C++ 之 Hook编程

当我们使用特定函数来安装一个钩子时，操作系统会给这个钩子分配一个钩子链表，信息先经过钩子函数洗一遍，才行。
这段程序会根据钩子类型的不同，来实现不同程度的消息截获，并且这个钩子链表里包含了这个钩子程序的地址，类型，回调函数的地址！
并且钩子子程序的优先级会高于应用程序，在接受消息时会被钩子子程序先行截获，操作系统会先把消息发送给钩子，由钩子决定这些消息是否发送下去，钩子可以拦截这些消息，可以决定这些消息的作用，甚至可以屏蔽这些消息不让传递到指定应用程序当中！
在安装钩子的时候是由顺序之分的，链表遵循的是先进后出，也就是说钩子链表的首节点始终是最后一个安装钩子的钩子子程序，并且每个进程下只能有一个钩子，如果重复安装钩子会安装失败！钩子是堆栈，填在后面，但是从后面向前传。

钩子类型
全局钩子
所有程序触发的消息都会被操作系统发送到消息队列里，全局钩子的作用就是钩系统级的消息队列，当操作系统将消息队列里的消息发送出去时会率先发送给全局钩子，并且由全局钩子截获，全局钩子决定这些消息的存亡，钩子可以决定处理或不处理，也可以决定处理完之后再发送给应用程序或者不处理直接发送给应用程序，不过这样做的话钩子的意义就不大了！

局部钩子
局部钩子即只钩进程下的消息，当操作系统在将消息发送给各个程序时，操作系统不会把所有消息都发送给此钩子，而是只把当前进程下产生的消息在发送给进程下的消息队列时先发送给钩子子程序，而不是直接发给消息队列，由钩子子程序决定这些消息的处理方式！

HOOK应用模式
观察模式：
最常用的应用模式，即简单创建一个Hook子程序，用于观察某些进程下的消息，并对其进行截获处理！

注入模式：
即通过Hook子程序将DLL动态库注入到某个进程下，使其成为进程的一部分！不是很清楚。

替换模式(注入模式的一种)：
利用Hook子程序将动态库注入到某个进程下，并拦截某个进程调用函数过程，将调用函数替换成自己DLL动态库函数！(黑客常用)

插件模式(注入模式的一种)：
将动态库函数注入到指定进程下，并协调调用动态库函数，扩展程序业务！

修复模式(替换模式的一种)：
利用Hook技术将某个消息对应的函数替换成新的执行函数！

其还有其他应用模式，这一般取决于用户怎么使用Hook，用它做些什么！

当我们安装Hook子程序之后，就意味着操作系统要建立一张钩子链表来维护它，并且每次传递消息都要率先传递给钩子子程序，如果钩子子程序没有做任何处理则再由钩子子程序发送给对应的进程，那么这样来来回回，就需要浪费了很多时间，耗费系统资源，所以当在使用完钩子之后建议立马卸载，避免影响系统运行效率，并且如果你安装了钩子，但是在程序结束时钩子都没有被卸载，那么操作系统会帮你卸载这些钩子！

Hook的缺点非常明显，那就是当某个程序没有触发任何窗体消息时那么Hook永远不会被执行，其Windows下用于绘制窗口和处理事件驱动的模块是user32.dll，也就是说当一个窗口被创建和事件驱动等消息机制被创建出来时就会加载user32动态库，调用里面的API来完成，倘若某个进程在进行一些复杂的计算公式，不去调用user32那么Hook(仅限局部，因为不是所有的进程都会这样)将永远不会被执行！

每日小常识：
LRESULT是一个数据类型，
MSDN： 32-bit value returned from a window procedure or callback function
指的是从窗口程序或者回调函数返回的32位值，一个int值。

而且是Windows系统编程的话，用GCC恐怕不行了。

钩子编程最好放到动态链接库。