关于钩子的使用入门

最新推荐文章于 2023-05-23 23:11:13 发布

jqandjq

最新推荐文章于 2023-05-23 23:11:13 发布

阅读量1.1k

点赞数

分类专栏： DELPHI &amp; PASCAL Windows 文章标签： hook windows api callback action delphi

本文链接：https://blog.csdn.net/jqandjq/article/details/5987261

版权

DELPHI & PASCAL 同时被 2 个专栏收录

35 篇文章 0 订阅

订阅专栏

Windows

6 篇文章 0 订阅

订阅专栏

关于钩子的使用入门

1. 钩子概念

钩子(Hook)，是Windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。Hook API是指Windows开放给程序员的编程接口，使得在用户级别下可以对操作系统进行控制，也就是一般的应用程序都需要调用API来完成某些功能，Hook API的意思就是在这些应用程序调用真正的系统API前可以先被截获，从而进行一些处理再调用真正的API来完成功能。

2. 运行机制

钩子链表和钩子子程：

每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。

Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载，Windows 便释放其占用的内存，并更新整个Hook链表。如果程序安装了钩子，但是在尚未卸载钩子之前就结束了，那么系统会自动为它做卸载钩子的操作。

钩子子程是一个应用程序定义的回调函数(CALLBACK Function),不能定义成某个类的成员函数，只能定义为普通的“C函数”。用以监视系统或某一特定类型的事件，这些事件可以是与某一特定线程关联的，也可以是系统中所有线程的事件。

3. 截取自定义消息钩子应用

3.1. 钩子的回调函数

LRESULT CALLBACK HookProc
　　(
　　      int nCode,
　　      WPARAM wParam,
　　      LPARAM lParam
　　);
　　HookProc是回调函数名。
　　nCode参数是Hook代码，Hook子程使用这个参数来确定任务。这个参数的值依赖于Hook类型，每一种Hook都有自己的Hook代码特征字符集。
    附带说明一下，nCode一般为HC_ACTION或NOREMOVE
    GetMessage 触发HC_ACTION
    PeekMessage 并且指定 PM_NOREMOVE 时触发HC_NOREMOVE
　　wParam和lParam参数的值依赖于Hook代码，但是它们的典型值是包含了关于发送或者接收消息的信息

3.2. 钩子的安装

HHOOK SetWindowsHookEx
(
    int idHook,                  // 钩子类型，即它处理的消息类型
    HOOKPROC lpfn,          // 回调函数地址
    HINSTANCE hMod,       // 实例句柄，标识DLL，NULL为当前子程
    DWORD dwThreadId    // 关联的进程标识符，0为全局钩子
);
成功返回子程的句柄，失败返回NULL。

3.3. 消息传递

以上所说的钩子子程与线程相关联是指在一钩子链表中发给该线程的消息同时发送给钩子子程，且被钩子子程先处理。
　　在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后，如果想要该消息继续传递，那么它必须调用另外一个 SDK中的API函数CallNextHookEx来传递它，以执行钩子链表所指的下一个钩子子程。这个函数成功时返回钩子链中下一个钩子过程的返回值，返回值的类型依赖于钩子的类型。这个函数的原型如下：
　　LRESULT CallNextHookEx
　　(
　　      HHOOK hhk;
　　      int nCode;
　　      WPARAM wParam;
　　      LPARAM lParam;
　　);

hhk为当前钩子的句柄，由SetWindowsHookEx()函数返回。
　　NCode为传给钩子过程的事件代码。
　　wParam和lParam 分别是传给钩子子程的wParam值，其具体含义与钩子类型有关。
　　钩子函数也可以通过直接返回TRUE来丢弃该消息，并阻止该消息的传递。否则的话，其他安装了钩子的应用程序将不会接收到钩子的通知而且还有可能产生不正确的结果。

3.4. 钩子卸载

钩子在使用完之后需要用UnHookWindowsHookEx()卸载，否则会造成麻烦。释放钩子比较简单，UnHookWindowsHookEx()只有一个参数。函数原型如下：
　　UnHookWindowsHookEx
　　(
　　 HHOOK hhk;
　　);
函数成功返回TRUE，否则返回FALSE。

参考代码：《Delphi下深入Windows核心编程》

unit Unit1; interface uses Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls; const WM_TestMessage = WM_USER + 2000; type TForm1 = class(TForm) Button1: TButton; procedure FormCreate(Sender: TObject); procedure Button1Click(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.DFM} var HookHandle: HHOOK; function TestHookProc(Code: Integer; WParam: Longint;Msg:Longint): Longint;stdcall; begin if (Code = HC_ACTION) then if PMsg(Msg)^.Message = WM_TestMessage then begin showMessage('已经截获该消息'); end; Result := CallNextHookEx(HookHandle, Code, WParam, Longint(@Msg)); end; procedure TForm1.FormCreate(Sender: TObject); begin HookHandle:=SetWindowsHookEx(WH_GETMESSAGE,TestHookProc,0,GetCurrentThreadID); end; procedure TForm1.Button1Click(Sender: TObject); begin PostMessage(self.Handle,WM_TestMessage,0,0); end; end.