Delphi-PRAXiS - Hook aus Service

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)

- - Hook aus Service (https://www.delphipraxis.net/168327-hook-aus-service.html)

Hook aus Service

Schon wieder!
ich habe mich nicht damit abgefunden, dass das mit einem Tastatur-Hook aus einem Service nicht gehen soll. Vorab: Ich programmiere keine Spy-Ware sondern will für mein Alarmierungstool eine Tastenkombination in jedem Zustand des Rechners abfangen können. Bis und mit XP war das noch mit einem Gina-Stub möglich. Und jetzt arbeite ich mit einem KeyboardFilterDriver. Das ist aber hässlich da man auch noch alle Antivirus-Programme überlisten muss und der Treiber kann nur über Neustart entfernt werden kann.
Ich habe aber Programme gesehen, die Tastenkombinationen auch auf WINLOGON-Ebene abfangen und habe mich nochmals dahinter gesetzt. Eigentlich habe ich es beinahe geschafft. Folgender Code in der Hook-DLL:

Code:

			procedure HookOn ; stdcall;

var hWinStaUser  : HWINSTA;

var hDeskUser    : HDESK;

var hUInputDT    : HDESK;

var hThreadDT    : HDESK;

var iLen         : DWORD;

var pDesktopName : array[0..255] of char;

var KName        : string;

begin

 kName := 'Default';

 hWinStaUser := OpenWindowStation('WinSta0', FALSE, MAXIMUM_ALLOWED);

 if (SetProcessWindowStation(hWinStaUser)) then

    begin

    hUInputDT  := OpenInputDesktop(0, False, MAXIMUM_ALLOWED);

    hThreadDT  := GetThreadDesktop(GetCurrentThreadId);

    if hUInputDT <> 0 then

       begin

       GetUserObjectInformation(hUInputDT, UOI_NAME, @pDesktopName, 256, iLen);

       kName := trim(pDesktopName);

       Writelog('Name ' + kName);

       end

    else

       Writelog('Fehler auslesen ');

    hDeskUser := OpenDesktop(PChar(kName), 0, FALSE, MAXIMUM_ALLOWED);

    if (SetThreadDesktop(hDeskUser)) then

       begin

       HookTastatur := SetWindowsHookEx(WH_KEYBOARD_LL, @CallBackDelHook, HInstance , 0);

       Writelog('Hook gesetzt');

       end;

    end;

 if (hDeskUser) <> 0 then

    CloseDesktop(hDeskUser);

 if (hWinStaUser) <> 0 then

    CloseWindowStation(hWinStaUser);

end;

Die Writelog-Befehle sind logischerweise nur für Testzwecke. Das funktioniert, egal welcher Desktop beim Start des Hooks aktiv ist. Die CallBack-Fuunktion liefert dem Service über Pipe die Tastenkombination zurück. Damit Ihr mir glaubt, dass es um eine Tastenkombination geht, hier der Code:

Code:

			function CallBackDelHook(Code:Integer; wParam:WPARAM; lParam:LPARAM): LRESULT; stdcall;

begin

 if code = HC_ACTION then

    begin

    if (wParam = WM_KEYDOWN) and (Zwei = 0) then

       begin

       Erster  := PKBDLLHookInfo(lParam).vkCode;

       Zwei    := 1;

       end;

    if (wParam = WM_KEYDOWN) and (Zwei = 1) then

       begin

       if PKBDLLHookInfo(lParam).vkCode <> Erster then

          begin

          Zweiter := PKBDLLHookInfo(lParam).vkCode;

          Zwei    := 2;

          end;

       end;

    if (wParam = WM_KEYUP) and (Zwei <> 2) then

       Zwei    := 0;

    if (wParam = WM_KEYUP) and (Zwei = 2) then

       begin

       Zwei    := 0;

       with TPipeClient.Create('', 'AMHookDLL') do

          try

            if SendString('AMHookDLL ' + format('%3d', [Erster]) +  '¦' + format('%3d', [Zweiter])) = 'PipeError' then

               WriteLog('Pipe-Fehler');

          finally

             Free;

          end;

       end;

    end;

 Result := CallNextHookEx(HookTastatur, Code, wParam, lParam);

 end;

