我的Hook學習筆記 (轉)[@more@]

關於Hook

一、基本概念：

鉤子(Hook)，是訊息處理機制的一個平臺,應用可以在上面設定子程以監視指定視窗的某種訊息，而且所監視的視窗可以是其他程式所建立的。當訊息到達後，在目標視窗處理之前處理它。鉤子機制允許應用程式截獲處理window訊息或特定事件。

鉤子實際上是一個處理訊息的程式段，透過，把它掛入系統。每當特定的訊息發出，在沒有到達目的視窗前，鉤子程式就先捕獲該訊息，亦即鉤子函式先得到控制權。這時鉤子函式即可以加工處理（改變）該訊息，也可以不作處理而繼續傳遞該訊息，還可以強制結束訊息的傳遞。

二、執行機制：

1、鉤子連結串列和鉤子子程：

每一個Hook都有一個與之相關聯的指標列表，稱之為鉤子連結串列，由系統來維護。這個列表的指標指向指定的，應用程式定義的，被Hook子程呼叫的回撥函式，也就是該鉤子的各個處理子程。當與指定的Hook型別關聯的訊息發生時，系統就把這個訊息傳遞到Hook子程。一些Hook子程可以只監視訊息，或者修改訊息，或者停止訊息的前進，避免這些訊息傳遞到下一個Hook子程或者目的視窗。最近的鉤子放在鏈的開始，而最早安裝的鉤子放在最後，也就是後加入的先獲得控制權。

Windows 並不要求鉤子子程的解除安裝順序一定得和安裝順序相反。每當有一個鉤子被解除安裝，Windows 便釋放其佔用的，並整個Hook連結串列。如果程式安裝了鉤子，但是在尚未解除安裝鉤子之前就結束了，那麼系統會自動為它做解除安裝鉤子的操作。

鉤子子程是一個應用程式定義的回撥函式(CALLBACK Function),不能定義成某個類的成員函式，只能定義為普通的C函式。用以監視系統或某一特定型別的事件，這些事件可以是與某一特定執行緒關聯的，也可以是系統中所有執行緒的事件。

鉤子子程必須按照以下的語法：
LRESULT CALLBACK HookProc
(
int nCode,
WPARAM wParam,
LPARAM lParam
);
HookProc是應用程式定義的名字。

nCode引數是Hook程式碼，Hook子程使用這個引數來確定任務。這個引數的值依賴於Hook型別，每一種Hook都有自己的Hook程式碼特徵字符集。
wParam和lParam引數的值依賴於Hook程式碼，但是它們的典型值是包含了關於傳送或者接收訊息的資訊。

2、鉤子的安裝與釋放：

使用函式SetWindowsHookEx()把一個應用程式定義的鉤子子程安裝到鉤子連結串列中。SetWindowsHookEx函式總是在Hook鏈的開頭安裝Hook子程。當指定型別的Hook監視的事件發生時，系統就呼叫與這個Hook關聯的Hook鏈的開頭的Hook子程。每一個Hook鏈中的Hook子程都決定是否把這個事件傳遞到下一個Hook子程。Hook子程傳遞事件到下一個Hook子程需要呼叫CallNextHookEx函式。

HHOOK SetWindowsHookEx(
　　　　　int idHook, // 鉤子的型別，即它處理的訊息型別
　　　　　HOOKPROC lpfn, // 鉤子子程的地址指標。如果dwThreadId引數為0
// 或是一個由別的程式建立的執行緒的標識，
// lpfn必須指向DLL中的鉤子子程。
// 除此以外，lpfn可以指向當前程式的一段鉤子子程程式碼。
// 鉤子函式的入口地址，當鉤子鉤到任何訊息後便呼叫這個函式。
　　　　　HINSTANCE hMod, // 應用程式例項的控制程式碼。標識包含lpfn所指的子程的DLL。
// 如果dwThreadId 標識當前程式建立的一個執行緒，
// 而且子程程式碼位於當前程式，hMod必須為NULL。
// 可以很簡單的設定其為本應用程式的例項控制程式碼。
　　　　　D dwThreadId // 與安裝的鉤子子程相關聯的執行緒的識別符號。
// 如果為0，鉤子子程與所有的執行緒關聯，即為全域性鉤子。
　　　　　 );
　　函式成功則返回鉤子子程的控制程式碼，失敗返回NULL。

　　以上所說的鉤子子程與執行緒相關聯是指在一鉤子連結串列中發給該執行緒的訊息同時傳送給鉤子子程，且被鉤子子程先處理。

在鉤子子程中呼叫得到控制權的鉤子函式在完成對訊息的處理後，如果想要該訊息繼續傳遞，那麼它必須呼叫另外一個SDK中的API函式CallNextHookEx來傳遞它，以鉤子連結串列所指的下一個鉤子子程。這個函式成功時返回鉤子鏈中下一個鉤子過程的返回值，返回值的型別依賴於鉤子的型別。這個函式的原型如下：

