Windows钩子编程1

Windows钩子编程1
2010年12月29日
　　一、什么是钩子(hook)
　　Windows系统是建立在事件驱动的机制上的，说穿了就是整个系统都是通过消息的传递来实现的。钩子(hook)是一种特殊的消息处理机制，钩子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的钩子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。
　　钩子的种类很多，每种钩子可以截获并处理相应的消息，如键盘钩子可以截获键盘消息，外壳钩子可以截取、启动和关闭应用程序的消息等。钩子可以分为线程钩子和系统钩子, 线程钩子监视指定线程的事件消息, 系统钩子监视系统中的所有线程的事件消息。因为系统钩子会影响系统中所有的应用程序，所以钩子函数必须放在独立的动态链接库(DLL) 中。
　　按照我的理解，钩子(hook)就是一个Windows消息的拦截机制，你可以单个进程的消息(线程钩子)，也可以拦截所有进程的消息(系统钩子)，对拦截的消息进行自定义的处理。Windows消息带了一些程序有用的信息，比如Mouse类信息，就带有鼠标所在窗体句柄、鼠标位置等信息（具体可参考相应的消息定义文档），拦截了这些消息，就可以做出例如金山词霸一类的屏幕取词功能。
　　二、钩子的工作原理
　　在正确使用钩子函数前，我们先讲解钩子函数的工作原理。当您创建一个钩子时，WINDOWS会先在内存中创建一个数据结构，该数据结构包含了钩子的相关信息，然后把该结构体加到已经存在的钩子链表中去。新的钩子将加到老的前面。当一个事件发生时，如果您安装的是一个进程钩子，您进程中的钩子函数将被调用。如果是一个系统钩子，系统就必须把钩子函数插入到其它进程的地址空间，要做到这一点要求钩子函数必须在一个动态链接库中，所以如果您想要使用系统钩子，就必须把该钩子函数放到动态链接库中去。当然有两个例外：工作日志钩子和工作日志回放钩子。这两个钩子的钩子函数必须在安装钩子的线程中。原因是：这两个钩子是用来监控比较底层的硬件事件的，既然是记录和回放，所有的事件就当然都是有先后次序的。所以如果把回调函数放在DLL中，输入的事件被放在几个线程中记录，所以我们无法保证得到正确的次序。故解决的办法是：把钩子函数放到单个的线程中，譬如安装钩子的线程。
　　几点需要说明的地方： 
　　（1） 如果对于同一事件（如鼠标消息）既安装了线程钩子又安装了系统钩子，那么系统会自动先调用线程钩子，然后调用系统钩子。 
　　（2） 对同一事件消息可安装多个钩子处理过程，这些钩子处理过程形成了钩子链。当前钩子处理结束后应把钩子信息传递给下一个钩子函数。而且最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。 
　　（3） 钩子特别是系统钩子会消耗消息处理时间，降低系统性能。只有在必要的时候才安装钩子，在使用完毕后要及时卸载。
　　三、相关函数说明
　　1、钩子函数 
　　钩子函数指钩子在拦截了消息后，进行对应消息处理的函数，可以通过返回TRUE直接抛弃消息，其原型为：
　　LRESULT CALLBACK HookProcName(int nCode ,WPARAM wParam,LPARAM lParam)
　　参数说明：
　　nCode -- 包含有关消息本身的信息，比如是否从消息队列中移出(未具体了解，有兴趣可查资料).
　　wParam -- 消息标示，用于判断该消息是那种消息，如WM_MOUSEMOVE，WM_NCMOUSEMOVE.
　　lParam -- 包含所钩消息的信息指针，比如鼠标位置、状态，键盘按键等。
　　2、创建钩子函数
　　创建新的钩子函数加入到钩子链中，一般在钩子程序初始化时使用.
