为何钩子编程具有如此大的杀伤力，让我们又爱又恨

一、钩子介绍钩子的实现机制

钩子英文名叫Hook，是一种截获windows系统中某应用程序或者所有进程的消息的一种技术。下图是windows应用程序传递消息的过程：

 

如在键盘中按下一键，操作系统将收到键按下消息，把消息放入消息队列，然后消息队列对消息进行派发，发给相应的应用程序，经过应用程序处理后发给操作系统，操作系统再调用相应的应用程序的创建的窗口过程。

        我们可能通过钩子截获这些消息，让消息不再往下传递，或者说截获到感兴趣的消息后做点什么。

1.2钩子分类与实现

        钩子分进程内钩子与全局钩子，进程内钩子是截取某一指定的进程的消息，直接在进程内创建与消除钩子即可。全局钩子是截取所有进程的消息，得以动态库的方式实现。

        实现一个钩子一般有三个步骤，首先创建钩子，有专门的API：SetWindowsHookEx，创建成功后，消息将会传给SetWindowsHookEx的形参指定的处理函数。然后在消息处理函数中分析收到的消息，做相应的处理。最后，钩子用完后，用API(UnhookWindowsHookEx)消毁钩子。

二、创建钩子

2.1钩子的创建

SetWindowsHookEx安装一个应用程序定义的钩子过程，并把创建的钩子过程放在钩子链中，可以安装多个钩子，多个钩子就形成了钩子链，最后安装的钩子总是在最前面。创建钩子的函数如下：

 

创建钩子，返回钩子句柄，否则返回NULL。形参定义如下：

idHook：钩子过程类型，如：鼠标消息钩子、键盘消息钩子、消息队列监控钩子等等。具体取值如下：

 

lpfn:相应的钩子过程，也就是一个处理消息的回调函数名而已，如果参数dwThreadId为0，或者dwThreadId指向的是其他进程创建的线程标志符，那么lpfn必须指向一个位于某一动态库中的钩子过程。其他情况下，lpfn可以指向本进程内的某一钩子过程。

hMod:指向钩子过程所在的应用程序实例句柄，如：钩子过程所在的DLL的句柄。如果dwThreadId指定的线程是由当前进程创建，并且钩子过程在当时进程中，那么hMod必须设置为NULL。

dwThreadId:指定与钩子相关的线程标志。如果为0，那么钩子将与桌面上运行的所有线程相关。

 钩子过程可以与特定线程相关也可以与所有线程相关，取决于dwThreadId的取值。

2.2钩子过程分析

        钩子过程，是处理钩子截取的消息的一个回调函数，即SetWindowsHookEx函数中的第二个形参。格式如下：

LRESULT CALLBACK MouseProc(int nCode, WPARAM wParam, LPARAM lParam);形参含义并不是都一样的，不同钩子过程形参表示的意义不一样，我们以鼠标钩子为例说明，参数含义如下：

nCode:指示钩子过程如何处理当前的消息，如果钩子是鼠标消息钩子的话，有两种含义：

 

 wParam:指示鼠标消息标志。

lParam:指向MOUSEHOOKSTRUCT结构体指针。以下是MOUSEHOOKSTRUCT结构体，包含着鼠标消息。

typedef struct {

   POINT pt;//光标包含x,y，是屏幕坐标。

   HWND hwnd;//目标窗口句柄

   UINT wHitTestCode;

   ULONG_PTR dwExtraInfo;

} MOUSEHOOKSTRUCT, *PMOUSEHOOKSTRUCT;

通过这三个参数，可对消息进行分析处理。

        其他钩子过程参数的含义可以通过MSDN文档查看详细说明，如KeyboardProc、MessageProc等。

2.3消毁钩子

        BOOL UnhookWindowsHookEx(HHOOK hhk);此API的功能是把SetWindowsHookEx创建的钩子从钩子链中移除。形参是SetWindowsHookEx返回的钩子句柄。

