哪位大师知道屏幕取词的原理?

Hook API
TextOutA
TextOutW
ExtTextOutA
ExtTextOutW
DrawText

解决方案 »

  1.   

    Hook是钩子,你找windows系统编程的书看看吧
      

  2.   

    看这篇文章:
    Q:那里有“屏幕取词”的技术资料
    A:1.从屏幕抓词的技术实现
    周天舒 1999/6/22
    前言:
    现在的即时翻译软件种类很多,使用方法也各有千秋,但它们大都有一个
    共同的特点:鼠标指到哪儿,就翻译它下面的单词。这大大地方便了用户,但是
    从一个编程人员的角度来看就不那么轻松了。因为没有一个方便的函数
    类似”GetWordUnderMouse()”可以得到鼠标下面的单词,那么这些软件是怎么
    做的呢?经常在BBS和mailing list里看到和我同样困惑的问着相同问题的网友们。
    经过痛苦地研究后,我找到了一种实现的方法,现拿出来和大家共享。
    注:这个程序是为NT定做的,只能在NT下运行。技术概述:
    屏幕上的大多数文字都是由gdi32.dll的以下几个函数显示的:
    TextOuA,TextOutW,ExtTextOutA,ExtTextOutW。象user32.dll中的DrawTextA,
    DrawTextW都是调用GDI32.DLL的这几个函数实现的。其实大家都知道实现
    屏幕抓词的关键是如何截获对这几个函数的调用。我从易到难简要描述一下
    实现抓词需要做的几件事:
    一、1 得到鼠标一、2 的当前位置。
    二、向鼠标下的窗口发重画消息,让它调用系统函数重画。
    三、截获对系统函数的调用,得到发给系统函数的参数。
    下面我对每一条逐个详细描述。实现步骤相关技术的详细描述:
    一、3 得到鼠标一、4 的当前位置
    只要装入一个WH_MOUSE类型的系统钩子,就可以截获所有的鼠标消息。
    SetWindowsHookEx(WH_MOUSE, //钩子类型
    (HOOKPROC)MouseProc, //回调函数 
    GetModuleHandle("hookdll.dll"), //我的动态库
    0); //标明是系统钩子
    在回调函数里:
    if ( wParam == WM_MOUSEMOVE ) {
    lpMouseHookStruct = (LPMOUSEHOOKSTRUCT)lParam;
    MousePoint=lpMouseHookStruct->pt; //这就是鼠标的当前位置
    }2、 向鼠标3、 下的窗口发重画消息,4、 让它调用系统函数重画。
    由鼠标的当前位置可以得到它下面的窗口句柄。
    HANDLE hwnd=WindowFromPoint(MousePoint);
    发重画消息。
    RECT rect; //这样构造rect是为了简单起见
    ScreenToClient(hwnd,&MousePoint);
    rect.left=MousePoint.x;
    rect.top=MousePoint.y;
    rect.right=MousePoint.x+1;
    rect.bottom=MousePoint.y+1;
    InvalidateRect(hwnd,&rect,FALSE);5、 截获对系统函数的调用,6、 得到发给系统函数的参数。
    我先作出结论,随后再一条一条地解释。
    1、 仿照TextOuA,TextOutW,ExtTextOutA,ExtTextOutW做4个自己的函数,2、 与它们的副本
    拥有相同的参数和返回值,和系统钩子放在同一个DLL里。它们分别是:MyTextOuA,
    MyTextOutW,MyExtTextOutA,MyExtTextOutW。
    2、由于系统鼠标钩子已经完成注入其它GUI进程的工作,我们不需要为注入再做工作。
    3、 当包含钩子的DLL注入了其它的进程后,4、 寻找映射到这个进程虚拟内存里的各个
    模块(EXE和DLL)的基地址。
    5、 得到模块的基地址后,6、 根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR
    数组,看是否引入了gdi32.dll。如是,穷举IMAGE_THUNK_DATA数组,看是否引入了
    TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。
    4、如果找到其中之一,将其替换为相应的自己的函数。下面我对每一步用到的代码和概念进行解释。我们只以TextOutA为例,其余都是相同的。
    1、自己的四个函数的代码
    SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
    BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString)
    {
    输出lpszString的处理。
    return ((FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString);
    }
    我的意图是:当截获了系统调用,每次要显示文字时会调到我的函数,等我显示了
    通过参数传给我的单词后,再交给系统函数处理。2、由于系统鼠标钩子已经完成注入其它GUI进程的工作,我们不需要注入再做工作。
    如果你知道所有系统钩子的函数必须要在动态库里,你就不会对注入这个词感到奇怪。
    首先,当一个进程隐式或显示调用一个动态库里的函数时,系统都要把这个动态库映射
    到这个进程的虚拟地址空间里。将DLL映射到进程的虚拟地址空间里使得DLL成为
    这个进程的一部分,它以这个进程的身份执行,使用这个进程的堆栈。
    图1:DLL映射到进程的虚拟地址空间中对于一个系统钩子来说,系统自动将包含“钩子回调函数”的DLL映射到受到钩子函数
    影响的所有进程的地址空间中。也就说是将这个DLL注入了那些进程。
    为什么要注入DLL到别的进程呢?