　　HHOOK SetWindowsHookEx( int idHook,HOOKPROC lpfn, INSTANCE hMod,DWORD dwThreadId)
　　返回值：
　　HHOOK -- 钩子句柄，需要保留，等不使用钩子时通过UnhookWindowsHookEx函数卸载钩子
　　参数说明：
　　idHook -- 钩子的拦截消息类型，选择钩子程序的拦截范围，具体值参考文章结尾的消息类型
　　lpfn -- 消息的回调函数地址，一般是填函数名
　　hMod -- 钩子函数所在的实例的句柄。对于线程钩子，该参数为NULL；对于系统钩子，该参数为钩子函数所在的DLL句柄。在dll中可通过AfxInitExtensionModule(MousehookDLL, hInstance)获得DLL句柄。
　　dwThreadId -- 钩子所监视的线程的线程号，可通过GetCurrentThreadId()获得线程号。对于全局钩子，该参数为NULL(或0)。
　　3、CallNextHookEx
　　在钩子函数中使用，将钩子信息传递给钩子链的下一个钩子函数。原型如下： 
　　LRESULT CallNextHookEx( HHOOK hhk, int nCode, WPARAM wParam, LPARAM lParam ) 
　　参数说明：
　　hhk -- 钩子句柄。
　　nCode、wParam和lParam 是钩子函数对应的入参。
　　4、卸载钩子函数
　　当不再使用钩子时，必须及时卸载。简单地调用函数 BOOL UnhookWindowsHookEx( HHOOK hhk)即可。
　　四、关于DLL的相关知识的介绍
　　由于系统钩子要用到dll，所以先介绍下win32 dll的特点： 
　　Win32 DLL与 Win16 DLL有很大的区别，这主要是由操作系统的设计思想决定的。一方面，在Win16 DLL中程序入口点函数和出口点函数（LibMain和WEP）是分别实现的；而在Win32 DLL中却由同一函数DLLMain来实现。无论何时，当一个进程或线程载入和卸载DLL时，都要调用该函数，它的原型是BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved); 
　　其中，第一个参数表示DLL的实例句柄；第三个参数系统保留；这里主要介绍一下第二个参数，它有四个可能的值：DLL_PROCESS_ATTACH（进程载入），DLL_THREAD_ATTACH（线程载入），DLL_THREAD_DETACH（线程卸载），DLL_PROCESS_DETACH（进程卸载），在DLLMain函数中可以对传递进来的这个参数的值进行判别，并根据不同的参数值对DLL进行必要的初始化或清理工作。举个例子来说，当有一个进程载入一个DLL时，系统分派给DLL的第二个参数为DLL_PROCESS_ATTACH，这时，你可以根据这个参数初始化特定的数据。另一方面，在Win16环境下，所有应用程序都在同一地址空间；而在Win32环境下，所有应用程序都有自己的私有空间，每个进程的空间都是相互独立的，这减少了应用程序间的相互影响，但同时也增加了编程的难度。大家知道，在Win16环境中，DLL的全局数据对每个载入它的进程来说都是相同的；而在Win32环境中，情况却发生了变化，当进程在载入DLL时，系统自动把DLL地址映射到该进程的私有空间，而且也复制该DLL的全局数据的一份拷贝到该进程空间，也就是说每个进程所拥有的相同的DLL的全局数据其值却并不一定是相同的。因此，在Win32环境下要想在多个进程中共享数据，就必须进行必要的设置。亦即把这些需要共享的数据分离出来，放置在一个独立的数据段里，并把该段的属性设置为共享。 
　　在VC6中有三种形式的MFC DLL（在该DLL中可以使用和继承已有的MFC类)可供选择，即Regular statically linked to MFC DLL（标准静态链接MFC DLL）和Regular using the shared MFC DLL（标准动态链接MFC DLL）以及Extension MFC DLL（扩展MFC DLL）。第一种DLL的特点是，在编译时把使用的MFC代码加入到DLL中，因此，在使用该程序时不需要其他MFC动态链接类库的存在，但占用磁盘空间比较大；第二种DLL的特点是，在运行时，动态链接到MFC类库，因此减少了空间的占用，但是在运行时却依赖于MFC动态链接类库；这两种DLL既可以被MFC程序使用也可以被Win32程序使用。第三种DLL的特点类似于第二种，做为MFC类库的扩展，只能被MFC程序使用。 
　　下面说说在VC6中全局共享数据的实现 
　　在主文件中，用#pragma data_seg建立一个新的数据段并定义共享数据，其具体格式为： 
　　#pragma data_seg （"shareddata") 
　　HWND sharedwnd=NULL;//共享数据 
　　#pragma data_seg() 
　　仅定义一个数据段还不能达到共享数据的目的，还要告诉编译器该段的属性，有两种方法可以实现该目的（其效果是相同的），一种方法是在.DEF文件中加入如下语句： 
　　SETCTIONS shareddata READ WRITE SHARED 
　　另一种方法是在项目设置链接选项中加入如下语句： 
　　/SECTION:shareddata,rws
　　五、建立钩子程序的一般步骤
　　1、建立钩子函数，函数中通过CallNextHookEx传递消息
　　2、调用SetWindowsHookEx创建钩子
　　3、通过UnhookWindowsHookEx卸载钩子
　　六、钩子的安装与卸载
　　系统是通过调用位于钩子链表最开始处的钩子函数而进行消息拦截处理的，因此在设置钩子时要把回调函数放置于钩子链表的链首，操作系统会使其首先被调用。由函数SetWindowsHookEx()负责将回调函数放置于钩子链表的开始位置。SetWindowsHookEx()函数原型声明为:
　　HHOOK SetWindowsHookEx(int idHook;HOOKPROC lpfn;HINSTANCE hMod;DWORD dwThreadId);
　　其中，参数idHook 指定了钩子的类型，可以使用的类型有以下13种：
　　WH_CALLWNDPROC 系统将消息发送到指定窗口之前的"钩子" 
　　WH_CALLWNDPROCRET 消息已经在窗口中处理的"钩子" 
　　WH_CBT 基于计算机培训的"钩子" 
　　WH_DEBUG 差错"钩子" 
