Windows的钩子机制详解

一、概述:

了解windows程序设计的人都知道,Windows系统程序的运行是建立在消息传递机制的基础之上的,几乎所有的程序活动都由消息来驱动。钩子机制可以看作是一个消息的中转站,控制系统发出消息的处理和传递。利用钩子,我们可以截获系统发给应用程序的消息,并且在经过处理后决定是否将消息再发给下一个应用程序。利用钩子的这一特性,我们可以创建一个监控程序,收集和控制系统发出的消息。

二、Windows钩子程序的编制

编制Windows的钩子程序,需要用到几个SDK中的API函数。下面列出这几个函数的原型及说明:

HHOOK SetWindowsHookEx( int idHook, HOOK_PROC lpfn, HINSTANCE hMod,DWORD dwThreadID);

参数说明:
idHook :钩子的类型
lpfn :钩子处理函数地址
hMod :包含钩子函数的模块句柄
dwThreadID :钩子的监控线程

函数说明:
函数将在系统中挂上一个由idHook指定类型的钩子,监控并处理相应的特定消息。

BOOL UnhookWindowsHookEx( HHOOK hhk );

函数说明:函数将撤销由hhk指定的钩子。

LRESULT CallNextHookEx( HHOOK hhk, int nCode, WPARAM wParam, LPARAM lParam );

函数说明:函数将消息向下传递,下一个钩子处理将截获这一消息。

由于钩子的处理涉及到模块及进程间的数据地址问题,一般处理是把钩子整合到一个动态链接库(DLL)中,并设立一个全局数据共享数据段,以存贮一些全局变量,保留上次钩子消息事件发生时的状态。全局共享数据段可以用如下的格式定义:

#pragma data_seg("PublicData")
HHOOK hhook=NULL; //全局共享数据
#pragma data_seg()

在本文所附带的范例程序中,演示了如何编制一个鼠标钩子(WH_MOUSE)程序。这个程序监视了Windows系统的鼠标消息,在监控期间,程序可以用户单击鼠标左键的次数。其它类型的钩子程序的编写过程与范例程序类似。

三、范例程序的建立与代码分析

正如上面所说的,建立钩子程序时需要把钩子处理整合到动态链接库中,所以例程中需要建立两个Project。

1、建立钩子处理动态链接库:

(1)选择MFC AppWizard(DLL)创建一个新Project,命名为"Spy";

(2)选择MFC Extension DLL类型

(3)创建一个新的头文件,命名为"Hook.h",修改它的代码如下

extern "C" LRESULT CALLBACK MouseProc(int code,
WPARAM wParam,LPARAM lParam); //钩子处理函数
extern "C" BOOL WINAPI StartHook(); //启动钩子函数
extern "C" BOOL WINAPI StopHook(); //撤销钩子函数
extern "C" int WINAPI GetResult(); //取得鼠标单击次数的函数

(4)修改Spy.cpp文件代码如下(黑体部分为添加内容)

#include "stdafx.h"
#include <afxdllx.h>
#include "spyhook.h"
……//省略部分机器生成代码
#pragma data_seg("PublicData") //定义全局数据段
HHOOK hhook=NULL; //钩子句柄
HINSTANCE pInstance=NULL; //钩子模块句柄
UINT MouseClick=0; //记录鼠标单击次数的变量
#pragma data_seg()
……//省略部分机器生成代码
extern "C" int APIENTRY
DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
{ if (dwReason == DLL_PROCESS_ATTACH)
{ ……//省略部分机器生成代码
new CDynLinkLibrary(SpyDLL);
pInstance=hInstance; //取得模块句柄
}
else if (dwReason == DLL_PROCESS_DETACH)
{ TRACE0("SPY.DLL Terminating!\n");
AfxTermExtensionModule(SpyDLL);
}
return 1;
}
extern "C" LRESULT CALLBACK MouseProc(int code,WPARAM wParam,
LPARAM lParam) //钩子处理函数
{ if (code < 0) //若code<0,直接调用CallNextHookEx返回
return CallNextHookEx(hhook, code, wParam, lParam);
if(wParam==WM_LBUTTONDOWN)
{ MouseClick++; //记录鼠标单击次数
}
return CallNextHookEx(hhook, code, wParam,lParam);
}