三、进程内钩子

        进程内钩子一般是为了截获当前应用程序的消息，一般会可以在应用程序初始化的时候创建，当然也可以在自己想创建的时候创建，只是创建之前的消息无法截获。

3.1鼠标钩子过程函数

以下为鼠标钩子过程代码：

HWND            g_DestWndH = NULL;
HHOOK          g_hHookDm = NULL;
LRESULT CALLBACK MouseProc(int nCode, WPARAM wParam, LPARAM lParam)
{            //此区间内的消息都是鼠标消息
             if (WM_MOUSEMOVE <= wParam && wParam <= WM_MOUSEWHEEL) {
                           if(g_DestWndH != NULL) {
                                         ::SendMessage(g_DestWndH, wParam, wParam, lParam);
                                         //鼠标钩子,lParam是MOUSEHOOKSTRUCT结构指针
                                         PMOUSEHOOKSTRUCT lpMsg = (PMOUSEHOOKSTRUCT)lParam;
                                         lpMsg->hwnd = NULL;    //把目的窗口置NULL
                                         lpMsg->dwExtraInfo = 0L;
                                         lpMsg->pt = CPoint(0, 0);
                                         lpMsg->wHitTestCode = 0L;
                           }
                           return 1;//如果想让此消息不再往下传，返回非0
             }
             else//不感兴趣的消息往下传
                           return ::CallNextHookEx(g_hHookDm, nCode, wParam, lParam);
}

3.2创建钩子过程

        以下为创建钩子过程的代码：

if(g_hHookDm == NULL) {
             //如果dwThreadId指定的线程是由当前进程创建，并且钩子过程在当时进程中，那么hMod必须设置为NULL。
             g_hHookDm = ::SetWindowsHookEx(WH_MOUSE,MouseProc, NULL, GetCurrentThreadId());
             if (NULL != g_hHookDm)//创建成功
                           g_DestWndH = m_hWnd;//保存目的窗口句柄
}

3.3消毁进程内钩子

        把钩子过程从钩子链中拿下来，调用一个API即可：

if (NULL != g_hHookDm) {
             UnhookWindowsHookEx(g_hHookDm);
             g_DestWndH = NULL;
}

到此进程内钩子的创建与执行到消毁整个过程都完成了。

四、全局钩子

4.1键盘钩子过程函数

以上进程内钩子只是截获本进程的消息，如果要截获桌面全部线程的消息则要通过全局钩子。全局钩子必须在DLL上实现，钩子过程不能在本进程代码中实现，所以先得写一个DLL，代码见”HookDll”,以键盘钩子为例：

 

nCode:与鼠标钩子是一样的含义，有HC_ACTION与HC_NOREMOVE两个值。

Param:代表具体的虚拟键，如：VK_TAB、VK_RETURN分别代表Tab键、Enter键按下，其他虚拟键消息可查看MSDN的”virtual-key code”.

lParam:存放一些扩展信息，如：按键重复数据、29位表示ALT键的按下情况。

参数的具体含义可查MSDN。关于组合键的问题，参看以下键盘钩子函数的示例代码：

HHOOK g_HookKeyBoard = NULL;
LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
{
             //wParam表示虚拟键，lparam第29位表示ALT键按下状态(按下为1,否则为0),
             //GetKeyState可以获得对应键的状态,所以收下表示Control + ALT + Z组合键按下
             if ('Z' == wParam && GetKeyState(VK_CONTROL) < 0 && (lParam >> 29 & 1)) {
                           ::SendMessage(g_DestWnd, WM_KEYDOWN, wParam, lParam);
                           return 1;
             }
             else
                           return CallNextHookEx(g_HookKeyBoard, nCode, wParam, lParam);
}

注：全局钩子在某版本的系统中，调试状态下，如果调试程序窗口没有获得焦点，在设置断点的方不会停留，如果获得焦点才会停留，也就是说，在调试状态下，不属于本进程的消息断点处不会停留。

4.2创建全局钩子接口

        创建全局钩子的方法在DLL中，所以得引出一个接口，代码如下：

BOOL SetHook(HWND hWnd){
             if (NULL == hWnd)
                           return FALSE;
             g_DestWnd = hWnd;
             //第三个参数可通过些方法获得:GetModuleHandle("MouseHook.dll")
             return (NULL != (g_HookKeyBoard = ::SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInst, 0)));
}

其形参是一窗口句柄，指示截获的兴趣消息需传向的窗口的句柄，其中MetWindowsHookE的第三个参数是DLL的应用程序实例句柄，可通过DllMain的传入参数得到，亦可通过GetModuleHandle方法得到，第四个参数必须为0，才能获得全部桌面线程的消息。成功将返回TRUE否则FALSE。

