本文详细介绍了Windows系统钩子程序的工作原理,特别是全局钩子的加载方式,以及如何检测系统中安装的钩子。作者提出了一种名为AntiHook的检测工具,该工具基于WTL框架,通过对比进程中的模块列表来发现不明模块,以检测全局钩子。文章还讨论了有条件加载的钩子以及如何通过事件采集界面诱使这些钩子加载到检测程序中。AntiHook适用于Windows 2000/XP及95/98系统,是一个开源软件。
(本文最早发表在《电脑编程技巧与维护》杂志)
一、引言
Windows系统是建立在事件驱动的机制上的,每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护者一个或多个消息队列,消息队列的个数取决于进程内包含的线程的个数。由于一个进程至少要拥有一个线程,所以进程至少要有一个消息队列。虽然Windows系统的消息分派是以线程为单位的,但并不是所有的线程都有消息队列,一个新创建的线程是没有消息队列的,只有当线程第一次调用GDI或USER32库函数的时候Windows才为线程创建消息队列。消息最终由属于线程的窗口来处理,普通的应用程序只能获取本线程的消息队列中的消息,也就是只能获得系统分派的、属于本线程的消息,换句话说,一个线程在运行过程中是不知道其它线程发生了什么事情的。但是有一类特殊的程序却可以访问其他线程的消息队列,那就是钩子程序。
编写钩子程序是Windows系统提供给用户的一种对Windows运行过程进行干预的机制,通过钩子程序,Windows将内部流动的消息暴露给用户,使用户能够在消息被窗口管理器分派之前对其进行特殊的处理,比如在调试程序的时候跟踪消息流程。但是,任何事情都有其两面性
最低0.47元/天 解锁文章
扫一扫
355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