extern "C" BOOL WINAPI StartHook() //启动钩子函数
{ hhook=SetWindowsHookEx(WH_MOUSE,MouseProc,pInstance,0); //挂上钩子
if(hhook!=NULL)
return TRUE;
else return FALSE;
}
extern "C" BOOL WINAPI StopHook() //撤销钩子函数
{ return UnhookWindowsHookEx(hhook); //撤销钩子
}
extern "C" int WINAPI GetResult() //返回鼠标单击次数
{ return MouseClick;
}

(5)修改Spy.def文件如下

LIBRARY "SPY"
DEs criptION 'SPY Windows Dynamic Link Library'
EXPORTS
StartHook @1
StopHook @2
GetResult @3

(6)编译Project,生成Spy.dll文件和Spy.Lib文件

2、建立使用钩子的应用程序

生成一个单文档的可执行文件(EXE)的Project
修改资源中的主菜单,增加一个菜单项"监控",下有三个子菜单项,分别为"启动","撤销","取出"
在Project中加入Spy.Lib文件和Hook.h文件
分别修改"启动","撤销","取出"菜单项的Command响应函数如下:

#include "hook.h"
……//省略部分机器生成代码
void CMainFrame::OnStartSpy() //"启动"菜单项的响应函数
{ StartHook();
}

void CMainFrame::OnReleaseSpy() //"撤销"菜单项的响应函数
{ StopHook();
}

void CMainFrame::OnGet() //"取出"菜单项的响应函数
{ int Result=GetResult();
char buffer[40];
wsprintf(buffer,"在程序运行期间,你共单击鼠标%d次",Result);
::MessageBox(this->m_hWnd,buffer,"Message",MB_OK);
}

编译这个Project,并把Spy.dll放到生成的可执行文件的目录下,便可运行程序。运行时,选择"监控"菜单中的"启动"菜单项,钩子便开始工作,监视鼠标的活动情况;选择"撤销"菜单项,系统便撤销钩子;选择"取出"菜单项,程序便报告在监控期间,用户单击鼠标左键的次数。

(0)

相关推荐

  • Windows 服务控制管理器通信的命令行程序

    SC 是用于与服务控制管理器通信的命令行程序. 用法: sc <server> [command] [service name] <option1> <option2>... 选项 <server> 的格式为 "\\ServerName" 可以键入 "sc [command]"以获得命令的进一步帮助 命令: query-----------查询服务的状态, 或枚举服务类型的状态. queryex---------查询服

  • windows的文件系统机制引发的PHP路径爆破问题分析

    1.开场白 此次所披露的是以下网页中提出的问题所取得的测试结果: http://code.google.com/p/pasc2at/wiki/SimplifiedChinese <?php for ($i=0; $i<255; $i++) { $url = '1.ph' . chr($i); $tmp = @file_get_contents($url); if (!empty($tmp)) echo chr($i) . "\r\n"; } ?> 已知1.php存在,

  • windows消息和消息队列实例详解

    本文详细讲述了windows消息和消息队列的原理与应用方法.分享给大家供大家参考.具体分析如下: 与基于MS - DOS的应用程序不同,Windows的应用程序是事件(消息)驱动的.它们不会显式地调用函数(如C运行时库调用)来获取输入,而是等待windows向它们传递输入. windows系统把应用程序的输入事件传递给各个窗口,每个窗口有一个函数,称为窗口消息处理函数.窗口消息处理函数处理各种用户输入,处理完成后再将控制权交还给系统.窗口消息处理函数一般是在注册一个窗口的时候指定的.你可以从典型

  • Windows网络命令行程序参数说明

    Windows网络命令行程序  C:\>nslookup www.jb51.net Server:  www Address:  192.168.5.8 Non-authoritative answer: Name:    www.jb51.net Address:  202.103.69.64 这部分包括:  shi 使用 ipconfig /all 查看配置  使用 ipconfig /renew 刷新配置  对于启用 DHCP 的 Windows 95 和 Windows 98 客户,请使

