VC里面的钩子程序HOOK
?
引言
Windows操作系統(tǒng)是建立在事件驅(qū)動(dòng)機(jī)制之上的,系統(tǒng)各部分之間的溝通也都是通過(guò)消息的相互傳遞而實(shí)現(xiàn)的。但在通常情況下,應(yīng)用程序只能處理來(lái)自進(jìn)程內(nèi)部的消息或是從其他進(jìn)程發(fā)過(guò)來(lái)的消息,如果需要對(duì)在進(jìn)程外傳遞的消息進(jìn)行攔截處理就必須采取一種被稱(chēng)為HOOK(鉤子)的技術(shù)。鉤子是Windows操作系統(tǒng)中非常重要的一種系統(tǒng)接口,用它可以輕松截獲并處理在其他應(yīng)用程序之間傳遞的消息,并由此可以完成一些普通應(yīng)用程序難以實(shí)現(xiàn)的特殊功能。基于鉤子在消息攔截處理中的強(qiáng)大功能,本文即以VC++ 6.0為編程背景對(duì)鉤子的基本概念及其實(shí)現(xiàn)過(guò)程展開(kāi)討論。為方便理解,在文章最后還給出了一個(gè)簡(jiǎn)單的有關(guān)鼠標(biāo)鉤子的應(yīng)用示例。
鉤子的基本原理
鉤子的本質(zhì)是一段用以處理系統(tǒng)消息的程序,通過(guò)系統(tǒng)調(diào)用,將其掛入到系統(tǒng)。鉤子的種類(lèi)有很多,每一種鉤子負(fù)責(zé)截獲并處理相應(yīng)的消息。鉤子機(jī)制允許應(yīng)用程序截獲并處理發(fā)往指定窗口的消息或特定事件,其監(jiān)視的窗口即可以是本進(jìn)程內(nèi)的也可以是由其他進(jìn)程所創(chuàng)建的。在特定的消息發(fā)出,并在到達(dá)目的窗口之前,鉤子程序先行截獲此消息并得到對(duì)其的控制權(quán)。此時(shí)在鉤子函數(shù)中就可以對(duì)截獲的消息進(jìn)行各種修改處理,甚至強(qiáng)行終止該消息的繼續(xù)傳遞。
任何一個(gè)鉤子都由系統(tǒng)來(lái)維護(hù)一個(gè)指針列表(鉤子鏈表),其指針指向鉤子的各個(gè)處理函數(shù)。最近安裝的鉤子放在鏈的開(kāi)始,最早安裝的鉤子則放在最后,當(dāng)鉤子監(jiān)視的消息出現(xiàn)時(shí),操作系統(tǒng)調(diào)用鏈表開(kāi)始處的第一個(gè)鉤子處理函數(shù)進(jìn)行處理,也就是說(shuō)最后加入的鉤子優(yōu)先獲得控制權(quán)。在這里提到的鉤子處理函數(shù)必須是一個(gè)回調(diào)函數(shù)(callback function),而且不能定義為類(lèi)成員函數(shù),必須定義為普通的C函數(shù)。在使用鉤子時(shí)可以根據(jù)其監(jiān)視范圍的不同將其分為全局鉤子和線程鉤子兩大類(lèi),其中線程鉤子只能監(jiān)視某個(gè)線程,而全局鉤子則可對(duì)在當(dāng)前系統(tǒng)下運(yùn)行的所有線程進(jìn)行監(jiān)視。顯然,線程鉤子可以看作是全局鉤子的一個(gè)子集,全局鉤子雖然功能強(qiáng)大但同時(shí)實(shí)現(xiàn)起來(lái)也比較煩瑣:其鉤子函數(shù)的實(shí)現(xiàn)必須封裝在動(dòng)態(tài)鏈接庫(kù)中才可以使用。
鉤子的安裝與卸載
由于全局鉤子具有相當(dāng)?shù)膹V泛性而且在功能上完全覆蓋了線程鉤子,因此下面就主要對(duì)應(yīng)用較多的全局鉤子的安裝與使用進(jìn)行討論。前面已經(jīng)提過(guò),操作系統(tǒng)是通過(guò)調(diào)用鉤子鏈表開(kāi)始處的第一個(gè)鉤子處理函數(shù)而進(jìn)行消息攔截處理的。因此,為了設(shè)置鉤子,只需將回調(diào)函數(shù)放置于鏈?zhǔn)准纯?#xff0c;操作系統(tǒng)會(huì)使其首先被調(diào)用。在具體實(shí)現(xiàn)時(shí)由函數(shù)SetWindowsHookEx()負(fù)責(zé)將回調(diào)函數(shù)放置于鉤子鏈表的開(kāi)始位置。 SetWindowsHookEx()函數(shù)原型聲明如下:
HHOOK SetWindowsHookEx(int idHook;
HOOKPROC lpfn;
HINSTANCE hMod;
DWORD dwThreadId);
其中:參數(shù)idHook 指定了鉤子的類(lèi)型,總共有如下13種:
WH_CALLWNDPROC 系統(tǒng)將消息發(fā)送到指定窗口之前的"鉤子"
