系統鈎子

其實Windows系統是建立在事件驅動的機制上的，説穿了就是整個系統都是通過消息的傳遞來實現的。而鈎子是Windows系統中非常重要的系統接口，用它可以截獲並處理送給 其他應用程序的消息，來完成普通應用程序難以實現的功能。

可見，利用鈎子可以實現許多特殊而有用的功能。因此，對於高級編程人員來説，掌握鈎子的編程方法是很有必要的。

鈎子的種類很多，每種鈎子可以截獲並處理相應的消息，如鍵盤鈎子可以截獲鍵盤消息，外殼鈎子可以截取、啓動和關閉應用程序的消息等。

在實例程序中運用WH_GETMESSAGE鈎子，這個鈎子監視投遞到消息隊列中的Windows消息。

鈎子可以分為線程鈎子和系統鈎子, 線程鈎子監視指定線程的事件消息, 系統鈎子監視系統中的所有線程的事件消息。因為系統鈎子會影響系統中所有的應用程序，所以鈎子函數必須放在獨立的動態鏈接庫(DLL) 中。

1． windows的鈎子程序，需要用到幾個sdk中的api函數。下面列出這幾個函數的原型及説明：

hhook setwindowshookex(int idhook,hook_proc lpfn,hinstance hmod,dword dwthreadid);

參數説明如下：

idhook：鈎子的類型

lpfn：鈎子處理函數地址

hmod：包含鈎子函數的模塊句柄

dwthreadid：鈎子的監控線程

函數説明：函數將在系統中掛上一個由idhook指定類型的鈎子，監控並處理相應的特定消息。

bool unhookwindowshookex(hhook hhk);

函數説明：函數將撤銷由hhk指定的鈎子。

lresult callnexthookex( hhook hhk, int ncode,wparam wparam,lparam lparam );

函數説明：函數將消息向下傳遞，下一個鈎子處理將截獲這一消息。

2． 由於鈎子的處理涉及到模塊及進程間的數據地址問題，一般情況是把鈎子整合到一個動態鏈接庫（dll）中，VC中有三種形式的MFC DLL可供選擇，即Regular statically linked to MFC DLL（標準靜態鏈接MFC DLL）、Regular using the shared MFC DLL（標準動態鏈接MFC DLL）以及Extension MFC DLL（擴展MFC DLL）。第一種DLL在編譯時把使用的MFC代碼鏈接到DLL中，執行程序時不需要其他MFC動態鏈接類庫的支持，但體積較大；第二種DLL在運行時動態鏈接到MFC類庫，因而體積較小，但卻依賴於MFC動態鏈接類庫的支持；這兩種DLL均可被MFC程序和Win32程序使用。第三種DLL的也是動態連接，但做為MFC類庫的擴展，只能被MFC程序使用。

另外,要設立一個全局數據共享數據段，以存貯一些全局變量，保留上次鈎子消息事件發生時的狀態。

3． Win32 DLL的入口和出口函數都是DLLMain。只要有進程或線程載入和卸載DLL時，都會調用該函數，其原型是：

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved); 其中，第一個參數表示DLL的實例句柄；第三個參數系統保留；第二個參數指明瞭當前調用該動態連接庫的狀態，它有四個可能的值：DLL_PROCESS_ATTACH（進程載入）、DLL_THREAD_ATTACH（線程載入）、DLL_THREAD_DETACH（線程卸載）、DLL_PROCESS_DETACH（進程卸載）。在DLLMain函數中可以通過對傳遞進來的這個參數的值進行判別，根據不同的參數值對DLL進行必要的初始化或清理工作。由於在Win32環境下，所有進程的空間都是相互獨立的，這減少了應用程序間的相互影響，但大大增加了編程的難度。當進程在動態加載DLL時，系統自動把DLL地址映射到該進程的私有空間，而且也複製該DLL的全局數據的一份拷貝到該進程空間，每個進程所擁有的相同的DLL的全局數據其值卻並不一定是相同的。當DLL內存被映射到進程空間中，每個進程都有自己的全局內存拷貝，加載DLL的每一個新的進程都重新初始化這一內存區域，也就是説進程不能再共享DLL。因此，在Win32環境下要想在多個進程中共享數據，就必須進行必要的設置。一種方法便是把這些需要共享的數據單獨分離出來，放置在一個獨立的數據段裏，並把該段的屬性設置為共享，建立一個內存共享的DLL。

