Desenvolvimento - Delphi

Windows hooks

Este artigo irá mostrar como criar programas que "escutam" por uma certa combinação de teclas e, quando ativada, executar alguma tarefa (como ejetar a unidade de CDROM).

por Florin Sabau


Você já parou para pensar como os programas espiões conseguem capturar tudo que é digitado nos computadores onde estão instalados? Bem, eu não sei exatamente como ELES fazem isto :), mas mostrarei uma possível técnica usando Windows Hooks. Este artigo irá mostrar como criar programas que "escutam" por uma certa combinação de teclas e, quando ativada, executar alguma tarefa (como ejetar a unidade de CDROM).

Tecnicamente, um hook é somente uma outra subrotina ("hook procedure") que "fica no caminho" do mecanismo normal de tratamento de mensagens do Windows. A hook procedure pode ser instalada no sistema e assim ela captura certas mensagens do Windows ANTES delas serem enviadas para as devidas rotinas de tratamento. Windows contém vários tipos diferentes de hooks; cada tipo fornece acesso a um aspecto diferente do mecanismo de tratamento de mensagens do Windows. As constantes que identificam os tipos de hooks estão em Windows.pas. Abaixo temos alguns destes tipos, com uma breve descrição:

  • WH_KEYBOARD: instala uma hook procedure que monitora as mensagens do teclado. Utilizaremos este em nosso programa.
  • WH_MOUSE: instala uma hook procedure que monitora mensagens do mouse.
  • WH_CBT: instala uma hook procedure que recebe notificações úteis para uma aplicação de treinamento baseada em computador (CBT).
  • WH_JOURNALRECORD: instala uma hook procedure que grava as mensagens de entrada postadas para a fila de mensagens de sistema. Este hook é útil para a gravação de macros.
  • WH_JOURNALPLAYBACK: instala uma hook procedure que envia mensagens previamente gravadas pela WH_JOURNALRECORD hook procedure.

Devido a muitos programas poderem instalar um hook no sistema ao mesmo tempo, o Windows mantém internamente um "hook chain", que é apenas uma lista de ponteiros para as hook procedures que os programas instalaram. Quando uma mensagem acontece no sistema, o Windows primeiro passa por cada uma das procedures no hook chain, uma depois da outra. Então, caso a mensagem não tenha sido bloqueada por qualquer uma das hook procedures, o Windows encaminha a mensagem para a janela adequada.

Mais um assunto antes de ir para a próxima seção: hooks podem ser classificados de uma outra forma. Existem os hooks de sistema (globais) que recebem mensagens de todos os threads do sistema, e os hooks específicos de thread (locais), que recebem mensagens apenas de um determinado thread. Devido a uma hook procedure global poder ser chamada no contexto de qualquer aplicação (que capturam mensagens de todas as aplicações), elas devem estar localizadas em uma DLL (Dynamic Link Library). Esta restrição não se aplica aos hooks específicos de threads, onde a hook procedure pode estar em qualquer parte da aplicaçao que controla o thread a ser interceptado.

Neste artigo nós trataremos somente com hooks globais.

Instalando uma WH_KEYBOARD hook procedure no hook chain

A API de hooks contém 3 importantíssimas funções: SetWindowsHookEx (que instala uma hook procedure), UnhookWindowsHookEx (que desinstala a hook procedure) e CallNextHookEx (que chama a próxima hook procedure no hook chain). Os parâmetros destas funções são os seguintes (em windows.pas):

Listagem 1: Função SetWindowsHookEx 

function SetWindowsHookEx(idHook: Integer; lpfn: TFNHookProc; hmod: HINST; dwThreadId: DWORD): HHOOK; stdcall;
  • "idHook": tipo do hook a ser instalado (p.e. WH_KEYBOARD);
  • "lpfn" : aponta para a hook procedure para onde a mensagem será enviada;
  • "hmod" : handle da DLL que instala a hook, normalmente hInstance (para hooks globais) ou 0 para hooks locais;
  • "HINST" : identificador do thread ao qual o hook estará associado. Se 0 a hook procedure é associada com todos os threads.

Retorna um valor usado para identificar o hook.

Listagem 2: Função UnhookWindowsHookEx 

function UnhookWindowsHookEx(hhk: HHOOK): BOOL; stdcall;
  • "hhk": identifica o hook a ser desinstalado.

Retorna True se ocorreu com sucesso ou False se falhou.

Listagem 3: Função CallNextHookEx 

function CallNextHookEx(hhk: HHOOK; nCode: Integer; wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall;
  • "hhk": identificador do hook corrente;
  • "nCode", "wParam", "lParam": parâmetros a serem enviados para a próxima hook procedure no hook chain.

Retorna o valor retorna pela próxima hook procedure do chain.

Nós veremos adiante o que isto significa.

A hook procedure

A hook procedure para o teclado tem o seguinte formato:

Listagem 4: Função HookProc

function HookProc(nCode: Integer; wParam: WPARAM; lParam: LPARAM):LRESULT; stdcall;
  • "nCode": HC_ACTION - os parâmetros wParam e lParam contém informações sobre as mensagens das teclas pressionadas. HC_NOREMOVE - os parâmetros wParam e lParam contêm informações sobre as mensagens das teclas pressionadas mas a mensagem não foi removida da fila de mensagens (uma aplicação chamou a função PeekMessage especificando o flag PM_NOREMOVE).
  • "wParam": especifica o código virtual da tecla que gerou a mensagem (p.e. VK_F9 para a tecla de função F9).
  • "lParam": especifica informações adicionais (do tipo contador de repetição, scan code ...); não utilizado em nosso programa; veja Win32SDK para maiores detalhes.