    当执行一个EXE时,系统给它分配4GB的虚拟地址空间并将EXE文件几乎是原封不动
    到映射到其中,也就是内存中的映像与磁盘上的文件结构是几乎是相同的。然后,系统将
    这个EXE直接和间接使用的DLL也几乎是原封不动到映射到其中。DLL在内存中的映像
    与磁盘上的文件也几乎是一样的。为什么说几乎呢?因为PE文件的装载器还是要改一点
    内容的,比如动态链接的函数的地址。
    当我们编的包含钩子的动态库被注入到进程的地址空间后,它就能够查询被注入的进程的
    地址空间,并找到EXE和其余DLL被映射到的虚拟内存的基地址。这是我们的目的。3、当包含钩子的DLL注入了其它的进程后,寻找映射到虚拟内存的各个模块(EXE和DLL)
    的基地址。
    EXE和DLL被映射到虚拟内存空间的什么地方是由它们的基地址决定的。它们的基地址
    是在链接时由链接器决定的。当你新建一个Win32工程时,VC++链接器使用缺省的
    基地址0x00400000。你如果跟踪进WinMain的时候,hInstance值总是0x00400000就是上面的
    原因。当然也可以通过链接器的/BASE选项改变模块的基地址。
    现在我们知道了,EXE通常被映射到虚拟内存的0x00400000处。DLL由于它们也有各自
    不同的基地址,通常情况下也被映射到不同进程的相同的虚拟地址空间处。
    那么我们怎么才能知道EXE和DLL被映射到哪里了呢?
    在win32中,HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的虚拟
    内存空间的基地址。比如:
    HMODULE hmodule=GetModuleHandle(“gdi32.dll”);
    返回的模块句柄强制转换为指针后,就是gdi32.dll被装入的基地址。
    关于如何找到虚拟内存空间映射了哪些DLL?我用如下方式实现:
    while(VirtualQuery (base, &mbi, sizeof (mbi))>0) //穷举每一块内存区域
    {
    if(mbi.Type==MEM_IMAGE) //是EXE或DLL的映射
    ChangeFuncEntry((DWORD)mbi.BaseAddress,1); //将基地址作为模块句柄传给我做的函数
    base=(DWORD)mbi.BaseAddress+mbi.RegionSize; //继续
    }4、得到基地址后,根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR数组,
    看是否引入了GDI32.DLL。如是,穷举IMAGE_THUNK_DATA数组,看是否引入了
    TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。
    5、如果找到其中之一,将其替换为相应的自己的函数。
    在前面已经说过,系统将EXE和DLL原封不动到映射到虚拟内存空间中,它们在内存
    中的结构与磁盘上的静态文件结构是一样的。即PE (Portable Executable) 文件格式。
    PE文件格式的详细说明请参见MSDN,这里只说明相关的地方。
    WIN32 EXE与DLL动态链接的概念。
    所有对给定API函数的调用总通过可执行文件的同一个地方转移。那就是一个模块
    (可以是EXE或DLL)的输入地址表(import address table)。那里有所有本模块调用的其它
    DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地址表,由输入
    地址表再跳转到DLL真正的函数入口。例如:
    图2:对MessageBox()的调用跳转到输入地址表,从输入地址表再跳转到MessageBox函数
    IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA分别对应于DLL和函数。
    它们是PE文件的输入地址表的格式,反正只要这样做就好啦:
    BOOL ChangeFuncEntry(HMODULE hmodule)
    {
    PIMAGE_DOS_HEADER pDOSHeader;
    PIMAGE_NT_HEADERS pNTHeader;
    PIMAGE_IMPORT_DESCRIPTOR pImportDesc;/*get system functions and my functions' entry*/
    pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA");
    pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle("hookdll.dll"),"MyTextOutA");pDOSHeader=(PIMAGE_DOS_HEADER)hmodule;
    if (IsBadReadPtr(hmodule, sizeof(PIMAGE_NT_HEADERS)))
    return FALSE;
    if (pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE)