  • C++ 学习之旅 Windows程序内部运行原理

    学习C++与.net不同的是,一定要搞清楚Windows程序内部运行原理,因为他所涉及大多数是操作系统的调用,而.net毕竟是在.netFrameWork上唱戏. 那Windows应用程序,操作系统,计算机硬件之间的相互关系究竟什么了,下面的图就给予很好的解释. 向下箭头①是 应用程序运行判断处理的结果,输出到输出的设备. 向上箭头②是输入设备,输入到操作系统中. 向下箭头③代表API,我们要解释以下API是什么.API是应用程序接口, 表示应用程序可以通知操作系统执行某个具体的动作,如操作系统

  • Windows程序内部运行机制实例详解

    本文以孙鑫老师VC++教程中的程序为基础,详细讲解了Windows程序内部运行机制,相信可以帮助大家更好的理解Windows程序运行原理及相应的VC++程序设计.具体内容如下: 创建一个Win32应用程序步骤: 1.编写WinMain函数; 2.创建窗口(步骤如下): a.设计(一个)窗口类(WNDCLASS) b.注册(该)窗口类. c.创建窗口. d.显示并更新窗口. 3.编写消息循环. 4.编写窗口过程函数. //WinMain.cpp #include <windows.h> #inc

  • Windows消息传递机制详解

    对于windows程序设计,这里有几个关键词需要注意:消息,消息循环,窗口过程.   所谓的Windows消息传递机制就类似于生活中的物流公司.当寄件人(例如鼠标.键盘)将包裹(消息)交给物流公司(Windows系统)时,物流公司(Windows系统)会进行整理并且派发(整理及派发主要由消息循环完成),交给相应的快递员(窗口过程)来处理.快递员(窗口过程)拿到包裹(消息)后则有多种方式来处理,如立马交给收件人,等一天交给收件人,或转交给其他快递派发,这就需要在窗口过程中用swich/case来区

  • Windows的钩子机制详解

    一.概述: 了解windows程序设计的人都知道,Windows系统程序的运行是建立在消息传递机制的基础之上的,几乎所有的程序活动都由消息来驱动.钩子机制可以看作是一个消息的中转站,控制系统发出消息的处理和传递.利用钩子,我们可以截获系统发给应用程序的消息,并且在经过处理后决定是否将消息再发给下一个应用程序.利用钩子的这一特性,我们可以创建一个监控程序,收集和控制系统发出的消息. 二.Windows钩子程序的编制 编制Windows的钩子程序,需要用到几个SDK中的API函数.下面列出这几个函数

  • ios的签名机制详解

    前言 iOS 签名机制挺复杂,各种证书,Provisioning Profile,entitlements,CertificateSigningRequest,p12,AppID,概念一堆,也很容易出错,本文尝试从原理出发,一步步推出为什么会有这么多概念,希望能有助于理解 iOS App 签名的原理和流程. 目的 先来看看苹果的签名机制是为了做什么.在 iOS 出来之前,在主流操作系统(Mac/Windows/Linux)上开发和运行软件是不需要签名的,软件随便从哪里下载都能运行,导致平台对第三

  • Python字符串的创建和驻留机制详解

    目录 字符串 字符串驻留机制 字符串驻留机制优缺点 字符串 字符串在Python中是基本数据类型,是一个不可变的字符序列. 字符串驻留机制 仅保存一份相同且不可变字符串的方法,不同的值被存放在字符串的驻留池中,Python的驻留机制对相同的字符串只保留一份拷贝,后续创建相同字符串时,不会开辟新空间,而是把该字符串的地址赋给新创建的变量. 驻留机制的几种情况(交互模式windows+r,cmd) 1.字符串的长度为0或1时 2.符合标识符的字符串 3.字符串只在编译时进行驻留,而非运行时 b在运行

