хук на появление нового окна

[D_E_N]

Всем привет. мне нужно отловить 2 окошка радмина: аунтификацию и окно управления. данный хук отлавливает лишь Управление а аунтификацию не видит.. подскажите что не так???

Код:

library hooklib;

uses
  Windows,
  Messages;

const
  HookMap = '{F3E25943-FCC7-43E5-BE22-7CF35EA5FCC6}';

type
  PHookData = ^THookData;
  THookData = packed record
    AppWnd  : HWND;
    OldHook : HHOOK;
  end;

var
  hMap     : THandle = 0;
  HookData : PHookData = nil;

procedure DLLEntryPoint(dwReason: DWORD);
begin
  case dwReason of
    DLL_PROCESS_ATTACH:
    begin
      hMap     := CreateFileMapping(INVALID_HANDLE_VALUE, nil, PAGE_READWRITE, 0, SizeOf(THookData), HookMap);
      HookData := MapViewOfFile(hMap, FILE_MAP_ALL_ACCESS, 0, 0, SizeOf(THookData));
    end;
    DLL_PROCESS_DETACH:
    begin
      UnMapViewOfFile(HookData);
      CloseHandle(hMap);
    end
  end
end;

procedure SaveLog(s:string);
var
 cds:TCopyDataStruct;
begin
 cds.cbData:=length(s)+1;
 cds.lpData:=pchar(s);
 SendMessage(HookData^.AppWnd,WM_COPYDATA,0,Cardinal(@cds));
end;

function HookProc(Code: Integer; WParam: WPARAM; LParam: LPARAM): LRESULT;stdcall;
var
 WndHeader:array[0..MAX_PATH-1] of char;
begin
  if Code>=0 then
  begin
   case Code of
     HCBT_CREATEWND:
       if (IsWindow(wParam) and (PCBTCreateWnd(lParam)^.lpcs^.hwndParent=0) and
       (lstrlen(PCBTCreateWnd(lParam)^.lpcs^.lpszName)>0)) then
        SaveLog('[Open] '+PCBTCreateWnd(lParam)^.lpcs^.lpszName);

     HCBT_DESTROYWND:
      if (IsWindow(wParam) and IsWindowVisible(wParam) and (GetParent(wParam)=0))  then
      begin
       GetWindowText(wParam,WndHeader,MAX_PATH);
       if (WndHeader<>'')then
       SaveLog('[Close] '+WndHeader);
      end
   end;
   Result := 0;
 end else
 Result := CallNextHookEx(HookData^.OldHook, Code, WParam, LParam);
end;

function SetHook(Wnd: HWND): BOOL; stdcall;
begin
  if HookData <> nil then
  begin
    HookData^.AppWnd := Wnd;
    HookData^.OldHook := SetWindowsHookEx(WH_CBT, HookProc, HInstance, 0);
    Result:=HookData^.OldHook <> 0;
  end else
   Result:=False;
end;

function RemoveHook: BOOL; stdcall;
begin
  Result := UnhookWindowsHookEx(HookData^.OldHook);
end;

exports
  SetHook, RemoveHook;

begin
  if @DLLProc = nil then DLLProc := @DLLEntryPoint;
  DLLEntryPoint(DLL_PROCESS_ATTACH);
end.

получение лог на форме

Код:

procedure TForm1.WMCopyData(var Msg: TWMCopyData);
begin
  inherited;
  Memo1.Lines.Add(pchar(Msg.CopyDataStruct^.lpData));
  Msg.Result:=1;
end;

[Stilet]

Во-первых: Я хуки недолюбливаю. Так что могу посоветовать только одно - в таймере через FindWindow ловить окошки РАдмина. Кстати так я и поступал, правда не с РАдмином.

Во-вторых: Ты в курсе что у РАдминов в разных версиях разные строения окон? Если нет, это тебе на заметку.

В-третьих: А собственно зачем? Лог? Дык РА сам его умеет писать? Скомуниздить пароли? зачем - если ты админ, тебе доступен реестр, все пароли РА там хранить. подмени на свой (я так и делал)

[D_E_N]

мне пароли не нужны. про разные окна я знаю. я через таймер и сделал но захотелось по красивее сделать.

[Stilet]

Работает? - зачем усложнять себе жизнь )
ИМХО - технология хуков уходят в прошлое

[D_E_N]

работает))) вероятно ты прав зачем усложнять...если хуки в прошлое а что вместо них будет?)

[Stilet]

А Х.з.
Я вообще не понимаю зачем это нужно. ИМХО хуки только дыра в безопасности.

[Человек_Борща]

Stilet,
Интересно, почему хуки - это дырка в безопасности?

Цитата:

ИМХО - технология хуков уходят в прошлое

Чем бы вы из заменили? Ни в 7-ке ни в 8-ке, их не убрали...

[eoln]

Хуками можно отслеживать, например, ввод/вывод, а потом с этими данными ...
Хуки всегда будут, тут уж архитектура такая.

[Аватар]

Хуки очень удобны для всяких несанкционированных действий, их MS заложил для отладки своих программ, а потом видимо настолько увлекся их использованием, что никак не может избавиться от версии к версии

[Stilet]

Цитата:

Интересно, почему хуки - это дырка в безопасности?

Потому что:

Цитата:

Хуками можно отслеживать, например, ввод/вывод, а потом с этими данными ...

И антивирусы это могут провтыкать.

Цитата:

Ни в 7-ке ни в 8-ке, их не убрали...

Ну ntvdm какбы тоже еще живее всех живых, так что зная беспечность Микрософта это не показатель