    return FALSE;pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pDOSHeader+
    (DWORD)pDOSHeader->e_lfanew);
    if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)
    return FALSE;pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hmodule+
    (DWORD)pNTHeader->OptionalHeader.DataDirectory 
    [IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
    if (pImportDesc == (PIMAGE_IMPORT_DESCRIPTOR)pNTHeader) 
    return FALSE;while (pImportDesc->Name) 
    {
    PIMAGE_THUNK_DATA pThunk;
    strcpy(buffer,(char*)((DWORD)hmodule+(DWORD)pImportDesc->Name));
    CharLower(buffer);
    if(strcmp(buffer,"gdi32.dll"))
    {
    pImportDesc++;
    continue;
    }
    else 
    {
    pThunk=(PIMAGE_THUNK_DATA)((DWORD)hmodule+(DWORD)pImportDesc->FirstThunk);
    while (pThunk->u1.Function) 
    {
    if ((pThunk->u1.Function) == pSysFunc1) 
    {
    VirtualProtect((LPVOID)(&pThunk->u1.Function), 
    sizeof(DWORD),PAGE_EXECUTE_READWRITE, &dwProtect); 
    (pThunk->u1.Function)=pMyFunc1;
    VirtualProtect((LPVOID)(&pThunk->u1.Function), sizeof(DWORD),dwProtect,&temp);
    }
    pThunk++;
    }
    return 1; 
    }
    }
    }此段程序中的数据结构及其成员请参见winnt.h。我们替换了输入地址表中TextOutA的入口为MyTextOutA后,截获系统函数调用的
    主要部分已经完成,当一个被注入进程调用TextOutA时,其实调的是MyTextOutA,
    只需在MyTextOutA中显示传进来的字符串,再交给TextOutA处理即可。后记:
    完成了这个程序以后觉得对windows系统有了更深的理解。比如中文平台
    可能就是截获这几个函数,然后自己做了一套输出中文的函数。再比如我们
    可以注入DLL到超户的进程,那么是不是就得到了超户的权限?关于截获
    API调用是一个很复杂的问题,注入DLL的方法就有很多,比如
    CreateRemoteThread,win32 debug API等。用系统钩子注入带窗口的进程是
    其中的一种比较简单的方法,它对无窗口的进程无效。
    这个程序只能在NT上运行。其实我用的方法不是很简单,还有一种更简单
    的方法,也许大家已经注意到了,我们可以用GetProcAddress得到TextOutA
    的入口,那么我们直接修改入口不是也行吗?具体步骤如下:
    1、 用系统钩子注入其它进程。
    2、 调用GetProcAddress(GetModuleHandle(“gdi32.dll”),”TextOutA”)得到
    TextOutA在地址空间中的地址。
    3、 用WriteProcessMemory函数在TextOutA处写一句跳转到MyTextOutA
    的语句。(0xE9909090L+MyTextOutA地址)
    这样也会使对TextOutA的调用转向到MyTextOutA。只要在MyTextOutA
    中得到参数后再跳回TextOutA即可。
    参考文献:
    Windows 95 windows NT 3.5高级编程技术 jeffrey richter著
    Windows 95系统编程奥秘 matt pietrek著2.计算机应用
    Computer Applications
    1999年 第19卷 第5期 1999--------------------------------------------------------------------------------Windows 95/98下屏幕抓词的原理和实现方法夏庆德 朱 虹摘 要 本文介绍了Windows 95/98下屏幕抓词的原理,对其如何获得鼠标位置的字符串,从代码拦截、鼠标HOOK、屏幕刷新等方面进行了讨论。 最后提到了涉及屏幕抓词的其它一些问题。