  • Vue nextTick延迟回调获取更新后DOM机制详解

    目录 简述 事件循环机制 vue数据驱动视图的处理(异步变化DOM) Vue.nextTick原理 Vue.nextTick的应用 created生命周期中操作DOM 修改数据,获取DOM值 简述 相信大家在写vue项目的时候,一定会发现一个神奇的api,Vue.nextTick.为什么说它神奇呢,那是因为在你做某些操作不生效时,将操作写在Vue.nextTick内,就神奇的生效了.那这是什么原因呢? 让我们一起来研究一下. vue 实现响应式并不是数据发生变化后 DOM 立即变化,而是按照一定

  • java中类加载与双亲委派机制详解

    目录 类加载是什么 类加载器 双亲委派机制 BootStrapClassLoader ExtClassLoader AppClassLoader 为什么使用双亲委派机制 全盘负责委托机制 自定义类加载器 打破双亲委派机制 类加载是什么 把磁盘中的java文件加载到内存中的过程叫做类加载 当我们用java命令运行某个类的main函数启动程序时,首先需要通过类加载器把主类加载到JVM. 有如下 User 类 package dc.dccmmtop; public Class User { publi

  • java 深拷贝与浅拷贝机制详解

     java 深拷贝与浅拷贝机制详解 概要: 在Java中,拷贝分为深拷贝和浅拷贝两种.java在公共超类Object中实现了一种叫做clone的方法,这种方法clone出来的新对象为浅拷贝,而通过自己定义的clone方法为深拷贝. (一)Object中clone方法 如果我们new出一个新对象,用一个声明去引用它,之后又用另一个声明去引用前一个声明,那么最后的结果是:这两个声明的变量将指向同一个对象,一处被改全部被改.如果我们想创建一个对象的copy,这个copy和对象的各种属性完全相同,而且修

  • Java中的反射机制详解

    Java中的反射机制详解 反射,当时经常听他们说,自己也看过一些资料,也可能在设计模式中使用过,但是感觉对它没有一个较深入的了解,这次重新学习了一下,感觉还行吧! 一,先看一下反射的概念: 主要是指程序可以访问,检测和修改它本身状态或行为的一种能力,并能根据自身行为的状态和结果,调整或修改应用所描述行为的状态和相关的语义. 反射是Java中一种强大的工具,能够使我们很方便的创建灵活的代码,这些代码可以再运行时装配,无需在组件之间进行源代码链接.但是反射使用不当会成本很高! 看概念很晕的,继续往下

  • C/C++函数参数传递机制详解及实例

    C/C++函数参数传递机制详解及实例 概要: C/C++的基本参数传递机制有两种:值传递和引用传递,我们分别来看一下这两种的区别. (1)值传递过程中,需在堆栈中开辟内存空间以存放由主调函数放进来的实参的值,从而成为了实参的一个副本.值传递的特点是被调函数对形参的任何操作都是作为局部变量进行,不会影响主调函数的实参变量的值. (2)引用传递过程中,被调函数的形参虽然也作为局部变量在堆栈中开辟了内存空间,但是这时存放的是由主调函数放进来的实参变量的地址.被调函数对形参的任何操作都被处理成间接寻址,

  • java-流的使用完结与异常处理机制(详解)

    1.1 java.io.objectInputStream 对象输入流:用于将一组字节(通过对象输出流写出对象而转换的一组字节)读取并转换为对应的对象.对象输出流将对象写出时转换为一组字节的过程,称为:对象序列化对象输入流将这组字节读取并还原会对象的过程,称为:对象反序列化 1.2 java.io.Serializable Serializable序列化接口 当一个类实现了Serializable接口后,应当在当前类中添加一个常量: 序列化版本号serialVersionUID 序列化版本号若不

  • 微信小程序 require机制详解及实例代码

    微信小程序 require机制详解 一, JS模块加载:一次性加载全部JS, 但并不一定立即执行. 先提一提微信小程序架构: 类浏览器 -> HTTP本地服务 -> 云端服务 微信小程序运行的架构,基本上是浏览器 -> HTTP本地服务 -> 云端服务, HTTP本地服务用来读取本地文件或者代理云端的文件资源.读取项目中JS文件, 是由HTTP本地服务取本地存储的脚本文件. 似乎比较简单,一个HTML 引用所有JS文件 既然采用了这种架构,那微信小程序就类似浏览器那样,借助一个HT

随机推荐