建立鈎子程序時需要把鈎子處理整合到動態鏈接庫中，所以例程中需要建立兩個project。

1． 鈎子處理動態鏈接庫

（1） 選擇mfc appwizard(dll)創建一個新project，命名為“spy”。

（2） 選擇mfc extension dll類型。

（3） 創建一個新的頭文件，命名為“hook.h”，修改它的代碼如下：

extern "C" LRESULT CALLBACK mouseproc(int code,WPARAM wparam,LPARAM lparam); //鈎子處理函數

extern "C" bool WINAPI starthook(); //啓動鈎子函數

extern "C" bool WINAPI stophook(); //撤銷鈎子函數

extern "C" int WINAPI getresultl(); //取得鼠標左鍵單擊次數的函數

extern "C" int WINAPI getresultr(); //取得鼠標右鍵單擊次數的函數

（4） 修改spy.cpp程序代碼如下:

#include "hook.h" //包含頭文件hook

#pragma data_seg("publicdata") //定義全局數據段

HHOOK hhook=NULL; //鈎子句柄

HINSTANCE pinstance=NULL;//鈎子模塊句柄

UINT mouseclickl=0; //記錄鼠標左鍵單擊次數的變量

UINT mouseclickr=0;//記錄鼠標右鍵單擊次數

#pragma data_seg()

extern "C" int APIENTRY

DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)

{ if (dwReason == DLL_PROCESS_ATTACH)

{……　//省略部分機器生成代碼

new CDynLinkLibrary(SpyDLL);

pinstance=hInstance;//取得模塊句柄

}

……;

}

extern "C" LRESULT CALLBACK mouseproc(int code, WPARAM wparam,LPARAM lparam)//鈎子處理函

{

if (code<0) //若code〈0，則直接調用callnexthookex返回

return CallNextHookEx(hhook, code, wparam, lparam);

if(wparam==WM_LBUTTONDOWN)

{ mouseclickl++;//記錄鼠標左鍵單擊次數 }

if(wparam==WM_RBUTTONDOWN)

{ mouseclickr++;//記錄鼠標右鍵單擊次數 }

return CallNextHookEx(hhook, code, wparam,lparam);

}

extern "C" bool WINAPI starthook()//啓動鈎子函數

{

hhook=SetWindowsHookEx(WH_MOUSE,mouseproc,pinstance,0);//掛上鈎子

if(hhook!=NULL)

return true;

else return false;

}

extern "C" bool WINAPI stophook() //撤銷鈎子函數

{ return UnhookWindowsHookEx(hhook); //撤銷鈎子}

extern "C" int WINAPI getresultl()//返回鼠標左鍵單擊次數

{ return mouseclickl;}

extern "C" int WINAPI getresultr()//返回鼠標右鍵單擊次數

{ return mouseclickr;}

（5） 修改spy.def程序代碼如下:

exports

stophook @2

starthook @1

getresultl @3

getresultr @4

(6) 編譯project，生成spy.dll文件和spy.lib文件。

2． 建立使用鈎子的應用程序

（1） 生成一個單文檔的可執行文件（exe）的project。

（2） 修改資源中的主選單，增加一個選單項“監控”，下有三個子選單項，分別為“啓動”、“撤銷”和“取出”。

（3） 在project中加入spy.lib文件。

（4） 分別修改“啓動”、“撤銷”和“取出”選單項的command響應函數如下：

#include "E:\DevStudio\MyProjects\spy\hook.h" //路徑可不同

void CMainFrame::OnMenuitem32771() //“啓動”選單項的響應函數

{ starthook(); }

void CMainFrame::OnMenuitem32772() //“撤銷”選單項的響應函數

{ stophook();}

void CMainFrame::OnMenuitem32773() //“取出”選單項的響應函數

{ int resultl=getresultl();

int resultr=getresultr();

char buffer[80];

wsprintf(buffer,"在程序運行期間，你共單擊鼠標左鍵%d次，右鍵%d次!",resultl,resultr);

::MessageBox(this->m_hWnd,buffer,"message",MB_OK);

}

編譯這個project，並把spy.dll放到生成的可執行文件目錄下，便可運行程序。運行時，選擇“監控”選單中的“啓動”選單項，鈎子便開始工作，監視鼠標的活動情況；選擇“撤銷”選單項，系統便撤銷鈎子；選擇“取出”選單項，程序便報告在監控期間，用户分別單擊鼠標左鍵和右鍵的次數。