    关键词 代码拦截,鼠标HOOK,屏幕刷新1 屏幕抓词  屏幕抓词(或者叫动态翻译)是指随着鼠标的移动,软件能够随时获知屏幕上鼠标位置的单词或汉字,并翻译出来提示用户。它对於上网浏览、在线阅读外文文章等很有帮助作用,因此许多词典软件都提供了屏幕抓词功能。
      屏幕抓词的关键是如何获得鼠标位置的字符串,Windows的动态链接和消息响应机制为之提供了实现途径。 概括地说,主要通过下面的几个步骤来取得屏幕上鼠标位置的字符串:
      . 代码拦截:Windows以DLL方式提供系统服务,可以方便地获取Windows字符输出API的地址,修改其入口代码,拦截应用程序对它们的调用。  . 鼠标HOOK:安装WH—MOUSEPROC类型的全局鼠标HOOK过程,监视鼠标在整个屏幕上的移动。
      . 屏幕刷新:使鼠标周围一块区域无效,并强制鼠标位置的窗口刷新屏幕输出。窗口过程响应WM—NCPAINT和WM—PAINT消息,调用ExtTextOut/TextOut等字符输出API更新无效区域里面的字符串。这些调用被我们截获,从堆栈里取得窗口过程传给字符API的参数,如字符串地址、长度、输出坐标、HDC、裁剪区等信息。
    2 Windows 95/98的字符输出方法  Windows95/98不是一个纯32位的操作系统,它从16位操作系统发展而来,为了保持兼容,其内部仍然是32位和16位代码的混合体。系统通过gdi.exe 、user.exe和krnl386.exe提供16位API,供16位程序调用;通过gdi32.dll、user32.dll和kernel32.dll提归结如下:图1 Windows 95/98的字符输出机制  . 16位程序通过16位gdi.exe的ExtTextOut/TextOut函数输出字符;
      . 32位程序通过gdi32.dll的ExtTextOutA/TextOutA输出ANSI格式的字符,通过ExtTextOutW/TextOutW输出UNICODE格式的字符;
      . 32位的ExtTextOutA/TextOutA转换到16位的ExtTextOut/TextOut,完成ANSI格式字符的输出;
      . 32位的ExtTextOutW/TextOutW转换到16位gdi.exe的两个未公开API,完成UNICODE格式字符的输出。为方便叙述,本文对这两个未公开API称为ExtTextOut16W和TextOut16W。
      因此,只要拦截四个16位函数:TextOut、ExtTextOut、TextOut16W和ExtTextOut16W,就能截获32位和16位应用程序的所有字符串输出。 
    3 拦截字符输出API3.1 代码拦截的基本思路  为了实现对ExtTextOut/TextOut等API的拦截,需要在函数入口放入一条动态生成的“JMP<替代函数>”指令,JMP的操作数是我们提供的一个拦截替代函数的地址。当该API被调用时,JMP指令首先执行,跳转到替代函数。替代函数负责从堆栈中获取参数,计算字符串坐标,分出鼠标位置的单词等工作。执行完成后,替代函数再调用原来的被拦截函数,完成正常的字符输出,然后返回。 图2表明了应用程序对TextOut的正常调用流程和TextOut被拦截后的流程。
    a)① 程序调用TextOut;
    ② 从TextOut返回程序。① 程序调用TextOut(其入口已经被修改);
    ② 转入拦截替代函数myTextOut;
    ③ 从myTextOut调用原来的TextOut;
    ④ 从TextOut返回myTextOut;
    ⑤ 从myTextOut返回程序。图2 对TextOut的正常调用流程   和TextOut被拦截后的流程3.2 提供拦截替代函数  拦截替代函数插入被拦截API的流程中执行,需要有相同的参数和返回值原型。以对TextOut的拦截为例,下面是替代函数myTextOut的伪代码:
    BOOL myTextOut(HDC hdc,int x,int y,LPSTR lpstr,int cbstr)

    DoSpy(hDC,x ,y,lpstr,cbstr);
    //保存参数,作抓词的所有工作
    RestoreCode();//恢复TextOut入口原来的指令
    TextOut(hDC,x,y,lpstr,cbstr);//调用原来的API 
    SpyCode();//再次放入JMP指令
    return TRUE;

      函数首先调用DoSpy()来作抓词的具体工作,然后RestoreCode()函数恢复被拦截函数入口的代码,再调用TextOut()执行正常的字符输出,接下来SpyCode()在被拦截函数入口再次放入JMP指令,最后返回调用进程。 
    3.3 获取被拦截API的动态链接地址  TextOut和ExtTextOut的地址可以通过GetProcAddress取得,而TextOut16W和ExtTextOut16W既未公开于文档,也没有用字符串或序号从gdi.exe中引出,无法使用GetProcAddress取得它们的地址。下面讨论如何解决这个问题。
      第一种方法:用softICE可以跟踪发现,ExtTextOut16W位于公开函数GetTextMetrics 入口的偏移20H处,TextOut16W位于GetTextMetrics的偏移7CH处。所以可以先取得GetTextMetrics的地址,再分别在加上20H和7CH,就是ExtTextOutW和TextOutW的地址。 
