gdi32.dll"))
{
pImportDesc++;
continue;
}
else
{
pThunk=(PIMAGE_THUNK_DATA)((DWORD)hmodule+(DWORD)pImportDesc->FirstThunk);
while (pThunk->u1.Function)
{
if ((pThunk->u1.Function) == pSys Func1)
{
VirtualProtect((LPVOID)(&pThunk->u1.Function),
sizeof(DWORD),PAGE_EXECUTE_READWRITE, &dwProtect);
(pThunk->u1.Function)= pMy Func1;
VirtualProtect((LPVOID)(&pThunk->u1.Function), sizeof(DWORD),dwProtect,&temp);
}
pThunk++;
}
return 1;
}
}
}
此段程序中的数据结构及其成员请参见winnt.h。
我们替换了输入地址表中TextOutA的入口为MyTextOutA后,截获系统函数调用的
主要部分已经完成,当一个被注入进程调用TextOutA时,其实调的是MyTextOutA,
只需在MyTextOutA中显示传进来的字符串,再交给TextOutA处理即可。
后记:
完成了这个程序以后觉得对windows系统有了更深的理解。比如中文平台
可能就是截获这几个函数,然后自己做了一套输出中文的函数。再比如我们
可以注入DLL到超户的进程,那么是不是就得到了超户的权限?关于截获
API调用是一个很复杂的问题,注入DLL的方法就有很多,比如
CreateRemoteThread ,win32 debug API等。用系统钩子注入带窗口的进程是
其中的一种比较简单的方法,它对无窗口的进程无效。
这个程序只能在NT上运行。其实我用的方法不是很简单,还有一种更简单
的方法,也许大家已经注意到了,我们可以用GetProcAddress得到TextOutA
的入口,那么我们直接修改入口不是也行吗?具体步骤如下:
1、 用系统钩子注入其它进程。
2、 调用GetProcAddress(GetModuleHandle( “ gdi32.dll ” ), ” TextOutA ” )得到
TextOutA在地址空间中的地址。
3、 用 WriteProcessMemory 函数在TextOutA处写一句跳转到MyTextOutA
的语句。( 0xE9909090L +MyTextOutA地址)
这样也会使对TextOutA的调用转向到MyTextOutA。只要在MyTextOutA
中得到参数后再跳回TextOutA即可。
参考文献:
Windows 95 windows NT 3.5高级编程技术 jeffrey richter著
Windows 95系统编程奥秘 matt pietrek著
参考: http://kola100.6to23.com/
附上源代码:
点击下载此文件
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 用C/C++实现SMC动态代码加密技术 .
- 通过例子学设计模式之--外观模式以及使用场景说明(C++实现)
- RingSDK技术文档:如何实现ListView列的隐藏
- 以屏幕中间为区分,同时调用两个文档占满屏进行比较的一个实现方法
- 基于C++有限状态机的实现技术
- 鼠标屏幕取词技术的原理和实现
- C++多态技术的实现和反思
- 屏幕取词技术实现原理与关键源码
- C++写日志源代码分析,可实现根据日期自动创建文件夹、日志分类、文件大小控制等
- 鼠标屏幕取词技术的原理和实现
- 常见代理技术原理和实现源代码
- C++实现快速排序(源代码)
- C++实现快速排序(源代码)
- 技术文档的版本说明格式
- 建立数据库本地索引的C++实现源代码
- 在2.5亿个整数中找出不重复的整数的C++实现源代码
- 体验C++中接口与实现分离的技术
- 鼠标屏幕取词技术的原理和实现(转)
- 体验C++中接口与实现分离的技术
- node.js调用C++说明文档