【转帖】Windows Hook <1> 勾子基本理念
上一篇 / 下一篇 2010-01-20 12:04:05 / 个人分类:C++
<一>勾子基本概念51Testing软件测试网thoQ%zd+c3W
本期导读:什么叫勾子,勾子又起什么作用,它有那些类别,怎么使用,等等这些问题将在本期找到答案51Testing软件测试网6\XftE+P:t
=======================================================================================
.zZDN/F6i4l4N0基本概念51Testing软件测试网&G#L;R#H%BG}j*p
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。
;f g?3o1?}0钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控
,]|F["\V|,XBhJ0r0制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。51Testing软件测试网3O1}&J Sg$jG0x$A
运行机制51Testing软件测试网'|'S Pk5`#r@
1、钩子链表和钩子子程:
)Z9xIM%Y6CL0每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。这个列表的指针指向指定的,应用程序定义的,被Hook子程调用的回调函数,也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。
7M}Psm NH0Windows并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载,Windows便释放其占用的内存,并更新整个Hook链表。如果程序安装了钩子,但是在尚未卸载钩子之前就结束了,那么系统会自动为它做卸载钩子的操作。
G.rZ6k/d;w0钩子子程是一个应用程序定义的回调函数(CALLBACK Function),不能定义成某个类的成员函数,只能定义为普通的C函数。用以监视系统或某一特定类型的事件,这些事件可以是与某一特定线程关联的,也可以是系统中所有线程的事件。51Testing软件测试网[6u{t4H$hc
钩子子程必须按照以下的语法:
xqH;fvX9\$XI'J0LRESULT CALLBACK HookProc51Testing软件测试网:Fx%r ?4w7s3Tx
(
zo,o0q*s4k,X0int nCode,
R[}#X r
y
U+V h0WPARAM wParam,51Testing软件测试网nZ3[6ov5o
LPARAM lParam
-Tj'}k||A0x W0);
yJb#iS1p0HookProc是应用程序定义的名字。
"q J3fn$h#_.z0nCode参数是Hook代码,Hook子程使用这个参数来确定任务。这个参数的值依赖于Hook类型,每一种Hook都有自己的Hook代码特征字符集。51Testing软件测试网JCxRPa OXP C
wParam和lParam参数的值依赖于Hook代码,但是它们的典型值是包含了关于发送或者接收消息的信息。
t KMSW$m"@-j9Z`02、钩子的安装与释放:
F7@
a7R.i9R3f*_V0<1>钩子的安装51Testing软件测试网4G&wtd/S$@
使用API函数SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时,系统就调用与这个Hook关联的Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子程。Hook子程传递事件到下一个Hook子程需要调用CallNextHookEx函数。51Testing软件测试网;Cg:DJ-VK&v[c
HHOOK SetWindowsHookEx(
Qno,T:Y1K0int idHook, //参数<1>51Testing软件测试网*TDQ.hI
HOOKPROC lpfn, //参数<2>51Testing软件测试网 aa#m6K;Uu%]j
HINSTANCE hMod, //参数<3>
8H6lU?Gy0DWORD dwThreadId //参数<4>
/Y AT%x
e;h0);
7M\&t L1gw3QPq.i0参数<1>idHook是钩子的类型,即它处理的消息类型
p-]q*luy0参数<2>lpfn是钩子子程的地址指针。如果dwThreadId参数为0,或是一个由别的进程创建的线程的标识lpfn必须指向DLL中的钩子子程。除此以外,lpfn可以指向当前进程的一段钩子子程代码。 参数<3>nMod是应用程序实例的句柄。标识包含lpfn所指的子程的DLL,如果dwThreadId 标识当前进程创建的一个线程,而且子程代码位于当前进程,hMod必须为NULL。可以很简单的设定其为本应用程序的实例句柄。51Testing软件测试网W,tlYg
参数<4>dwThreadID:与安装的钩子子程相关联的线程的标识符, 如果为0,钩子子程与所有的线程关联即为全局钩子。51Testing软件测试网]ilt{E(gaw2h
函数成功则返回钩子子程的句柄,失败返回(NULL)0。51Testing软件测试网nwY!h+Z
51Testing软件测试网.F `3oNRkN(b
<2>钩子的循环51Testing软件测试网:T"H8N1iK5[8u
以上所说的钩子子程与线程相关联是指在一钩子链表中发给该线程的消息同时发送给钩子子程,且被钩子子程先处理。在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另外一个SDK中的API函数CallNextHookEx来传递它,以执行钩子链表所指的下一个钩子子程。这个函数成功时返回钩子链中下一个钩子过程的返回值,返回值的类型依赖于钩子的类型。这个函数的原型如下:
Z*Zv-z,n0LRESULT CallNextHookEx51Testing软件测试网Z&]$]6K8G:UB2h
(
y2\.W9j8r0HHOOK hhook;
Z*b4R n
a"zE$o/bA0int nCode;
/EGx/Dzg8oG0WPARAM wParam;