      第二种方法:从指令里面析出地址。
      Windows 95/98维持一个DWORD类型的数组,称为32位-16位替换表,表中每个元素存放了一个Win32 API对应的16位API的段:偏移地址。需要转入16位运行的Win32API使用不同的索引来从该表格里面取目的地址。ExtTextOutW和TextOutW分别使用索引B2H和30H,取表中相应元素作为ExtTextOut16W和TextOut16W的地址。取得这个数组的起始位置,根据索引号即可找到16位函数的地址。由于这个数组是一个重定位项,在内存的地址不固定,所以需要从指令流里面动态析出它的地址。
    3.4 动态生成JMP指令   动态生成的JMP指令占用5个字节,保存在一个数组里面。以生成跳转到TextOut的替代函数myTextOut的JMP指令为例:
    BYTE ins[5]; //保存JMP指令
    ins[0] = 0xea; //操作码:1 byte
    *(WORD *)(ins+1) = FP—OFF(myTextOut);
     //操作数:2byte的偏移
    *(WORD *)(ins+3) = FP—SEG(myTextOut);
     //操作数:2byte的段
    3.5 修改被拦截函数的入口  Windows运行在保护模式下,16位进程采用了段保护机制,代码段描述符的属性被标记为只读。如果直接向被拦截函数的入口写入JMP指令,会引起CPU保护错误,因此在修改代码前要采用下面的方法绕过段保护机制:
      . 获取GDI代码段的基地址和界限;
      . 用当前DS复制一个新的段选择子,该选择子的描述符具有可读写的属性;
      . 将复制得到的选择子的基地址和界限设置为GDI代码段的基地址和界限;
      . 用新的选择子作为段,同被拦截API的偏移组合成一个新的地址。
      这样就获得了一个指向被拦截代码的可写指针。先保存5字节内容,再将数组ins[]复制到该地址,即完成对TextOut等API的拦截修改。 
    4 使用HOOK监视鼠标移动  安装一个WH—MOUSEPROC类型的全局HOOK可以监视鼠标在全屏幕的移动。每当有鼠标事件产生,HOOK过程被调用,它判断出鼠标移动了后,就向主窗口发送消息,通知主窗口鼠标位置发生了变化。
      主窗口收到消息后,设置定时器,监视鼠标在某一位置停留时间的长短。如果鼠标停留超过设定的时间,才启动抓词功能,否则抓词功能保持禁止状态。这样可以减少代码拦截对系统性能的影响。
      全局HOOK过程需要放入DLL里面。
    5 刷新屏幕输出  预先创建一个小的工具窗口,当鼠标停留在某个位置超过设定时间后,使工具窗口在鼠标位置上显示一下,然后隐含掉,这样就会在目标窗口——鼠标位置的窗口产生无效区域。然后调用UpdateWindow强制目标窗口刷新屏幕输出。在响应WM—PAINT /WM—NCPAINT中,目标窗口对字符输出API的调用将被我们截获和处理,完成一次抓词过程。
    6 其它  本文所介绍的Windows 95/98环境下屏幕抓词的原理和取得鼠标位置字符串的实现方法。对于进一步的探索,笔者提出下面的几点看法:
      . 只有通过响应WM—PAINT /WM—NCPAINT消息输出的字符串才会被捕捉到;
      . 有些软件(例如Internet Explorer)在刷新屏幕时,为了消除闪烁,不直接把字符串输出到屏幕DC,而是创建一个兼容的内存DC,先将字符串写到内存DC,再复制到屏幕上去。由于内存DC坐标和屏幕DC坐标的不同,不能直接依赖内存DC的坐标来计算字符串的屏幕位置;
      . 本文讨论的方法不适用于Windows NT下的抓词。Windows NT的系统功能完全由32位代码提供,NT下的抓词需要拦截Win32 API。其实现机制同在Windows 95/98下也不一样。在NT里,KERNEL、USER、GDI模块位於进程的私有地址空间内,所以需要使用HOOK来将拦截替代函数动态映射到不同的被拦截进程的地址空间里面。而且由于控制台窗口禁止大多数HOOK,还需要创建远程线程来获取控制台窗口的字符输出。作者简介: 夏庆德 工程师。主要从事通讯软件、测试软件、设备驱动程序方面的技术开发。
          朱 虹 工程师。主要从事卫星姿态控制系统开发工作。
    作者单位:夏庆德 金宝电子(上海)有限公司  上海(200233)
         朱 虹 中国航天工业总公司第八研究院第八一二研究所上海(200233)
    参考文献
    [1] (美)Richter, J,著.Windows95 WindowNT3.5 高级编程技术. 郑全站,阿 夏,译. 北京:清华大学出版社,1996,2
    [2] (美)Goodman, K.J,著.如何开发Windows 95应用程序.郭 勇,等译. 北京:清华大学出版社,1996,5
    [3] (美)Matt Pietrek,著. Windows95系统编程奥秘.米东,王 森,等译. 北京:电子工业出版社,1996,8
    [4] (美)Andrew Schulman,著.Windows95开发指南. 吕天宇,张详侃,张希军,译.北京:电子工业出版社,1995,1 收稿日期:1999-01-14(修改稿)