然后我就查了一下这个函数,不查不要紧,查了之后发现这里面有一张表:
| Hook | Scope |
|---|---|
| WH_CALLWNDPROC | Thread or global |
| WH_CALLWNDPROCRET | Thread or global |
| WH_CBT | Thread or global |
| WH_DEBUG | Thread or global |
| WH_FOREGROUNDIDLE | Thread or global |
| WH_GETMESSAGE | Thread or global |
| WH_JOURNALPLAYBACK | Global only |
| WH_JOURNALRECORD | Global only |
| WH_KEYBOARD | Thread or global |
| WH_KEYBOARD_LL | Global only |
| WH_MOUSE | Thread or global |
| WH_MOUSE_LL | Global only |
| WH_MSGFILTER | Thread or global |
| WH_SHELL | Thread or global |
| WH_SYSMSGFILTER | Global only |
Thread/Global是什么回事我一下子也没反应过来,倒是另外两个东西把我吸引住了:WH_JOURNALPLAYBACK/WH_JOURNALRECORD。我就记得以前在什么地方看见过这个东西的,而且是在.NET里面!后来看了这两个钩子的解释,我才发现原来说的是所有输入的记录和回放,想起来好像是一个用来录制和播放“宏”的什么软件里面看到的。同时我在这两个钩子的Remark里面找到这么一段话:
Unlike most other global hook procedures, the JournalRecordProc and JournalPlaybackProc hook procedures are always called in the context of the thread that set the hook.
也就是说这两个钩子也可以被钩住,证明我之前的印象应该没有错,确实在什么地方看到一个录制和播放宏的.NET程序用到了这两个钩子。那么到底为什么这两个钩子就可以用了呢(包括mvm提到的那两个)?上面那句话说了,他们跟其他大部分的钩子不一样,他们是在设置钩子所在的上下文(也就应该是进程/线程)里面执行,而不是引发该调用的上下文(其他程序)。
想到这里就不免觉得奇怪,凭什么这四个钩子就对.NET这么亲切呢?为什么其他的全局钩子就不行?都是全局的呀!我想答案可能在LowLevelKeyboardProc的Remark里面:
This hook is called in the context of the thread that installed it. The call is made by sending a message to the thread that installed the hook. Therefore, the thread that installed the hook must have a message loop.
原来是发送消息给设置全局钩子的进程,怪不得对.NET的程序特别亲切了。不过在JournalRecordProc和JournalPlaybackProc里面都没有说到是通过消息来传递的,更没有像上面提到的那样,需要有一个message loop。不过事实上我想无论如何这两个钩子都需要有消息循环,原因很简单,系统在用户按下:Ctrl-Break/Ctrl-Alt-Del/Ctrl-ESC三者当中任意一个的时候,就会给应用程序发送一个WM_CANCELJOURNAL的消息,也许因为这样默认客户程序必须有一个消息循环吧……(还是不敢确定)
但是问题又来了,为什么其他的钩子就不能够用同样的方法呢?基于安全或者性能的考虑?这个我暂时就不太清楚了。此外,我开始还以为WH_SYSMSGFILTER也是可以在.NET里面设置的,但是详细一看发现原来不是,看来.NET里面能够使用的全局钩子也就这四个了。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