HookProc deve retornar um valor não zerado para evitar que o Windows passe a mensagem para os demais hooks da cadeia, ou para a window procedure alvo, ou zero para deixar que o Windows passe a mensagem para a window procedure alvo.

Exemplo

Este exemplo cria uma hook global para o teclado e quando uma certa combinação de teclas ocorrem ele executará alguma coisa (veja abaixo):

  • WinKey + F9: mostra a janela principal se ela estiver oculta;
  • WinKey + F10: ejeta a unidade de CDROM;
  • WinKey + F12: encerra a aplicação.

A comunicação entre a DLL que implementa a hook e a aplicação é feita com a função SendMessage da API, que envia uma HOOK_MSG (definida em constants.inc) para a aplicação principal, com os comandos (SHOW, EJECT, QUIT) em wParam (veja abaixo).

Como não querermos ser incomodados com a janela sendo mostrada a todo instante, quando clica-se o botão de minimizar a janela é ocultada (até da lista de tarefas), mas poderá ser visualizada com a combinação WinKey+F9.

Para o código fonte completo veja o arquivo anexo. Eu somente mostrarei aqui as partes mais importantes da aplicação:

1. HookDll.dpr

Listagem 5: Função KeyboardProc

function KeyboardProc(nCode: Integer; wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall;
var
	Handled: Boolean;
	KeyState: TKeyboardState;
	Han: HWND;

	function WinKeyPressed: boolean;
begin
		Result := (KeyState[VK_LWIN] and $80 <> 0) or (KeyState[VK_RWIN] and $80 > 0);
	end;
begin
	Handled := False;
	Result := 1;
if nCode = HC_ACTION then
	begin
		GetKeyboardState(KeyState);
		Han:=FindWindow("TForm1",APP_CAPTION);
	if (IsWindow(Han)) and (KeyState[wParam] and $80 <> 0) and WinKeyPressed 
then
      		begin
			Handled := True;
			case wParam of
			VK_F9: SendMessage(Han, HOOK_MSG, APP_SHOW, 0);
			VK_F10: SendMessage(Han, HOOK_MSG, EJECT_CDROM, 0);
			VK_F12: SendMessage(Han, HOOK_MSG, APP_QUIT, 0);
		else
			Handled := False;
		end;
	end;
if not Handled then
		Result := CallNextHookEx(hhk, nCode, wParam, lParam);
end;

Na entrada da hook procedure nós testamos se o flag HC_ACTION em nCode (assim sabemos que tivemos o pressionamento de uma tecla), então salvamos em KeyState o estado (se foi pressionado ou não, ~CAPSLOCK ligado, etc.) de todas as teclas virtuais utilizando GetKeyboardState. Nós também procuramos pelo handle da janela principal da aplicação para a qual serão enviados os comandos (APP_SHOW, EJECT_CDROM, APP_QUIT). Se a janela for encontrada (IsWindow(han)) e tiver um mensagem de tecla pressionada, então enviamos um comando para a janela principal de acordo com o pressionamento. Se não foi possível tratar a mensagem (Handled=false) então os parâmetros são passados para a próxima hook na cadeia.

2. Hooks.Dpr & Unit1.pas

A principal função aqui é HOOK_MSG_PROC que recebe os comandos enviados da DLL:

Listagem 7: Função HOOK_MSG_PROC

type TForm1=class(TForm)
...
	procedure HOOK_MSG_PROC(var Msg: TMessage); message HOOK_MSG;
...
end;
...
procedure TForm1.HOOK_MSG_PROC(var Msg: TMessage);
begin
	case Msg.WParam of
	APP_SHOW:
	begin
		Application.ShowMainForm := True;
		Visible:=True;
	end;
	EJECT_CDROM: mciSendString("set CDAudio door open", nil, 0, 0);
	APP_QUIT: Close;
	end;
end;

O recurso de "Ocultar na minimização" é executado pela especialização do tratamento da mensagem WM_SYSCOMMAND que é enviada pelo Windows quando um comando de sistema (close, minimize, maximize) ocorre. Então a janela será oculta se receber um comando SC_MINIMIZE:

Listagem 8: Evento OnMinimize

procedure TForm1.OnMinimize(var Msg: TMessage);
begin
	if Msg.WParam = SC_MINIMIZE then
	begin
		if not IsHookInstalled then
		begin
			ShowMessage("Install the hook first or you""ll"#13#10 + "not be able to access the program");
			Exit;
		end;
		Application.ShowMainForm := False;
		Visible := False;
	end else
		Inherited;
end;

Para esconder o programa da lista de tarefas utilizamos:

Listagem 9: Função RegisterServiceProcess

function RegisterServiceProcess(dwProcessID, dwType: integer): integer; stdcall; external "KERNEL32.DLL";

NOTA: A técnica de ocultamento acima funciona somente no Windows 9x.

É claro que isto é exemplo bem simples de aplicação de hooks, mas as possibilidades são enormes. Um pequeno programa espião, talvez! :) De qualquer maneira, se você tiver alguma dúvida sobre este artigo, sinta-se a vontade de me mandar uma mensagem para .

Faça o download do código referente a este artigo.

Tradução: Adilson Vahldick
Florin Sabau

Florin Sabau