现在的即时翻译软件种类很多

1、从屏幕抓词的技术实现周天舒 1999/6/22前言：现在的即时翻译软件种类很多，使用方法也各有千秋，但它们大都有一个共同的特点：鼠标指到哪儿，就翻译它下面的单词。这大大地方便了用户，但是从一个编程人员的角度来看就不那么轻松了。因为没有一个方便的函数类似”GetWordUnderMouse()”可以得到鼠标下面的单词，那么这些软件是怎么做的呢？经常在BBS和mailing list里看到和我同样困惑的问着相同问题的网友们。经过痛苦地研究后，我找到了一种实现的方法，现拿出来和大家共享。注：这个程序是为NT定做的，只能在NT下运行。技术概述：屏幕上的大多数文字都是由gdi32.dll的以下几个函数显

2、示的：TextOuA,TextOutW,ExtTextOutA,ExtTextOutW。象user32.dll中的DrawTextA，DrawTextW都是调用GDI32.DLL的这几个函数实现的。其实大家都知道实现屏幕抓词的关键是如何截获对这几个函数的调用。我从易到难简要描述一下实现抓词需要做的几件事：一、 得到鼠标的当前位置。二、向鼠标下的窗口发重画消息，让它调用系统函数重画。三、截获对系统函数的调用，得到发给系统函数的参数。下面我对每一条逐个详细描述。实现步骤相关技术的详细描述：一、 得到鼠标的当前位置只要装入一个WH_MOUSE类型的系统钩子，就可以截获所有的鼠标消息。SetWindo

3、wsHookEx(WH_MOUSE, /钩子类型 (HOOKPROC)MouseProc, /回调函数 GetModuleHandle("hookdll.dll"), /我的动态库 0); /标明是系统钩子在回调函数里： if ( wParam = WM_MOUSEMOVE ) lpMouseHookStruct = (LPMOUSEHOOKSTRUCT)lParam; MousePoint=lpMouseHookStruct->pt; /这就是鼠标的当前位置二、 向鼠标下的窗口发重画消息，让它调用系统函数重画。由鼠标的当前位置可以得到它下面的窗口句柄。HANDLE

4、hwnd=WindowFromPoint(MousePoint);发重画消息。 RECT rect; /这样构造rect是为了简单起见 ScreenToClient(hwnd,&MousePoint); rect.left=MousePoint.x; rect.top=MousePoint.y; rect.right=MousePoint.x+1; rect.bottom=MousePoint.y+1; InvalidateRect(hwnd,&rect,FALSE);三、 截获对系统函数的调用，得到发给系统函数的参数。我先作出结论，随后再一条一条地解释。1、 仿照TextOu

5、A,TextOutW,ExtTextOutA,ExtTextOutW做4个自己的函数，与它们的副本 拥有相同的参数和返回值，和系统钩子放在同一个DLL里。它们分别是：MyTextOuA, MyTextOutW,MyExtTextOutA,MyExtTextOutW。2、由于系统鼠标钩子已经完成注入其它GUI进程的工作，我们不需要为注入再做工作。2、 当包含钩子的DLL注入了其它的进程后，寻找映射到这个进程虚拟内存里的各个 模块（EXE和DLL）的基地址。3、 得到模块的基地址后，根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR 数组，看是否引入了gdi32.dll

6、。如是，穷举IMAGE_THUNK_DATA数组，看是否引入了 TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。4、如果找到其中之一，将其替换为相应的自己的函数。下面我对每一步用到的代码和概念进行解释。我们只以TextOutA为例，其余都是相同的。1、自己的四个函数的代码 SysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA"); BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int

7、 nYStart, LPCSTR lpszString,int cbString) 输出lpszString的处理。 return (FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString); 我的意图是：当截获了系统调用，每次要显示文字时会调到我的函数，等我显示了 通过参数传给我的单词后，再交给系统函数处理。2、由于系统鼠标钩子已经完成注入其它GUI进程的工作，我们不需要注入再做工作。 如果你知道所有系统钩子的函数必须要在动态库里，你就不会对注入这个词感到奇怪。 首先，当一个进程隐式或显示调用一个动态库里的函数时，系统都要把这个动态

8、库映射 到这个进程的虚拟地址空间里。将DLL映射到进程的虚拟地址空间里使得DLL成为 这个进程的一部分，它以这个进程的身份执行，使用这个进程的堆栈。图1：DLL映射到进程的虚拟地址空间中对于一个系统钩子来说，系统自动将包含“钩子回调函数”的DLL映射到受到钩子函数影响的所有进程的地址空间中。也就说是将这个DLL注入了那些进程。为什么要注入DLL到别的进程呢？当执行一个EXE时，系统给它分配4GB的虚拟地址空间并将EXE文件几乎是原封不动到映射到其中，也就是内存中的映像与磁盘上的文件结构是几乎是相同的。然后，系统将这个EXE直接和间接使用的DLL也几乎是原封不动到映射到其中。DLL在内存中的映像

