消息HOOK
以下内容大部分来自于MSDN,部分来自于互联网的整理,部分来自个理解。
提纲:
1. HOOK是什么?
2. HOOK相关的原理与运行机制
3. HOOK类型
4. HOOK DLL 内数据共享与传递
5. Appendix
1. HOOK是什么?
通常,在没有明确指明HOOK类型时,我们默认它是消息HOOK,用来钩消息的。对于HOOK的另外一种,叫APIHOOK,很明显,它是HOOK系统API的(很废话)。以下内容我们均指消息的HOOK,至于APIHOOK,它是另外一个重要的主题,需要分开来讲,但部分概念和方式也会用到本文所描述的内容。虽然HOOK又称钩子,但我还是决定不将它用中文的钩子来代替,主要是因为这样比较显眼。
那么,什么是消息HOOK?
MSDN给出的定义是:
A hook is a point in the system message-handlingmechanism where an application can install a subroutine to monitor the messagetraffic in the system and process certain types of messages before they reachthe target window procedure.
这句话我翻译不明白,但总体意思是, HOOK(钩子)是在系统消息处理机制中的一种机制,它允许应用程序安装一个子处理(过程/函数)去监控系统消息传递,并能够在消息未到达目标处理窗口前对其进行处理。
MSDN的另外一种定义是:
A hook isa mechanism by which an application can intercept events, such as messages,mouse actions, and keystrokes. A function that intercepts a particular type ofevent is known as a hook procedure. Ahook procedure can act on each event it receives, and then modify or discardthe event.
这句话是说,Hook是一种应用程序截获事件的机制,比如说截获消息,鼠标动作,键盘操作等。拦截特定事件的函数我们称之为HOOK过程(HookProcedure),该过程函数能够处理它所收到的每个事件,然后修改它或者直接抛弃掉该事件。
HOOK本质上就是将处理消息的程序段(HOOK过程)嵌入(挂载)到其它线程中去,这里所指的其它线程可以分以下3种情况:
1. 将HOOK处理挂载到应用程序的内部线程,称之为进程内HOOK;
2. 将HOOK处理挂载到应用程序外部的其它进程的某个线程中去,称为进程外HOOK;
3. 如果不指定HOOK到某个特定的线程,那它就是一个全局的HOOK,它能HOOK住与调用HOOK线程同桌面的所有线程的消息。
由于HOOK能被其它进程中的加载,因此,HOOK过程一般都是放在一个独立的DLL中,当然,如果是进程内的HOOK,可以不必单独弄一个DLL出来。
2. HOOK相关的原理与运行机制
HOOK链(Hook Chains)
系统支持许多不同类型的HOOK类型,每种不同类型的HOOK侧重点不一样,比如说,WH_MOUSE Hook 就是关注的鼠标的消息,而WH_KEYBOARD Hook 就是关注于键盘的消息。对于每种不同类型的HOOK,系统都会为其管理一个特定的HOOK链。一个HOOK链实质上就是一些回调函数指针的列表,这些回调函数都是用户自定义的HOOK处理过程。当一条与指定HOOK类型相关的消息被触发后,系统就会将这个消息传递到这个HOOK链表中的每个HOOK过程函数中去, 从HOOK链的表头的HOOK处理函数一直传递到末尾的HOOK处理函数。在这个过程中,HOOK处理程序能够监视消息,或者修改消息,或者抛弃掉该消息,并阻止它继续传播。但是,不是所有的HOOK处理程序都能够修改消息,有一些消息只能被监视。一般来说,最近安装的钩子放在HOOK链的表头,而最早安装的钩子放在最后,在进行处理的时候,由于HOOK处理是从表头进行,那么,也就意味着后安装的HOOK处理先获得消息的控制权。
HOOK过程(Hook Procedures)
HOOK过程,又称之为HOOK过程函数,它是一个用户自定义、与特定HOOK类型相关的回调函数。该回调函数需要通过 SetWindowsHookEx 函数进行安装。HOOK过程函数必须是遵循如下的语法:
LRESULT CALLBACK HookProc(
int nCode,
WPARAMwParam,
LPARAMlParam
);
其中:
nCode 是HOOK代码,HOOK过程函数使用这个参数来确定相关的行为。这个参数的值依赖于HOOK类型,每一种HOOK类型都有自己的特定的HOOK代码。一般情况,它就是一个特定的消息。
很明显,wParam和lParam就是特定消息对应的其它信息。
HOOK的安装与销毁
通过调用SetWindowsHookEx函数,我们就能够将 HOOK过程函数是安装到特定的线程或将之设置为全局的HOOK。它总是将HOOK过程安装到特定HOOK链的头部。当特定类型HOOK的消息被出发时,系统将消息传递到HOOK过程函数中去,当HOOK过程处理函数处理完成后,调用CallNextHookEx 函数将该消息传递给下一个HOOK过程函数。对于那些只能够被监听的消息,无论HOOK过程处理函数调用CallNextHookEx 与否,消息都会被传递到下一个HOOK过程函数。
以下是SetWindowsHookEx 函数的原型:
HHOOK SetWindowsHookEx(
int idHook,
HOOKPROC lpfn,
HINSTANCE hMod,
DWORD dwThreadId
);
int idHook:指定HOOK的类型