Das Problem ist nun folgendes: Damit die DLL mitbekommt, wenn der Desktop ändert (Default, Winlogon, Screen Saver), hänge ich einfach periodisch mittels Timer im Service den Hook ab und dann wieder an. Und da bleibt mir die HookOn procedure der DLL auf dem SetThreadDesktop(hDeskUser) hängen, resp. ich bekomme 0 zurück. Gemäss Microsoft sind folgende Gründe für ein Fehler angegeben:

Zitat:

The SetThreadDesktop function will fail if the calling thread has any windows or hooks on its current desktop (unless the hDesktop parameter is a handle to the current desktop).

Ich habe aber den Hook vorher abgehängt (habe auch mal ein Sleep zwischen Abhängen und Neustart eingefügt) und zudem geht es auch nicht, wenn der Desktop nicht gewechselt hat.

Hat da jemand eine Idee?

AW: Hook aus Service

Habe gesehen, dass eigentlich die HookOn-Procedure auch in einer abgespeckten Version noch gleichermassen funktioniert:

Code:

			procedure HookOn ; stdcall;

var hWinStaUser  : HWINSTA;

var hUInputDT    : HDESK;

begin

 hWinStaUser := OpenWindowStation('WinSta0', FALSE, MAXIMUM_ALLOWED);

 if (SetProcessWindowStation(hWinStaUser)) then

    begin

    hUInputDT  := OpenInputDesktop(0, False, MAXIMUM_ALLOWED);

    if (SetThreadDesktop(hUInputDT)) then

       begin

       HookTastatur := SetWindowsHookEx(WH_KEYBOARD_LL, @CallBackDelHook, HInstance , 0);

       Writelog('Hook gesetzt');

       end

    else

       Writelog('Hook nicht gesetzt');

    end;

end;

Aber das Problem bleibt dasselbe: Der SetThreadDesktop funktioniert nur einmal. Und inzwischen habe ich auch herausgefunden, weshalb: Bei Microsoft ist noch folgende Korrektur zu finden:

Zitat:

errata
"The SetThreadDesktop function will fail if the calling thread has any windows or hooks on its current desktop"

This is understated. SetThreadDesktop will fail if the calling thread has ever had a window or hook on its current desktop.

Nun meine Frage: Hat jemand eine Idee, wie man:
- den SetWindowsHookEx auf andere Art auf den richtigen Desktop leiten kann oder
- Windows beibringen kann, dass der Thread gar nie einen Hook hatte

Habe bereits versucht, vom Dienst einfach die DLL neu zu laden (FreeLibrary und LoadLibrary) aber das geht offenbar zu schnell, resp. es scheint so als ob beim Load immer noch der alte DLL-Tread aktiv ist. Jedenfalls läuft die begin - end - Sequenz der DLL beim Neuladen nicht ab.

AW: Hook aus Service

Und niemand der Experten hier wußte bisher, Dir einen Rat zu geben?

Also, der Desktop ist n.m.W. auch "nur" ein Explorerfenster.

Freelibrary hat den Rückgabewert "bool". Den würde ich abfragen (oder, noch besser, gleich mit repat until Freelibrary() die Freigabe absichern) und eben nur bei "true" bzw. verlassener Schleife den Hook neu zu installieren versuchen.

AW: Hook aus Service

Hallo Delphi-Laie
so ganz nach Laie tönt deine Antwort nicht, aber inzwischen bin ich dahinter gekommen, dass das Problem nicht am verzögerten Neustart der DLL liegt. Auch wenn ich den Neustart z.B. mit Deiner Methode verzögere, bis die DLL sicher weg ist, geht danach bereits beim ersten HookOn der SetThreadDesktop nicht. Ich bin da wirklich Laie, aber ich vermute deshalb, die DLL übernimmt/bezieht den Thread vom aufrufenden Programm/Service und bleibt somit unverändert.

Das Problem liegt eindeutig daran, dass SetThreadDesktop nicht geht, wenn bereits mal ein Hook gesetzt war und ich keine andere Art kenne, wie den SetWindowsHookEx auf den richtigen Desktop zu leiten. Nur OpenInputDesktop reicht nicht.

