钩子(Hook)是Windows消息处理机制的一种方式,允许应用程序在指定窗口的消息传递给目标窗口处理函数之前进行处理。钩子链表是由系统维护的,钩子子程是应用程序定义的回调函数,用于监视特定事件。钩子类型包括WH_CALLWNDPROC、WH_CBT、WH_DEBUG等,用于监视窗口消息、系统事件等。钩子的安装、调用和卸载涉及SetWindowsHookEx、CallNextHookEx和UnhookWindowsHookEx函数。系统钩子会影响所有线程,而线程钩子仅限于特定线程。钩子的使用应注意性能影响,及时卸载。
一、基本概念
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。
钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
二、运行机制
1、钩子链表和钩子子程
每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。这个列表的指针指向指定的、应用程序定义的、被Hook子程调用的回调函数,也就是该钩子的处理子程(钩子回调函数)。当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。
钩子子程是一个应用程序定义的回调函数(CALLBACK Function),不能定义成某个类的成员函数,只能定义为普通的C函数。用以监视系统或某一特定类型的事件,这些事件可以是与某一特定线程关联的,也可以是系统中所有线程的事件。
钩子子程必须按照以下的语法:
LRESULT CALLBACK HookProc
(
int nCode,
WPARAM wParam,
LPARAM lParam
);
HookProc是应用程序定义的名字。
nCode参数是Hook代码,Hook子程使用这个参数来确定任务。这个参数的值依赖于Hook类型,每一种Hook都有自己的Hook代码特征字符集。
wParam和lParam参数的值依赖于Hook代码,但是它们的典型值是包含了关于发送或者接收消息的信息。
想要卸载它由两种情况,要么是hook服务程序调用UnhookWindowsHookEx(),要么是应用程序被关闭。当调用UnhookWindowsHookEx()时,操作系统会找到被hook的进程,将DLL的锁数目减1,这样,当锁数目变为0的时候,DLL就会自动从进程的地址空间中移除。
2、钩子的安装与释放
2.1 安装钩子
使用API函数SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数总是在Hook链的开头安装Hook子程。当指定类型的Hook监视的事件发生时,系统就调用与这个Hook关联的Hook链的开头的Hook子程。每一个Hook链中的Hook子程都决定是否把这个事件传递到下一个Hook子
最低0.47元/天 解锁文章
扫一扫
1984
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