9、与磁盘上的文件也几乎是一样的。为什么说几乎呢？因为PE文件的装载器还是要改一点内容的，比如动态链接的函数的地址。当我们编的包含钩子的动态库被注入到进程的地址空间后，它就能够查询被注入的进程的地址空间，并找到EXE和其余DLL被映射到的虚拟内存的基地址。这是我们的目的。3、当包含钩子的DLL注入了其它的进程后，寻找映射到虚拟内存的各个模块（EXE和DLL） 的基地址。EXE和DLL被映射到虚拟内存空间的什么地方是由它们的基地址决定的。它们的基地址是在链接时由链接器决定的。当你新建一个Win32工程时，VC+链接器使用缺省的基地址0x00400000。你如果跟踪进WinMain的时候，hInsta

10、nce值总是0x00400000就是上面的原因。当然也可以通过链接器的/BASE选项改变模块的基地址。现在我们知道了，EXE通常被映射到虚拟内存的0x00400000处。DLL由于它们也有各自不同的基地址，通常情况下也被映射到不同进程的相同的虚拟地址空间处。那么我们怎么才能知道EXE和DLL被映射到哪里了呢？在win32中，HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的虚拟内存空间的基地址。比如：HMODULE hmodule=GetModuleHandle(“gdi32.dll”);返回的模块句柄强制转换为指针后，就是gdi32.dll被装入的基地址。关于如何找到虚

11、拟内存空间映射了哪些DLL？我用如下方式实现：while(VirtualQuery (base, &mbi, sizeof (mbi)>0) /穷举每一块内存区域if(mbi.Type=MEM_IMAGE) /是EXE或DLL的映射ChangeFuncEntry(DWORD)mbi.BaseAddress,1); /将基地址作为模块句柄传给我做的函数base=(DWORD)mbi.BaseAddress+mbi.RegionSize; /继续4、得到基地址后，根据PE文件的格式穷举这个模块的IMAGE_IMPORT_DESCRIPTOR数组，看是否引入了GDI32.DLL。如是，

12、穷举IMAGE_THUNK_DATA数组，看是否引入了TextOuA,TextOutW,ExtTextOutA,ExtTextOutW等4个函数。5、如果找到其中之一，将其替换为相应的自己的函数。 在前面已经说过，系统将EXE和DLL原封不动到映射到虚拟内存空间中，它们在内存 中的结构与磁盘上的静态文件结构是一样的。即PE (Portable Executable) 文件格式。 PE文件格式的详细说明请参见MSDN，这里只说明相关的地方。 WIN32 EXE与DLL动态链接的概念。 所有对给定API函数的调用总通过可执行文件的同一个地方转移。那就是一个模块 (可以是EXE或DLL)的输入地址表

13、(import address table)。那里有所有本模块调用的其它 DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地址表，由输入 地址表再跳转到DLL真正的函数入口。例如：图2：对MessageBox()的调用跳转到输入地址表，从输入地址表再跳转到MessageBox函数IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA分别对应于DLL和函数。它们是PE文件的输入地址表的格式，反正只要这样做就好啦：BOOL ChangeFuncEntry(HMODULE hmodule) PIMAGE_DOS_HEADER pDOSHeader; PIMA

14、GE_NT_HEADERS pNTHeader; PIMAGE_IMPORT_DESCRIPTOR pImportDesc; /*get system functions and my functions' entry*/ pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle("gdi32.dll"),"TextOutA"); pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle("hookdll.dll"),"MyTextOutA&

15、quot;); pDOSHeader=(PIMAGE_DOS_HEADER)hmodule; if (IsBadReadPtr(hmodule, sizeof(PIMAGE_NT_HEADERS) return FALSE; if (pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE) return FALSE; pNTHeader=(PIMAGE_NT_HEADERS)(DWORD)pDOSHeader+ (DWORD)pDOSHeader->e_lfanew); if (pNTHeader->Signature != IMAGE_NT_S

16、IGNATURE) return FALSE; pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)(DWORD)hmodule+ (DWORD)pNTHeader->OptionalHeader.DataDirectory IMAGE_DIRECTORY_ENTRY_IMPORT.VirtualAddress); if (pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)pNTHeader) return FALSE; while (pImportDesc->Name) PIMAGE_THUNK_DATA pThunk;

17、strcpy(buffer,(char*)(DWORD)hmodule+(DWORD)pImportDesc->Name);CharLower(buffer); if(strcmp(buffer,"gdi32.dll") pImportDesc+; continue;else pThunk=(PIMAGE_THUNK_DATA)(DWORD)hmodule+(DWORD)pImportDesc->FirstThunk); while (pThunk->u1.Function) if (pThunk->u1.Function) = pSysFunc1)

18、 VirtualProtect(LPVOID)(&pThunk->u1.Function), sizeof(DWORD),PAGE_EXECUTE_READWRITE, &dwProtect); (pThunk->u1.Function)=pMyFunc1; VirtualProtect(LPVOID)(&pThunk->u1.Function), sizeof(DWORD),dwProtect,&temp); pThunk+; return 1; 此段程序中的数据结构及其成员请参见winnt.h。我们替换了输入地址表中TextOutA的入口为MyTextOutA后，截获系统函数调用的主要部分已经完成，当一个被注入进程调用TextOutA时，其实调的是MyTextOutA，只需在MyTextOutA中显示传进来的字符串，再交给TextOutA处理即可。后记：完成了这个程序以后觉得对windo