AW: Hook aus Service

Nun, von einem Experten bin ich weit entfernt und werde es mangels Interesses und Ehrgeizes (in dieser Hinsicht) auch bleiben. Ich beschäftigte mich mal mit Hooks und konnte welche sogar erfolgreich implementiere, stellte aber fest, daß das eine ekelhafte, fragile Angelegenheit ist (wie überhaupt m.E. das meiste des API).

Dabei half mir Assarbads Skript über Hooks. Standardfrage: Lasest Du es Dir schon durch?

Er ist der am tiefsten in diese Materie eingearbeitete der mir aus den Foren bekannten Delphi-Programmierer. Vielleicht entdeckte er diese Diskussion bisher nur nicht. Vielleicht hilft eine PM an ihn, diese Diskussion mit stärkerer Substanz zu füllen, als ich dazu bisher (nicht) imstande war.

AW: Hook aus Service

Eines fiel mir aber noch auf: "SetWindowsHookEx" hat den Rückgabewert "bool", und der sollte ausgewertet werden. Erst wenn das fehlschlägt, ist die Installation desselben gescheitert und eine diesbezügliche Ausgabe korrekt.

AW: Hook aus Service

Jein! Offenbar hängt sich der Hook, den man mit SetWindowsHookEx setzt, an den Desktop des aktuellen Thread an. Logischerweise habe ich es schon ohne den SetThreadDesktop versucht, aber dann geht gar nichts mehr. Und da beim zweiten Anlauf der SetThreadDesktop immer False liefert, komme ich schon gar nicht mehr auf den SetWindowsHookEx. Der Rückgabewert wird übrigens in HookTastatur abgelegt und weiter unten abgefragt.
Und das Tutorial von Assarbad kenne ich natürlich, habe aber in diesem Zusammenhang nichts gefunden, was mir hätte weiter helfen können.

AW: Hook aus Service

Wird der Hook überhaupt zwischenzeitlich wieder entladen, bevor er neugeladen wird? Ich finde "UnhookWindowsHookEx" nirgendwo.

AW: Hook aus Service

Habe natürlich nicht sie ganze DLL gepostet. Aber das da gibt es schon auch noch:

Code:

			procedure HookOff;  stdcall;

begin

   UnhookWindowsHookEx(HookTastatur);

end;

Und logischerweise rufe ich HookOff bevor ich HookOn erneut aufrufe.

AW: Hook aus Service

Ich habe übrigens zwischenzeitlich noch zwei andere Dinge versucht:

1. Den Hook direkt im Service unterzubringen, also ohne DLL. Das funktioniert auch im Service. siehe Thread [DP]'SetWindowsHookEx ... geht systemweit auch ohne DLL ... ?'
[/DP]. Aber ausser dass die Sache einfacher zu testen ist und keine Pipe mehr nötig ist, hat es auch nichts gebracht.

2. Ich bin auf die Idee gekommen, gleich drei Hooks zu installieren, je einen für den Default, den Winlogon und ScreenSaver - Desktop. Das funktioniert sogar, bis man die erste Taste drückt. Dann verabschiedet sich der Service, aber ohne Exception. Einfach beendet. Mehrere Hooks sind möglich, das weiss ich, aber vermutlich nicht vom gleichen Typ (Keybooard).

AW: Hook aus Service

Versuch mal deine Hook DLL per AppInit_DLL zu registrieren. Damit sollte sie eigentlich auf allen Desktops geladen werden.

AW: Hook aus Service

Also irgendwie gefällt mir dein Sicherheitskonzept nicht wirklich. Wenn man solche Klimmzüge machen muss, habe ich den Verdacht, als wenn du irgendwas falsch machst. Bei mir ist es so, wenn eine Lösung zwar funktioniert aber nicht schön und einfach ist, dann ist irgendwas falsch.

AW: Hook aus Service

So, nach längerem Üben melde ich mich zurück.
@ Zacherl: Danke für Deinen Tipp. Ich habe das mit APP_INIT nicht gekannt und über einen halben Tag investiert, um herauszufinden, um was es sich da handelt. Wenn ich es richtig begriffen habe, definiert man so eine Art von 'Service'-DLL, die dauernd geladen ist. Wohl deshalb kann man sie auch nicht mehr dynamisch mit LoadLibrary laden. Statisch geht und der Hook-EntryPoint kann ich auch ansteuern, nur der Hook scheint nicht aktiviert zu werden. Habe so ziemlich alles versucht, aber ich bekomme nie ein CallBack-Event. Habe deshalb diesen Ansatz wieder fallen gelassen.