4.3消毁全局钩子接口

        在DLL中也得引出一接口消毁全局钩子，代码如下：

void DestroyHook(){
             if (NULL != g_HookKeyBoard) {
                           UnhookWindowsHookEx(g_HookKeyBoard);
                           g_DestWnd = NULL;
             }
}

4.4使用DLL创建全局钩子

        以下为创建与消毁全局钩子的实现，代码如下：

HINSTANCE hIst = NULL;
void CHookTestDlg::OnCreateDllHook()
{
             hIst = ::LoadLibrary("..\\HookDll\\Debug\\HookDll.dll");
             if (NULL != hIst) {
                           typedef BOOL (*pFunSetHook)(HWND);
                           pFunSetHook pSetHook = (pFunSetHook)GetProcAddress(hIst, "SetHook");
                           if (NULL != pSetHook) {
                                         if(pSetHook(m_hWnd))
                                                       AfxMessageBox("创建全局钩子成功...");
                           }
             }
}
void CHookTestDlg::OnDestroyDllHook()
{
             if (NULL != hIst) {
                           typedef void (*pFunDestroyHook)();
                           pFunDestroyHook pDestryHook = (pFunDestroyHook)GetProcAddress(hIst, "DestroyHook");
                           if (NULL != pDestryHook) {
                                         pDestryHook();
                                         ::FreeLibrary(hIst);
                                         hIst = NULL;
                           }
             }
}

钩子的类型

（1） 键盘钩子和低级键盘钩子可以监视各种键盘消息。

（2） 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。

（3） 外壳钩子可以监视各种Shell事件消息。比如启动和关闭应用程序。

（4） 日志钩子可以记录从系统消息队列中取出的各种事件消息。

（5） 窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。

 

13种常用的Hook类型：

WH_CALLWNDPROC 和 WH_CALLWNDPROCRET Hooks：监视发送到窗口过程的消息。

WH_CBT Hook：在以下事件之前，系统都会调用WH_CBT Hook子程，这些事件包括：

1. 激活，建立，销毁，最小化，最大化，移动，改变尺寸等窗口事件；

2. 完成系统指令；

3. 来自系统消息队列中的移动鼠标，键盘事件；

4. 设置输入焦点事件；

5. 同步系统消息队列事件。

Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。

WH_DEBUG Hook

在系统调用系统中与其他Hook关联的Hook子程之前，系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。

WH_FOREGROUNDIDLE Hook

当应用程序的前台线程处于空闲状态时，可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时，系统就会调用WH_FOREGROUNDIDLE Hook子程。

WH_GETMESSAGE Hook

应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和键盘输入，以及其他发送到消息队列中的消息。

WH_JOURNALPLAYBACK Hook：使应用程序可以插入消息到系统消息队列。

WH_JOURNALRECORD Hook：监视和记录输入事件，记录连续的鼠标和键盘事件并回放。

WH_KEYBOARD Hook：在应用程序中监视WM_KEYDOWN 和 WM_KEYUP消息；

WH_KEYBOARD_LL Hook：监视输入到线程消息队列中的键盘消息。

WH_MOUSE Hook：监视从GetMessage 或者 PeekMessage 函数返回的鼠标消息。

WH_MOUSE_LL Hook：监视输入到线程消息队列中的鼠标消息。

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks：监视菜单，滚动条，消息框，对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。

WH_SHELL Hook：外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时，系统调用WH_SHELL Hook子程。

WH_SHELL 共有5种情況：

只要有个top-level、unowned 窗口被产生、起作用、或是被摧毁；

当Taskbar需要重画某个按钮；

当系统需要显示关于Taskbar的一个程序的最小化形式；

当目前的键盘布局状态改变；

当使用者按Ctrl+Esc去执行Task Manager（或相同级别的程序）。

按照惯例，外壳应用程序都不接收WH_SHELL消息。

所以，在应用程序能够接收WH_SHELL消息之前，应用程序必须调用SystemParametersInfo function进行注册。

钩子很厉害，用法需谨慎~需要试试钩子的杀伤力的可以加群：①①⑤①③⑨⑤⑨⑦⑤领取噢

制作钩子编程的视频已经上传主页，大家可以观看噢