钩子函数和回调函数

回调函数实际上就是在调用某个函数（通常是API函数）时，将自己的一个函数（这个函数为回调函数）的地址(函数指针)作为参数传递给那个函数。而那个函数在需要的时候，利用传递的地址调用回调函数，这时你可以利用这个机会在回调函数(自己写的这个函数)中处理消息或完成一定的操作。

 

简单的说就是回调函数函数不是系统定义的，而是应用程序自己定义的一个由系统来调用的函数，所以显然，它的参数必须按照约定来，即，参数是预先定义好的。

 

首先你要明白什么是函数指针。通过函数指针，可以得到函数所在的内存位置，从而执行该函数。在正常的程序执行过程中，调用方一般都是遇到函数就立即执行。而回调函数则是调用方通过函数指针的形式把函数储存起来。这样在合适的实际调用方就可以通过这个函数指针执行某个功能。回调函数可以说是一种订阅、分发的机制。被调用方可以通过订阅的形式将自己的处理函数以函数指针的形式交给调用方。当调用方需要执行这个回调函数的时候，就会通过分发的形式回调被调用方。回调函数的机制可以说无处不在，比如Channie Liu 所说的MFC消息机制，再比如HOOK，等等都是通过回调函数机制来执行的。但是回调函数并不是系统独有的机制。你完全可以在自己的程序中通过函数指针来实现一套回调函数。还有回调函数并不是面向对象编程，在某些情况下可以使用观察者模式来代替它。在.net中已经使用是事件的方式代替了回调函数来实现消息相应。

 

简单说就是和Windows消息机制配套的，如果你有个消息循环响应机制，就必须要有这个回调函数，来统筹管理和响应消息，建议你看看Windows programing 5th的第一个例子程序就明白了。

---------------------------------------------------------------------------------------------------------------------------

钩子函数：

WINDOWS的钩子函数可以认为是WINDOWS的主要特性之一。利用它们，您可以捕捉您自己进程或其它进程发生的事件。通过“钩挂”，您可以给WINDOWS一个处理或过滤事件的回调函数，该函数也叫做“钩子函数”，当每次发生您感兴趣的事件时，WINDOWS都将调用该函数。一共有两种类型的钩子：局部的和远程的。 

　　局部钩子仅钩挂您自己进程的事件。 

　　远程的钩子还可以将钩挂其它进程发生的事件。远程的钩子又有两种： 

　　基于线程的 它将捕获其它进程中某一特定线程的事件。简言之，就是可以用来观察其它进程中的某一特定线程将发生的事件。 

　　系统范围的 将捕捉系统中所有进程将发生的事件消息。 当您创建一个钩子时，WINDOWS会先在内存中创建一个数据结构，该数据结构包含了钩子的相关信息，然后把该结构体加到已经存在的钩子链表中去。新的钩子将加到老的前面。当一个事件发生时，如果您安装的是一个局部钩子，您进程中的钩子函数将被调用。如果是一个远程钩子，系统就必须把钩子函数插入到其它进程的地址空间，要做到这一点要求钩子函数必须在一个动态链接库中，所以如果您想要使用远程钩子，就必须把该钩子函数放到动态链接库中去。当然有两个例外：工作日志钩子和工作日志回放钩子。这两个钩子的钩子函数必须在安装钩子的线程中。原因是：这两个钩子是用来监控比较底层的硬件事件的，既然是记录和回放，所有的事件就当然都是有先后次序的。所以如果把回调函数放在DLL中，输入的事件被放在几个线程中记录，所以我们无法保证得到正确的次序。故解决的办法是：把钩子函数放到单个的线程中，譬如安装钩子的线程。 

　　钩子一共有14种，以下是它们被调用的时机： 

　　WH_CALLWNDPROC 当调用SendMessage时 

　　WH_CALLWNDPROCRET 当SendMessage的调用返回时 

　　WH_GETMESSAGE 当调用GetMessage 或 PeekMessage时 

　　WH_KEYBOARD 当调用GetMessage 或 PeekMessage 来从消息队列中查询WM_KEYUP 或 WM_KEYDOWN 消息时 

　　WH_MOUSE 当调用GetMessage 或 PeekMessage 来从消息队列中查询鼠标事件消息时 

　　WH_HARDWARE 当调用GetMessage 或 PeekMessage 来从消息队列种查询非鼠标、键盘消息时 

　　WH_MSGFILTER 当对话框、菜单或滚动条要处理一个消息时。该钩子是局部的。它时为那些有自己的消息处理过程的控件对象设计的。 

　　WH_SYSMSGFILTER 和WH_MSGFILTER一样，只不过是系统范围的 

　　WH_JOURNALRECORD 当WINDOWS从硬件队列中获得消息时 

　　WH_JOURNALPLAYBACK 当一个事件从系统的硬件输入队列中被请求时 

　　WH_SHELL 当关于WINDOWS外壳事件发生时，譬如任务条需要重画它的按钮. 

　　WH_CBT 当基于计算机的训练(CBT)事件发生时 

　　WH_FOREGROUNDIDLE 由WINDOWS自己使用，一般的应用程序很少使用 

　　WH_DEBUG 用来给钩子函数除错 

---------------------------------------------------------------------------------------------------------------------------------

消息钩子函数入门篇：

Windows系统是建立在事件驱动的机制上的，说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口，用它可以截获并处理送给其他应用程序的消息，来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的钩子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用钩子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握钩子的编程方法是很有必要的。 

钩子的类型 
　　一． 按事件分类，有如下的几种常用类型 
　　（1） 键盘钩子和低级键盘钩子可以监视各种键盘消息。 
　　（2） 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。 
　　（3） 外壳钩子可以监视各种Shell事件消息。比如启动和关闭应用程序。 
　　（4） 日志钩子可以记录从系统消息队列中取出的各种事件消息。 
　　ÿ