HOOK启思录－－ HOOK的发展

      非常遗憾，HOOK的发展史不是那么清晰可见。事实上，HOOK到底是什么，很多人的说法都不一样。

      最早是在操作系统中出现的HOOK概念。在Unix/Linux/Windows中都有类似概念。当时提出的目的在于，允许用户在系统调用过程中，插入自己的代码处理特殊事情。典型的HOOK就是用自己的功能替换原有的函数点，在处理完成之后，又恢复原有的函数点。（这里“点”就是表示一个可以使用HOOK勾住的位置）。

下面是《关于钩子》中，描述的Windows是中的钩子：

---

在Windows中，钩子(Hook)，是Windows消息处理机制的 一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理 它。钩子机制允许应用程序截获处理window消息或特定事件。   

钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

---

其实从中可以看出，这些钩子应该和回调函数（CALLBACK FUNCTION）是一种技术。只不过，Windows专门将此类系统消息处理机制叫HOOK。

Falls先生曾经提醒我，在UNIX中的HOOK更纯粹。是的，UNIX中 LD_PRELOAD环境变量（Soloris系统为例）针对所有系统调用做了一个类似代理功能，如果你想改变某个系统调用，就可以在这个代理中注册，动 态调用的时候，会先从代理里寻找自定义代码，然后再找系统预定义代码。

我愿意使用图来表示这里面的差别。第一种Windows中的HOOK概念，其实是说系统已经在可以扩展的地方，预先放好了一些钩子在那里，你可以在需要的时候，挂上自己想要的东西。

 

相对于Windows来说，UNIX中，基本思想是一致的，细微的差距在于，扩展点的提供上。UNIX几乎提供了所有可能的扩展点。由于太多了，所以换句话说，也可以说成UNIX没有提供扩展点。这些扩展点，是用户在使用的过程中自己去发现，自己去勾住的。

这些就是其中的差距。而HOOK思想的发展也正是依照UNIX这类路线走下去的。在 Windows中，大家还在使用的HOOK，除了定义好消息钩子，最典型的就是dll的导出表钩子。可以改变系统dll的函数的导出函数的地址，来勾住某 些特定操作。必然监控文件创建等等操作，就可以勾住CreateFile这个API函数。

事实上，在初期，很多钩子都是发展用来修改别人的系统的行为的。后来钩子也用来修改本 系统的行为。这主要源于软件系统的长足发展及框架系统的复杂度不断提升。现在的软件系统对我们来说，已经不大可能了解所有的部分，而且基类框架的稳定性不 允许我们去修改它们。在这种情况下，HOOK思想带入到解题思路中。可以使用钩子来解决一些扩展或修复一些系统设计缺陷。AOP的思想和这类应用很相似。

整个HOOK的发展，从开始的回调函数模式，到扩展系统行为，再到扩展本系统行为。这 个过程，有一点大家认识越来越清晰。HOOK是在合适的位置插入自己的代码而扩展或改变原有系统的（外系统或本系统）的行为的。HOOK技术也越来越主动 的寻找扩展点，而不仅仅是使用原有系统提供的扩展点。甚至已经派生中一种系统开发方式AOSD。

HOOK的未来在哪里？随着.NET和JAVA对AOP的支持，HOOK技术越来越被框架直接支持。相信不远的未来，HOOK会直接作为一种解题思想而推广，并且框架会提供一系列HOOK模式来解决类似问题。

---

我一直在避免写HOOK的技术实现，想尽可能地将一些看不到的东西收集起来。相对于了解一个成熟的技术，还不如去了解其中的思想吧。我是这样认为的。

这一章会暂时远离HOOK本身，我们会尝试着去思考这些技术出现的根源。

很多人象我一样，从OP的衰败中走向OO的繁荣。软件的复杂度也是突飞猛进。当年“没有银弹”的断言，非常准确地说明了软件的发展趋势，当新技术发展的时候，软件的复杂度也随之发展。我们现在的软件，已经不再是OP时代的软件了。

大家需要的不再是一段会计算的代码。大家需要图形界面，大家需要管理流程，大家需要信息共享！

假设我们以前那些单一功能的软件都可以比喻成一条路的话。它非常简单，你只要考虑从A如何走到B就可以了。

 

后来，我们的软件慢慢复杂起来，他们已经不再满足于一个功能，进行多功能整合的软件比比皆是。事实上，那个时候，好多软件都是一个功能的集合。

 

随着技术的发展，我们不再满足于这些简单功能的叠加。事实上，正是这个时候，我们的软件产业才真正发展起来。在中国，2000年以来，软件企业开始尝试工业化生产技术，发展速度明显加快，与国际差距明显缩小。

随着工业化发展，我们的软件复杂度是急剧的增加。它的功能需求也非常多。也许正如下图说画的那样，各种功能交错。

遗憾的是，如果软件只是需要这种层次的复杂度，我们就会很开心了！你时常会发现，在某些时候，你从A走到B的过程中，需要走到M到N上。然后在拐道走去P到O，然后再到B。这就是我们业务的交错性。

比如，我们现在有两个功能，一个是拷贝文件，一个是日志。从面向对象的角度来看，文件的维护工作和日志的维护工作都可以使用独立的类来完成：

上面两个类都能完成独自的相关业务，就正如我们上面描述的一段独立功能类似。可以假想，我们每个类，都是封装的相关业务功能。

那么剩下来我们就会发现一个非常严重，但是又很少被人提起的事：并不是写完两个类，我们的工作就完成了！

我们虽然是面向对象编程，但是最终总会发现，对象写完的时候，并不是功能完成的时候！为什么？因为我们的功能往往是交错的，就拿这个例子，写文件的时候也可能需要写日志！这些都是面向对象无法使用对象的概念来解决的。

于是从一开始，面向对象就有事件的概念提出来（Event）。这个概念的提出，并不仅仅是炒作一个概念，它的实现机制虽然和回调函数一样，但是思想却又是那么无可奈何！

如果没有事件，那么我们会如何编程呢？我想下面的这种道路图可能大家能从中看到什么。

多说几句，这其实在我们在编程中经常犯的错误，如果AB和CD都是我们自己编写的（如果AB是类库提供的另当别论），我们往往将AB和CD的交叉业务部分直接写成关联代码。即AB和CD会变得互相依赖！

从社会实践，我们会知道，要提高AB和CD的效率，他们的道路是不能重叠的。可以采取高架桥、隧道、地下通道等等措施。高速公路永远不可能和别人公用交叉路口。

                                 

这些交错的方式，其实就是我们软件中可以借鉴的方式啊！以前提供的回调函数，现在提供的事件，以及AOP中提出的HOOK方式都是！这类方法其实就是我们开始统一说的HOOK。

因此采用这些方式的本质源由是软件的复杂度，导致我们在编写独立功能的时候，不能完全预测或根本不能，预测到其他功能是如何扩展的。因此预先留一些可以扩展点，或者某些可以扩展的方式，来完成交错功能的实现。

上面这些的讲述，好像和HOOK没关系，其实可以更深入的帮助我们理解使用HOOK的意义所在。