用hook实现dll注入详解

需要一个用来注入的dll（inject.dll）及一个调用程序(caller.exe)
流程：

caller.exe
procedure TestHook;
var pwnd,hChild, hwndInject hwnd;
msgtmsg;
begin
通过窗口标题用FindWindow找到要注入的程序的主窗口句柄pwnd
pwnd = findwindow('Progman',nil);
用FindwindowEx(hMain,0,nil,nil)找到要处理的子窗口句柄hChild
hChild = findWindowEx(pwnd,0,nil,nil);
用getwindowThreadProcessid(hChild,nil)找到要注入的线程
dwThreadID = getwindowThreadProcessid(hChild,nil);
调用 inject.dll的SetInjectHook方法
SetInjectHook(dwThreadID);
等待消息返回
getmessage(msg,0,0,0);
找到注入的窗口
hwndInject= findwindow(nil,'InjectForm');
发送控制消息,将目标窗体的句柄作为wparam，控制参数以lparam传入
sendMessage( hwndInject, wm_app,hChild,integer(true));
关闭注入的窗口
sendMessage( hwndInject,wm_close,0,0);
等待窗口关闭
sleep(500);
检查是否成功关闭
assert(not iswindow( hwndInject));
去掉挂钩
setDipsHook(0);
end;

下面说明 Inject.dll的SetInjectHook的具体操作
在全局定义以下变量
var
g_hhook Hhook=0;
g_dwThreadidInject dword=0;
g_hInjectfrmhwnd;


function SetInjectHook(dwThreadidDWORD)boolean;
begin
result = false;
如果线程标志为0则用于去掉钩子，否则进行动态库注入
if dwThreadid0 then
begin
assert(g_hhook=0);
保存当前线程的ID到 g_dwThreadidInject
g_dwThreadidInject = getCurrentThreadid;
下一个GetMessage的钩子到目标线程
GetMsgProc是在下面定义的一个函数，在第一次调用时将自定义的form在目标线程中创建出来
这样就能通过这个自定义的form对目标线程进行进程内控制了
g_hhook = setWindowsHookEx(wh_getMessage,GetMsgProc,hInstance,dwThreadid);
result = g_hhook null;
if result then
发一个空的信息以便于立即创建这个自定义form
result = postThreadMessage(dwThreadid, wm_Null,0,0);
等待半秒钟，以保证调用者可以找到这个刚创建的form
sleep(500);
end else
begin
assert(g_hhook0);
去掉钩子
result = unHookWindowsHookEx(g_hhook);
g_Hhook = 0;
end;
end;

定义一个全局的是否第一个消息的标志
var
fFirstTimeboolean = true;
这个函数用于在收到第一个消息时创建自定义窗体，以便于远程控制
function GetMsgProc(code Integer; wparam WPARAM; lparam LPARAM) LRESULT; stdcall;
begin
如果是第一次
if fFirstTime then
begin
fFirstTime = false;
创建窗体
InjectFrm = TinjectFrm.create(nil);
保存窗体句柄
g_hInjectfrm = InjectFrm.handle;
end;
调用默认处理，这一句可不能忘记
result = callNexthookEx(g_hhook,code,wparam,lparam);
end;