LRESULT CallNextHookEx
(
HHOOK hhk;
int nCode;
WPARAM wParam;
LPARAM lParam;
);

hhk為當前鉤子的控制程式碼，由SetWindowsHookEx()函式返回。
NCode為傳給鉤子過程的事件程式碼。
wParam和lParam 分別是傳給鉤子子程的wParam值，其具體含義與鉤子型別有關。

鉤子函式也可以透過直接返回TRUE來丟棄該訊息，並阻止該訊息的傳遞。否則的話，其他安裝了鉤子的應用程式將不會接收到鉤子的通知而且還有可能產生不正確的結果。

鉤子在使用完之後需要用UnHookWindowsHookEx()解除安裝，否則會造成麻煩。釋放鉤子比較簡單，UnHookWindowsHookEx()只有一個引數。函式原型如下：

UnHookWindowsHookEx
(
HHOOK hhk;
);
函式成功返回TRUE，否則返回FALSE。

3、一些執行機制：

在Win16環境中，DLL的全域性資料對每個載入它的程式來說都是相同的；而在環境中，情況卻發生了變化，DLL函式中的程式碼所建立的任何（包括變數）都歸呼叫它的執行緒或程式所有。當程式在載入DLL時，自動把DLL地址對映到該程式的私有空間，也就是程式的虛擬地址空間，而且也複製該DLL的全域性資料的一份複製到該程式空間。也就是說每個程式所擁有的相同的DLL的全域性資料，它們的名稱相同，但其值卻並不一定是相同的，而且是互不干涉的。

因此，在Win32環境下要想在多個程式中共享資料，就必須進行必要的設定。在訪問同一個Dll的各程式之間共享器是透過儲存器對映技術實現的。也可以把這些需要共享的資料分離出來，放置在一個獨立的資料段裡，並把該段的屬性設定為共享。必須給這些變數賦初值，否則會把沒有賦初始值的變數放在一個叫未被初始化的資料段中。

#pragma data_seg預處理指令用於設定共享資料段。例如：
#pragma data_seg("SharedDataName")
HHOOK hHook=NULL;
#pragma data_seg()
在#pragma data_seg("SharedDataName")和#pragma data_seg()之間的所有變數將被訪問該Dll的所有程式看到和共享。

當程式隱式或顯式呼叫一個動態庫裡的函式時，系統都要把這個動態庫對映到這個程式的虛擬地址空間裡(以下簡稱"地址空間")。這使得DLL成為程式的一部分，以這個程式的身份執行，使用這個程式的堆疊。

4、系統鉤子與執行緒鉤子：

SetWindowsHookEx()函式的最後一個引數決定了此鉤子是系統鉤子還是執行緒鉤子。

執行緒勾子用於監視指定執行緒的事件訊息。執行緒勾子一般在當前執行緒或者當前執行緒派生的執行緒內。

系統勾子監視系統中的所有執行緒的事件訊息。因為系統勾子會影響系統中所有的應用程式，所以勾子函式必須放在獨立的動態連結庫(DLL) 中。系統自動將包含"鉤子回撥函式"的DLL對映到受鉤子函式影響的所有程式的地址空間中，即將這個DLL注入了那些程式。

幾點說明：
（1）如果對於同一事件（如滑鼠訊息）既安裝了執行緒勾子又安裝了系統勾子，那麼系統會自動先呼叫執行緒勾子，然後呼叫系統勾子。

（2）對同一事件訊息可安裝多個勾子處理過程，這些勾子處理過程形成了勾子鏈。當前勾子處理結束後應把勾子資訊傳遞給下一個勾子函式。

（3）勾子特別是系統勾子會消耗訊息處理時間，降低系統。只有在必要的時候才安裝勾子，在使用完畢後要及時解除安裝。

三、鉤子型別

每一種型別的Hook可以使應用程式能夠監視不同型別的系統訊息處理機制。下面描述所有可以利用的Hook型別。

1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks

WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以監視傳送到視窗過程的訊息。系統在訊息傳送到接收視窗過程之前呼叫WH_CALLWNDPROC Hook子程，並且在視窗過程處理完訊息之後呼叫WH_CALLWNDPROCRET Hook子程。

WH_CALLWNDPROCRET Hook傳遞指標到CWPRETSTRUCT結構，再傳遞到Hook子程。CWPRETSTRUCT結構包含了來自處理訊息的視窗過程的返回值，同樣也包括了與這個訊息關聯的訊息引數。

2、WH_CHook

在以下事件之前，系統都會呼叫WH_CBT Hook子程，這些事件包括：
1. 啟用，建立，銷燬，最小化，最大化，移動，改變尺寸等視窗事件；
2. 完成系統指令；
3. 來自系統訊息佇列中的移動滑鼠，鍵盤事件；
4. 設定輸入焦點事件；
5. 同步系統訊息佇列事件。

