对于HOOK函数的一点认识

原创 2004年08月13日 22:15:00
这种函数是Windows消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息。当然,这么做也是需要付出一定的代价的。由于多了这么一道处理过程,系统性能会受到一定的影响,所以大家在必要的时候才使用“钩子”,并在使用完毕及时将其删除。

  首先让我们看看HOOK函数是怎么安装、调用和删除的。应用程序通常是调用SetWindowsHookEx()函数来进行安装的,其函数的原型如下:

SetWindowsHookEx(

Int idHook;

HOOKPROC lpfn;

HINSTANCE hMod;

DWORD dwThreadId;

);

参数说明:

idHook 是”钩子”的类型,”钩子”的类型一共有13种,具体如下表:

“钩子”类型

解释

WH_CALLWNDPROC

系统将消息发送到指定窗口之前的“钩子”

WH_CALLWNDPROCRET

消息已经在窗口中处理的“钩子”

WH_CBT

基于计算机培训的“钩子”

WH_DEBUG

差错“钩子”

WH_FOREGROUNDIDLE

前台空闲窗口“钩子”

WH_GETMESSAGE

接收消息投递的“钩子”

WH_JOURNALPLAYBACK

回放以前通过WH_JOURNALRECORD“钩子”记录的输入消息

WH_JOURNALRECORD

输入消息记录“钩子”

WH_KEYBOARD

键盘消息“钩子”

WH_MOUSE

鼠标消息“钩子”

WH_MSGFILTER

对话框、消息框、菜单或滚动条输入消息“钩子”

WH_SHELL

外壳“钩子”

WH_SYSMSGFILTER

系统消息“钩子”

lpfn 指向“钩子”过程的指针。

hMod “钩子”过程所在模块的句柄。

dwThreadId “钩子”相关线程的标识。

  通常我们都是把”钩子”做成动态链接库,这样的好处是可以是系统内的每个进程访问。但是也可以在系统中直接调用,我的建议还是用动态库。如果用动态库的话,那么SetWindowsHookEx()中的第三个参数就是该动态链接库模块的句柄;对于一个只供单个进程访问的”钩子”,可以将其”钩子”过程放在安装”钩子”的同一个线程内,此时SetWindowsHookEx()中的第三个参数为该线程的hInstance。安装”钩子”有两种方法:1.你可以把他做成动态连接库文件,和程序一起编译。2.你可以在程序的任何地方直接调用。第2种的方法太麻烦,我不建议用,在这里我就不详细介绍啦。相比之下第1种比较简单。其”钩子”的过程都在动态链接库内完成。SetWindowsHookEx()函数是一个安装函数,如故一个由某种类型的”钩子”监视的事件发生,系统就会调用相应类型的”钩子”链开始处的”钩子”过程,”钩子”链的每个”钩子”过程都要考虑是否把事件传递给下一个”钩子”过程。如果要传递的话,就要调用CallNestHookEx()函数。这个函数成功时返回”钩子”链中下一个”钩子”过程的返回值,返回值的类型依赖于”钩子”的类型。这个函数的原型如下:

LRESULT CallNextHookEx(

HHOOK hhk;

int nCode;

WPARAM wParam;

LPARAM lParam;

);

  其中hhk为当前”钩子”的句柄,由SetWindowsHookEx()函数返回。NCode为传给”钩子”过程的事件代码。wParam和lParam 分别是传给”钩子”过程的wParam值,其具体含义与”钩子”类型有关。

释放”钩子”

  释放”钩子”比较简单,他只有一个参数。当不在需要”钩子”时,应及时将其释放。他是调用UnhookWindowsHookEx()函数来实现的,函数原型如下:

UnhookWindowsHookEx(

HHOOK hhk;

);

函数成功返回TRUE,否则返回FALSE。

如果我这样讲您还是不明白的话,请看下面给出的一些典型“钩子”代码和说明。

LRESULT WINAPI CallWndProc(int nCode,WPARAM wParam,LPARAM lParam)

{

if(nCode<0)

return CallNextHookEx(NULL,nCode,wParam,lParam);

switch(nCode)

{

case HC_ACTION:

//”钩子”程序要处理什么的代码

break;

default:

break;

}

return CallNextHookEx(NULL,nCode,wParam,lParam);

}

  这是WH_CALLWNDPROC”钩子”的代码,此”钩子”允许程序监视由函数SendMessage发送给窗口过程的消息。系统将消息发送到目的窗口之前调用WH_CALLWNDPROC “钩子”过程。

LRESULT WINAPI CallwndProc(int nCode,WPARAM,wParam,LPARAM lParam)

{

if(nCode<0) return callNextHookEx(NULL,nCode,wParam,lParam);

switch(nCode)

{

case HC_ACTION:

switch(wParam)

{

Case PM_REMOVE:

//某个应用程序调用了GetMessage函数或者是带PM_REMOVE参数的//PeekMessage函数,从消息队列中移去一个消息。

Break;

Case PM_NOREMOVE:

//某个应用程序以PM_NOREMOVE为参数调用PeekMessage函数

break;

default:

break;

}

break;

default:

break;

}

return CallNextHookEx(NULL,nCode,wParam,lParam);

}

  这是调用WH_GETMESSAGE的函数,此函数允许应用程序监视函数GetMessage和 PeekMessage返回的消息。应用程序可以用钩子WH_GETMESSAGE来监视鼠标和键盘的输入以及其他系统发送到消息队列中的消息。