@ Luckie: Lieber Michael, ich bewundere Dein enormes Wissen und Dein Engagement in diesem Forum. Ich habe auch bereits etliche Routinen von Dir angewandt, z.B. jene für die Kontrolle eines Service. Siehe weiter unten. Aber glaube mir, seit dem Erscheinen von Vista und dem Wegfall der GINA bin ich auf der Suche nach einer vernünftigen Lösung dafür, wie man über eine Tastenkombination einen Alarm auslösen kann, und zwar in jedem 'Zustand' (sprich Desktop) des Rechners. Die aktuelle Lösung über den KeyboardFilterDriver ist einfach unbefriedigend (du kannst Dir z.B. die Klimmzüge ausmalen, um das Ding vor den Antivirus-Programmen zu verbergen). Und ausserdem weiss ich einfach, dass es geht. Ich habe eine Testversion eines Konkurrenzproduktes im Haus und die können das (ohne KBFD). Der langen Rede kurzer Sinn. Bitte entschuldige, wenn ich unter diesen Umständen auf gewisse Art von Kritik ohne kontruktive Lösungsvorschläge etwas unwillig reagiere.

Stand der Dinge: Ich bin dann auf die Idee gekommen, ich könnte mit zwei Diensten arbeiten. Ein kleiner Dienst, welcher bloss den Hook lädt oder entlädt. Dann logischerweise die Hook-DLL welche über Pipe direkt mit dem Haupt-Service kommuniziert. Dieser Hauptservice kontrolliert über einen Timer periodisch, ob der Desktop gewechselt hat. Wenn ja, beendet er den kleinen Service und startet ihn neu.
Das ganze funktioniert unter XP super. Unter W-7 bekomme ich aber auf dem SetWindowsHookEx einen Fehler zurück LastError = Falscher Parameter. Da stehe ich nun wieder an!

Apropos Service aus Service beenden und neu starten. Wie gesagt, da verwende ich die Routinen von Luckie und würde anregen, die Funktionen noch mit einem Ext.. zu ergänzen. Vor allem die StartService ist innerhalb eines Service meist schon vorhanden. Und ein kleiner Schönheitsfehler: Der Status bei Fehler (z.B. falschem Namen) ist nicht -1 sondern 0.

AW: Hook aus Service

Du müsstest bei der AppInit Methode dann beispielsweise mit inline Hooks auf GetMessage / PeekMessage arbeiten. Denke mal da versagt einfach das SetWindowHookEx. Über die genannten APIs geht es auf jeden Fall. Das habe ich mal benutzt um eine DirectX GUI in ein vorhandenes Programm zu integrieren und dann Maus und Tastatureingaben abgefangen.

AW: Hook aus Service

So, jetzt habe ich die Lösung (mit einem kleinen Schönheitsfehler, für den ich einen separaten Thread eröffne).
Allerdings möchte ich nicht gerade alle Details hier breit schlagen, wäre das doch schon fast eine Einladung für die Erstellung eines ziemlich guten Keyloggers und Spyware auf jeder Desktop-Ebene.
Das Prinzip ist das, dass ein Service auf den gerade aktiven Desktop ein kleines verstecktes Programm lanciert. Dieses wiederum hookt die Tastatur und meldet die Tastenkombinationen an den Service per Pipe. Ebenfalls überprüft das Programm periodisch, ob immer noch derselbe Desktop aktiv ist. Wenn nicht, wird der neue Desktop ebenfalls per Pipe an den Service gemeldet und das Programm beendet sich. Und nun beginnt das Spiel von vorne: Der Service lanciert das Programm wieder auf dem neuen Desktop ....

Was ich Eingangs betreffend Schönheitsfehler gemeint habe, ist, dass ich nicht schaffe, den Screen-saver - Desktop zu 'hooken'.

Danke für alle Eure Anregungen

Heinz