　　WH_FOREGROUNDIDLE 前台空闲窗口"钩子" 
　　WH_GETMESSAGE 接收消息投递的"钩子" 
　　WH_JOURNALPLAYBACK 回放以前通过WH_JOURNALRECORD"钩子"记录的输入消息 
　　WH_JOURNALRECORD 输入消息记录"钩子" 
　　WH_KEYBOARD 键盘消息"钩子" 
　　WH_MOUSE 鼠标消息"钩子" 
　　WH_MSGFILTER 对话框、消息框、菜单或滚动条输入消息"钩子" 
　　WH_SHELL 外壳"钩子" 
　　WH_SYSMSGFILTER 系统消息"钩子" 
　　参数lpfn为指向钩子函数的指针，也即回调函数的首地址；参数hMod标识了钩子处理函数所处模块的句柄；参数dwThreadId 指定被监视的线程，如果明确指定了某个线程的ID就只监视该线程，此时的钩子即为线程钩子；如果该参数被设置为0，则表示此钩子为监视系统所有线程的全局钩子。此函数在执行完后将返回一个钩子句柄。
　　七、：钩子拦截消息类型
　　WH_CALLWNDPROC ：拦截系统发向目标窗体的消息，在目标窗体处理消息前
　　WH_CALLWNDPROCRET ：在目标窗体处理完系统发送的消息后，拦截该消息，消息中包含处理返回结果
　　WH_CBT ：在以下事件之前，系统都会调用WH_CBT Hook子程，这些事件包括： 
　　1. 激活，建立，销毁，最小化，最大化，移动，改变尺寸等窗口事件； 
　　2. 完成系统指令； 
　　3. 来自系统消息队列中的移动鼠标，键盘事件； 
　　4. 设置输入焦点事件； 
　　5. 同步系统消息队列事件。 
　　钩子函数的返回值确定系统是否允许或者防止这些操作中的一个。
　　WH_DEBUG ：在系统调用系统中与其他Hook关联的Hook子程之前，系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。
　　WH_FOREGROUNDIDLE ：当应用程序的前台线程处于空闲状态时，可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时，系统就会调用WH_FOREGROUNDIDLE Hook子程。 
　　WH_GETMESSAGE ：应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和键盘输入，以及其他发送到消息队列中的消息。 
　　WH_JOURNALPLAYBACK ：使应用程序可以插入消息到系统消息队列。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装，正常的鼠标和键盘事件就是无效的。WH_JOURNALPLAYBACK Hook是全局Hook，它不能象线程特定Hook一样使用。WH_JOURNALPLAYBACK Hook返回超时值，这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间（毫秒）。这就使Hook可以控制实时事件的回放。WH_JOURNALPLAYBACK是system-wide local hooks，它们不会被注射到任何行程位址空间。（估计按键精灵是用这个hook做的） 
　　WH_JOURNALRECORD ： WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的，可以使用这个Hook记录连续的鼠标和键盘事件，然后通过使用WH_JOURNALPLAYBACK Hook来回放。WH_JOURNALRECORD Hook是全局Hook，它不能象线程特定Hook一样使用。WH_JOURNALRECORD是system-wide local hooks，它们不会被注射到任何行程位址空间。 
　　WH_KEYBOARD ：在应用程序中，WH_KEYBOARD Hook用来监视WM_KEYDOWN and WM_KEYUP消息，这些消息通过GetMessage or PeekMessage function返回。可以使用这个Hook来监视输入到消息队列中的键盘消息。
　　WH_KEYBOARD_LL ：WH_KEYBOARD_LL Hook监视输入到线程消息队列中的键盘消息。 
　　WH_MOUSE :WH_MOUSE Hook监视从GetMessage 或者 PeekMessage 函数返回的鼠标消息。使用这个Hook监视输入到消息队列中的鼠标消息。 
　　WH_MOUSE_LL ：WH_MOUSE_LL Hook监视输入到线程消息队列中的鼠标消息。 
　　WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks ：WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以监视菜单，滚动条，消息框，对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。WH_MSGFILTER Hook只能监视传递到菜单，滚动条，消息框的消息，以及传递到通过安装了Hook子程的应用程序建立的对话框的消息。WH_SYSMSGFILTER Hook监视所有应用程序消息。WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以在模式循环期间过滤消息，这等价于在主消息循环中过滤消息。通过调用CallMsgFilter function可以直接的调用WH_MSGFILTER Hook。通过使用这个函数，应用程序能够在模式循环期间使用相同的代码去过滤消息，如同在主消息循环里一样。 
　　WH_SHELL ：外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时，系统调用WH_SHELL Hook子程。WH_SHELL 共有５钟情况： 
　　1. 只要有个top-level、unowned 窗口被产生、起作用、或是被摧毁； 
　　2. 当Taskbar需要重画某个按钮； 
　　3. 当系统需要显示关于Taskbar的一个程序的最小化形式；
　　4. 当目前的键盘布局状态改变； 
　　5. 当使用者按Ctrl+Esc去执行Task Manager（或相同级别的程序）。 
　　按照惯例，外壳应用程序都不接收WH_SHELL消息。所以，在应用程序能够接收WH_SHELL消息之前，应用程序必须调用SystemParametersInfo function注册它自己。