LRESULT CALLBACK CBTProc(int nCode,WPARAM wParam,LPARAM lParam)

{

If(nCode<0) Return callNextHookEx(NULL,nCode,wParam,lParam);

Switch(nCode)

{

case HCBT_ACTIVATE:

//系统将激活一个窗口

break;

case HCBT_CLICKSKIPPED:

//系统从系统消息队列中移去一个鼠标消息

break;

case HCBT_CREATEWND:

//系统将创建一个窗口

break;

case HCBT_DESTROYWND:

//系统将关闭一个窗口

break;

case HCBT_KEYSKIPPED:

//系统从系统消息队列中移去一个键盘消息

break;

case HCBT_MINMAX:

//系统将最大化或最小化一个窗口

break;

case HCBT_MOVESIZE:

//系统将移动一个窗口或改变一个窗口的大小

break;

case HCBT_QS:

//系统在系统消息队列中检索到WM_QUEUESYNC消息

break;

case HCBT_SETFOCUS:

//系统设置键盘输入窗口

break;

case HCBT_SYSCOMMAND:

//将要执行一个系统命令

break;

default:

//可以添加其他代码

break;

}

return CallNextHookEx(NULL,nCode,wParam,lParam);

}

  每种”钩子”类型都有其对应的函数,这些函数的参数都是一样的,有兴趣的朋友可以在MSDN中找的他们的详细说明。

下面我给出一个完整的”钩子”安装和删除的过程的代码。

#include "stdafx.h"

#include "hook.h"

HINSTANCE hInstance;

HHOOK hhkKeyboard;

BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call, LPVOID lpReserved)

{

switch (ul_reason_for_call)

{

case DLL_PROCESS_ATTACH:

case DLL_THREAD_ATTACH:

case DLL_THREAD_DETACH:

case DLL_PROCESS_DETACH:

break;

}

hInstance=(HINSTANCE)hModule;

return TRUE;

}

LRESULT KeyboardProc(int nCode,WPARAM wParam,LPARAM lParam)

{

MessageBeep(-1);

return CallNextHookEx(NULL,nCode,wParam,lParam);

}

HOOK_API BOOL EnableKeyboardCapture()

{

if(!(hhkKeyboard=SetWindowsHookEx(WH_KEYBOARD,(HOOKPROC)KeyboardProc,hInstance,0)))

return FALSE;

return TRUE;

}

HOOK_API BOOL DisableKeyboardCapture()

{

return UnhookWindowsHookEx(hhkKeyboard);

}

注意:这是一个动态链接库文件。

在程序中要想调用“钩子”的时候,有EnableKeyboardCapture()函数就可以啦,但你按键的时候就回发出声音。

对于HOOK函数的一点认识 (收藏)

 一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软...
  • Blue_Dream_
  • Blue_Dream_
  • 2008-02-14 16:26:00
  • 1223

[转]对于HOOK函数的一点认识

对于HOOK函数的一点认识 iBreathe(收藏)一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知...
  • songtitan
  • songtitan
  • 2004-11-01 18:18:00
  • 708

对于HOOK函数的一点认识 iBreathe(收藏)

一、序言对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件...
  • whupyf
  • whupyf
  • 2004-04-06 11:21:00
  • 2396

钩子函数(HOOK)完整的教程

基本概念 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处...
  • camly
  • camly
  • 2007-08-21 14:16:00
  • 6106

对计算机网络安全的基本认识

  • 2009年12月31日 13:15
  • 46KB
  • 下载

认识MySQL数据库

1.       mysql的简介   MySQL 是一个真正的多用户、多线程SQL数据库服务器,它是一个客户机/服务器?CS,BS?结构的实现。MySQL是现在流行的关系数据库中其中的一种,相比其...
  • u010880613
  • u010880613
  • 2014-05-29 23:37:54
  • 1341

对于poi的一点认识

这是小编的第一篇博客,写的不好多多包涵,小编是一名新进的程序员。在写程序的道路上我还是一个新手。这篇文章主要跟大家分享一下我在用poi进行Excel进行操作的一点认识。如果有讲的不对的地方希望各位前辈...
  • qq_31400087
  • qq_31400087
  • 2018-04-07 21:30:03
  • 9

对于内存的一点认识

学习程序设计有一段时间了,但是大脑里一直没有一个清晰的概念。下面开始对内存做一个简单的认识,不全面,欢迎交流。从冯诺依曼的结构来看,计算机的主要组成部分是,存储部分(内存)和处理部分(cpu)。这样一...
  • m687512
  • m687512
  • 2012-12-17 13:10:58
  • 116

大学则计算机基础课程作业——对IT技术的认识

大学则计算机基础课程作业——对IT技术的认识  生活中时时谈及IT,认为IT 就是高科技。这个一个十分模糊的观点。认识IT ,我们应该知道IT=Information technology。也就是说,...
  • LHW1998
  • LHW1998
  • 2017-10-06 09:56:31
  • 199

对于代码重构的一点认识

最近,参与一个WAP站前端的构建,结合项目,对重构和代码质量有了新的认识 1 代码重构并不是后期专门做的一个工作,而是一个在开发过程中逐步迭代重构的过程。2 真正的难题是在,如果发现“坏味道”的代码,...
  • youzaiyouzai110
  • youzaiyouzai110
  • 2016-10-30 22:16:41
  • 164
收藏助手
不良信息举报
您举报文章:对于HOOK函数的一点认识
举报原因:
原因补充:

(最多只允许输入30个字)