HOOKPROC lpfn:指向HOOK过程函数地址。当dwThreadId为0,或者指定的线程ID是其它进程的线程ID时,此时lpfn必须指定的一个独立的DLL内的HOOK过程函数,否则,lpfn能够指向当前进程中的HOOK过程函数。说白了,如果要HOOK当前进程的某些事件,则可以将HOOK过程处理放在该应用程序中,否则,就要将HOOK过程函数放在一个独立的DLL中去,因为它要被多个其它进程加载。
HINSTANCE hMod:指定要挂载HOOK过程处理的DLL的实例句柄。如果dwThreadId为当前进程的某个特定线程,那么它必须设置为NULL。
dwThreadId:指定需要HOOK的线程的ID。当该函数指定为0时,该HOOK就是一个全局的HOOK,在与调用线程同桌面的其它线程,只要是符合该HOOK类型的消息,都将被传递到该HOOK过程中去。
函数调用成功,返回HOOK过程的句柄,失败则返回NULL。
在HOOK过程函数中完成对消息的处理后,如果想要该消息继续传递,必须调用CallNextHookEx来传递它,以执行钩子链表所指的下一个HOOK过程。
以下是CallNextHookEx函数的原型:
LRESULT CallNextHookEx(
HHOOK hhk,
int nCode,
WPARAM wParam,
LPARAM lParam
);
该函数就不再赘述了,其中HHOOK就是调用 SetWindowsHookEx 函数返回的HOOK过程句柄。
HOOK在使用完后,要采用UnhookWindowsHookEx将系统资源释放掉。
还有其它几点需要说明的是:
(1)如果对于同一事件(如鼠标消息)既安装了线程勾子又安装了系统勾子,那么系统会自动先调用线程勾子,然后调用系统勾子。
(2)对于Global HOOK,降低系统性能,也有可能会对其它同类型的HOOK产生冲突,还有可能被杀毒软件误报,因此,只有在必要的时候才安装Global HOOK,并要在使用完毕后要及时的卸载。
(3)在将DLL注入到进程中时,不要试图将一个32位的DLL注入到一个64位的进程中去,反之亦然。
3. HOOK类型 (以下部分照抄自 HOOK专题)
WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程,并且在窗口过程处理完消息之后调用WH_CALLWNDPROCRET Hook子程。WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT结构,再传递到Hook子程。CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值,同样也包括了与这个消息关联的消息参数。 | |
在以下事件之前,系统都会调用WH_CBT Hook子程,这些事件包括: 1. 激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件; 2. 完成系统指令; 3. 来自系统消息队列中的移动鼠标,键盘事件; 4. 设置输入焦点事件; 5. 同步系统消息队列事件。 Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。 | |
在系统调用系统中与其他Hook关联的Hook子程之前,系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。 | |
当应用程序的前台线程处于空闲状态时,可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时,系统就会调用WH_FOREGROUNDIDLE Hook子程。 | |
应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和键盘输入,以及其他发送到消息队列中的消息。 | |
WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到系统消息队列。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装,正常的鼠标和键盘事件就是无效的。 WH_JOURNALPLAYBACK Hook是全局Hook,它不能象线程特定Hook一样使用。 WH_JOURNALPLAYBACK Hook返回超时值,这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间(毫秒)。这就使Hook可以控制实时事件的回放。 WH_JOURNALPLAYBACK是system-wide local hooks,它們不會被注射到任何行程位址空間。 | |
WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的,可以使用这个Hook记录连续的鼠标和键盘事件,然后通过使用WH_JOURNALPLAYBACK Hook来回放。 WH_JOURNALRECORD Hook是全局Hook,它不能象线程特定Hook一样使用。 WH_JOURNALRECORD是system-wide local hooks,它們不會被注射到任何行程位址空間。 | |
在应用程序中,WH_KEYBOARD Hook用来监视WM_KEYDOWN and WM_KEYUP消息,这些消息通过GetMessage or PeekMessage function返回。可以使用这个Hook来监视输入到消息队列中的键盘消息。 | |
WH_KEYBOARD_LL Hook监视输入到线程消息队列中的键盘消息。 | |
WH_MOUSE Hook监视从GetMessage 或者 PeekMessage 函数返回的鼠标消息。使用这个Hook监视输入到消息队列中的鼠标消息。 | |
WH_MOUSE_LL Hook监视输入到线程消息队列中的鼠标消息。 | |
WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以监视菜单,滚动条,消息框,对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。WH_MSGFILTER Hook只能监视传递到菜单,滚动条,消息框的消息,以及传递到通过安装了Hook子程的应用程序建立的对话框的消息。WH_SYSMSGFILTER Hook监视所有应用程序消息。 WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以在模式循环期间过滤消息,这等价于在主消息循环中过滤消息。 通过调用CallMsgFilter function可以直接的调用WH_MSGFILTER Hook。通过使用这个函数,应用程序能够在模式循环期间使用相同的代码去过滤消息,如同在主消息循环里一样。 | |
外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时,系统调用WH_SHELL Hook子程。 WH_SHELL 共有5钟情況: 1. 只要有个top-level、unowned 窗口被产生、起作用、或是被摧毁; 2. 当Taskbar需要重画某个按钮; 3. 当系统需要显示关于Taskbar的一个程序的最小化形式; 4. 当目前的键盘布局状态改变; 5. 当使用者按Ctrl+Esc去执行Task Manager(或相同级别的程序)。 按照惯例,外壳应用程序都不接收WH_SHELL消息。所以,在应用程序能够接收WH_SHELL消息之前,应用程序必须调用SystemParametersInfo function注册它自己。 |
4. HOOK DLL 内数据共享与传递
数据共享:
1. 对于进程内的HOOK,数据传递与共享很简单,直接发消息或者其它方式。
2. 对于进程外的HOOK和全局HOOK,就有些麻烦了,需要采用一些特殊的机制。在稍后我要演示的DEMO中,就用到了HOOK数据的共享与数据传递。为什么进程的HOOK和全局HOOK共享数据会很麻烦,这是因为在这两种情况下,HOOK过程是放在一个独立的DLL中的。对Windows编程有所了解的的人都知道,Windows为每个进程分配了4GB的虚地址空间,对于CPU体系结构为一般的x86架构时,所有应用程序都只能使用2GB的用户模式分区(对于另外2G的内核模式分区, 则是所有进程共享的操作系统代码的驻地,它是一个受保护的分区),所有的应用程序大部分数据都会保存在这一分区中。由于每个进程都有自己的数据分区,因此一个进程是很难访问驻留在这一分区的其它进程的数据。由于我们HOOK代码所在的DLL会被不同的进程加载,因此,DLL的数据都都归调用它的线程或进程所有。当进程在载入DLL时,操作系统自动把DLL地址映射到该进程的私有虚拟地址空间,而且也复制该DLL的全局数据的一份拷贝到该进程空间。也就是说每个进程所拥有的DLL全局数据名称是相同的,但其值却并不一定是相同的。因此,要想在多个进程下共享DLL的数据,就需要把这些需要共享的数据分离出来,放置在一个独立的数据段里,并把该段的属性设置为共享。必须给这些变量赋初值,否则编译器会把没有赋初始值的变量放在一个叫未被初始化的数据段中。
#pragmadata_seg预处理指令用于设置共享数据段。例如:
#pragma data_seg("SharedDataName")
HHOOK hHook=NULL;
#pragma data_seg()
#pragmacomment(linker,"/section:.SharedDataName,rws")
其中,使用#pragma data_seg("SharedDataName")和#pragma data_seg() 建立一个名为ShareDataName的共享数据段,使用#pragmacomment(linker,"/section:.SharedDataName,rws") (其中字母RWS表示段具有读、写和共享属性)让这个先前的共享数据段可以在所有DLL的实例之间共享。所有对这些数据的操作都针对同一个实例的,而不是在每个进程的地址空间中都有一份。
DLL共享数据需要注意以下几点:
1. 共享的数据只能是纯C的数据类型。大多数的Win32结构体和HANDLE类型都能被共享,不要使用指针类型去指向DLL的内部数据。
2. 共享数据必须初始化,否则编译器会把没有赋初始值的变量放在一个叫未被初始化的数据段中,从而导致共享失败。
3. 所有的共享数据会被编译到DLL里面的特定数据段,因此,非常大的数组会导致DLL的大小变大。
4. 一般要访问共享数据时,最好的方式是提供一系列导出接口,对这些数据进行访问。
可参考:How do I share data in my DLL with an application orwith other DLLs?
数据传递:
由于HOOK 的DLL由于被加载到不同进程,因此,如果想要在不同进程间发送数据,可以采用很多种进程间通讯方式,典型的,可以使用WM_COPYDATA来发送数据,这里就不再赘述了。
到此为止,有关HOOK本身的概念和机制就介绍完了。
5. Appendix
Hooks Overview
源文档 <http://msdn.microsoft.com/en-us/library/ms644959(VS.85).aspx>
HOOK专题
源文档 <http://www.microsoft.com/china/community/program/originalarticles/techdoc/hook.mspx>
下一篇文章讲通过一个DEMO来说明怎样使用HOOK。
http://blog.csdn.net/woyaowenzi/article/details/6611581
405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