Hook子程的返回值確定系統是否允許或者防止這些操作中的一個。

3、WH_DE Hook

在系統呼叫系統中與其他Hook關聯的Hook子程之前，系統會呼叫WH_DEBUG Hook子程。你可以使用這個Hook來決定是否允許系統呼叫與其他Hook關聯的Hook子程。

4、WH_FOREGROUNDIDLE Hook

當應用程式的前臺執行緒處於空閒狀態時，可以使用WH_FOREGROUNDIDLE Hook執行低優先順序的任務。當應用程式的前臺執行緒大概要變成空閒狀態時，系統就會呼叫WH_FOREGROUNDIDLE Hook子程。

5、WH_GETMESSAGE Hook

應用程式使用WH_GETMESSAGE Hook來監視從GetMessage or PeekMessage函式返回的訊息。你可以使用WH_GETMESSAGE Hook去監視滑鼠和鍵盤輸入，以及其他傳送到訊息佇列中的訊息。

6、WH_JOURNALPLAYBACK Hook

WH_JOURNALPLAYBACK Hook使應用程式可以插入訊息到系統訊息佇列。可以使用這個Hook回放透過使用WH_JOURNALRECORD Hook記錄下來的連續的滑鼠和鍵盤事件。只要WH_JOURNALPLAYBACK Hook已經安裝，正常的滑鼠和鍵盤事件就是無效的。WH_JOURNALPLAYBACK Hook是全域性Hook，它不能象執行緒特定Hook一樣使用。WH_JOURNALPLAYBACK Hook返回超時值，這個值告訴系統在處理來自回放Hook當前訊息之前需要等待多長時間（毫秒）。這就使Hook可以控制實時事件的回放。WH_JOURNALPLAYBACK是system-w local hooks，它們不會被注射到任何行程位址空間。

7、WH_JOURNALRECORD Hook

WH_JOURNALRECORD Hook用來監視和記錄輸入事件。典型的，可以使用這個Hook記錄連續的滑鼠和鍵盤事件，然後透過使用WH_JOURNALPLAYBACK Hook來回放。WH_JOURNALRECORD Hook是全域性Hook，它不能象執行緒特定Hook一樣使用。WH_JOURNALRECORD是system-wide local hooks，它們不會被注射到任何行程位址空間。

8、WH_KEYBOARD Hook

在應用程式中，WH_KEYBOARD Hook用來監視WM_KEYDOWN and WM_KEYUP訊息，這些訊息透過GetMessage or PeekMessage function返回。可以使用這個Hook來監視輸入到訊息佇列中的鍵盤訊息。

9、WH_KEYBOARD_LL Hook

WH_KEYBOARD_LL Hook監視輸入到執行緒訊息佇列中的鍵盤訊息。

10、WH_MOUSE Hook

WH_MOUSE Hook監視從GetMessage 或者 PeekMessage 函式返回的滑鼠訊息。使用這個Hook監視輸入到訊息佇列中的滑鼠訊息。

11、WH_MOUSE_LL Hook

WH_MOUSE_LL Hook監視輸入到執行緒訊息佇列中的滑鼠訊息。

12、WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以監視選單，捲軸，訊息框，對話方塊訊息並且發現使用ALT+TAB or ALT+ESC 組合鍵切換視窗。WH_MSGFILTER Hook只能監視傳遞到選單，捲軸，訊息框的訊息，以及傳遞到透過安裝了Hook子程的應用程式建立的對話方塊的訊息。WH_SYSMSGFILTER Hook監視所有應用程式訊息。

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以在迴圈期間過濾訊息，這等價於在主訊息迴圈中過濾訊息。

透過呼叫CallMsgFilter function可以直接的呼叫WH_MSGFILTER Hook。透過使用這個函式，應用程式能夠在模式迴圈期間使用相同的程式碼去過濾訊息，如同在主訊息迴圈裡一樣。

13、WH_ Hook

外殼應用程式可以使用WH_SHELL Hook去接收重要的通知。當外殼應用程式是啟用的並且當頂層視窗建立或者銷燬時，系統呼叫WH_SHELL Hook子程。
WH_SHELL 共有５鍾情況：
1. 只要有個top-level、unowned 視窗被產生、起作用、或是被摧毀；
2. 當Taskbar需要重畫某個按鈕；
3. 當系統需要顯示關於Taskbar的一個程式的最小化形式；
4. 當目前的鍵盤佈局狀態改變；
5. 當使用者按Ctrl+Esc去執行Task Manager（或相同級別的程式）。

按照慣例，外殼應用程式都不接收WH_SHELL訊息。所以，在應用程式能夠接收WH_SHELL訊息之前，應用程式必須呼叫SystemParametersInfo function註冊它自己。

rivershan原創於2002年9月18日

我的Hook學習筆記 (轉)

相關文章