WH_CALLWNDPROCRET 消息已經(jīng)在窗口中處理的"鉤子"
WH_CBT 基于計(jì)算機(jī)培訓(xùn)的"鉤子"
WH_DEBUG 差錯(cuò)"鉤子"
WH_FOREGROUNDIDLE 前臺(tái)空閑窗口"鉤子"
WH_GETMESSAGE 接收消息投遞的"鉤子"
WH_JOURNALPLAYBACK 回放以前通過(guò)WH_JOURNALRECORD"鉤子"記錄的輸入消息
WH_JOURNALRECORD 輸入消息記錄"鉤子"
WH_KEYBOARD 鍵盤(pán)消息"鉤子"
WH_MOUSE 鼠標(biāo)消息"鉤子"
WH_MSGFILTER 對(duì)話框、消息框、菜單或滾動(dòng)條輸入消息"鉤子"
WH_SHELL 外殼"鉤子"
WH_SYSMSGFILTER 系統(tǒng)消息"鉤子"
參數(shù)lpfn為指向鉤子處理函數(shù)的指針,即回調(diào)函數(shù)的首地址;參數(shù)hMod則標(biāo)識(shí)了鉤子處理函數(shù)所處模塊的句柄;第四個(gè)參數(shù)dwThreadId 指定被監(jiān)視的線程,如果明確指定了某個(gè)線程的ID就只監(jiān)視該線程,此時(shí)的鉤子即為線程鉤子;如果該參數(shù)被設(shè)置為0,則表示此鉤子為監(jiān)視系統(tǒng)所有線程的全局鉤子。此函數(shù)在執(zhí)行完后將返回一個(gè)鉤子句柄。
雖然對(duì)于線程鉤子并不要求其象全局鉤子一樣必須放置于動(dòng)態(tài)鏈接庫(kù)中,但是推薦其也在動(dòng)態(tài)鏈接庫(kù)中實(shí)現(xiàn)。因?yàn)檫@樣的處理不僅可使鉤子可為系統(tǒng)內(nèi)的多個(gè)進(jìn)程訪問(wèn),也可以在系統(tǒng)中被直接調(diào)用,而且對(duì)于一個(gè)只供單進(jìn)程訪問(wèn)的鉤子,還可以將其鉤子處理過(guò)程放在安裝鉤子的同一個(gè)線程內(nèi),此時(shí)SetWindowsHookEx()函數(shù)的第三個(gè)參數(shù)也就是該線程的實(shí)例句柄。
在SetWindowsHookEx()函數(shù)完成對(duì)鉤子的安裝后,如果被監(jiān)視的事件發(fā)生,系統(tǒng)馬上會(huì)調(diào)用位于相應(yīng)鉤子鏈表開(kāi)始處的鉤子處理函數(shù)進(jìn)行處理,每一個(gè)鉤子處理函數(shù)在進(jìn)行相應(yīng)的處理時(shí)都要考慮是否需要把事件傳遞給下一個(gè)鉤子處理函數(shù)。如果要傳遞,就通過(guò)函數(shù)CallNestHookEx()來(lái)解決。盡管如此,在實(shí)際使用時(shí)還是強(qiáng)烈推薦無(wú)論是否需要事件傳遞而都在過(guò)程的最后調(diào)用一次 CallNextHookEx( )函數(shù),否則將會(huì)引起一些無(wú)法預(yù)知的系統(tǒng)行為或是系統(tǒng)鎖定。該函數(shù)將返回位于鉤子鏈表中的下一個(gè)鉤子處理過(guò)程的地址,至于具體的返回值類(lèi)型則要視所設(shè)置的鉤子類(lèi)型而定。該函數(shù)的原型聲明如下:
LRESULT CallNextHookEx(HHOOK hhk;int nCode;WPARAM wParam;LPARAM lParam);
其中,參數(shù)hhk為由SetWindowsHookEx()函數(shù)返回的當(dāng)前鉤子句柄;參數(shù)nCode為傳給鉤子過(guò)程的事件代碼;參數(shù)wParam和lParam 則為傳給鉤子處理函數(shù)的參數(shù)值,其具體含義同設(shè)置的鉤子類(lèi)型有關(guān)。
最后,由于安裝鉤子對(duì)系統(tǒng)的性能有一定的影響,所以在鉤子使用完畢后應(yīng)及時(shí)將其卸載以釋放其所占資源。釋放鉤子的函數(shù)為UnhookWindowsHookEx(),該函數(shù)比較簡(jiǎn)單只有一個(gè)參數(shù)用于指定此前由SetWindowsHookEx()函數(shù)所返回的鉤子句柄,原型聲明如下:
BOOL UnhookWindowsHookEx(HHOOK hhk);
總結(jié)
以上是生活随笔為你收集整理的VC里面的钩子程序HOOK的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Unity 原生版本管理工具Versio
- 下一篇: 如何用3DsMax制作笔记本电脑