Windows的鉤子機制詳解_C 語言

一、概述：

瞭解windows程式設計的人都知道，Windows系統程式的運行是建立在訊息傳遞機制的基礎之上的，幾乎所有的程式活動都由訊息來驅動。鉤子機制可以看作是一個訊息的中轉站，控制系統發出訊息的處理和傳遞。利用鉤子，我們可以截獲系統發給應用程式的訊息，並且在經過處理後決定是否將訊息再發給下一個應用程式。利用鉤子的這一特性，我們可以建立一個監控程式，收集和控制系統發出的訊息。

二、Windows鉤子程式的編製

編製Windows的鉤子程式，需要用到幾個SDK中的API函數。下面列出這幾個函數的原型及說明：

HHOOK SetWindowsHookEx( int idHook, HOOK_PROC lpfn, HINSTANCE hMod,DWORD dwThreadID);

參數說明：
idHook ：鉤子的類型
lpfn ：鉤子處理函數地址
hMod ：包含鉤子函數的模組控制代碼
dwThreadID ：鉤子的監控線程

函數說明：
函數將在系統中掛上一個由idHook指定類型的鉤子，監控並處理相應的特定訊息。

BOOL UnhookWindowsHookEx( HHOOK hhk );

函數說明：函數將撤銷由hhk指定的鉤子。

LRESULT CallNextHookEx( HHOOK hhk, int nCode, WPARAM wParam, LPARAM lParam );

函數說明：函數將訊息向下傳遞，下一個鉤子處理將截獲這一訊息。

由於鉤子的處理涉及到模組及進程間的資料地址問題，一般處理是把鉤子整合到一個動態連結程式庫（DLL）中，並設立一個全域資料共用資料區段，以存貯一些全域變數，保留上次鉤子訊息事件發生時的狀態。全域共用資料區段可以用如下的格式定義：

#pragma data_seg("PublicData")HHOOK hhook=NULL; //全域共用資料#pragma data_seg()

在本文所附帶的範常式序中，示範了如何編製一個滑鼠鉤子（WH_MOUSE）程式。這個程式監視了Windows系統的滑鼠訊息，在監控期間，程式可以使用者單擊滑鼠左鍵的次數。其它類型的鉤子程式的編寫過程與範常式序類似。

三、範常式序的建立與程式碼分析

正如上面所說的，建立鉤子程式時需要把鉤子處理整合到動態連結程式庫中，所以常式中需要建立兩個Project。

1、建立鉤子處理動態連結程式庫：

（1）選擇MFC AppWizard(DLL)建立一個新Project，命名為"Spy";

（2）選擇MFC Extension DLL類型

（3）建立一個新的標頭檔，命名為"Hook.h"，修改它的代碼如下

extern "C" LRESULT CALLBACK MouseProc(int code,WPARAM wParam,LPARAM lParam); //鉤子處理函數extern "C" BOOL WINAPI StartHook(); //啟動鉤子函數extern "C" BOOL WINAPI StopHook(); //撤銷鉤子函數extern "C" int WINAPI GetResult(); //取得按一下滑鼠次數的函數

（4）修改Spy.cpp檔案代碼如下（黑體部分為新增內容）

#include "stdafx.h"#include <afxdllx.h>#include "spyhook.h"……//省略部分機器產生代碼#pragma data_seg("PublicData") //定義全域資料段HHOOK hhook=NULL; //鉤子控制代碼HINSTANCE pInstance=NULL; //鉤子模組控制代碼UINT MouseClick=0; //記錄按一下滑鼠次數的變數#pragma data_seg()……//省略部分機器產生代碼extern "C" int APIENTRYDllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved){ if (dwReason == DLL_PROCESS_ATTACH){ ……//省略部分機器產生代碼new CDynLinkLibrary(SpyDLL);pInstance=hInstance; //取得模組控制代碼}else if (dwReason == DLL_PROCESS_DETACH){ TRACE0("SPY.DLL Terminating!\n");AfxTermExtensionModule(SpyDLL);}return 1; }extern "C" LRESULT CALLBACK MouseProc(int code,WPARAM wParam,LPARAM lParam) //鉤子處理函數{ if (code < 0) //若code<0，直接調用CallNextHookEx返回return CallNextHookEx(hhook, code, wParam, lParam);if(wParam==WM_LBUTTONDOWN){ MouseClick++; //記錄按一下滑鼠次數}return CallNextHookEx(hhook, code, wParam,lParam);}extern "C" BOOL WINAPI StartHook() //啟動鉤子函數{ hhook=SetWindowsHookEx(WH_MOUSE,MouseProc,pInstance,0); //掛上鉤子if(hhook!=NULL)return TRUE;else return FALSE;}extern "C" BOOL WINAPI StopHook() //撤銷鉤子函數{ return UnhookWindowsHookEx(hhook); //撤銷鉤子}extern "C" int WINAPI GetResult() //返回按一下滑鼠次數{ return MouseClick;}

（5）修改Spy.def檔案如下

LIBRARY "SPY"DEs criptION 'SPY Windows Dynamic Link Library'EXPORTSStartHook @1StopHook @2GetResult @3

（6）編譯Project，產生Spy.dll檔案和Spy.Lib檔案

2、建立使用鉤子的應用程式

產生一個單文檔的可執行檔（EXE）的Project
修改資源中的主菜單，增加一個功能表項目"監控"，下有三個子功能表項，分別為"啟動"，"撤銷"，"取出"
在Project中加入Spy.Lib檔案和Hook.h檔案
分別修改"啟動"，"撤銷"，"取出"功能表項目的Command響應函數如下：

#include "hook.h"……//省略部分機器產生代碼void CMainFrame::OnStartSpy() //"啟動"功能表項目的響應函數{ StartHook();}void CMainFrame::OnReleaseSpy() //"撤銷"功能表項目的響應函數{ StopHook();}void CMainFrame::OnGet() //"取出"功能表項目的響應函數{ int Result=GetResult();char buffer[40];wsprintf(buffer,"在程式運行期間，你共單擊滑鼠%d次",Result);::MessageBox(this->m_hWnd,buffer,"Message",MB_OK); }

編譯這個Project，並把Spy.dll放到產生的可執行檔的目錄下，便可運行程式。運行時，選擇"監控"菜單中的"啟動"功能表項目，鉤子便開始工作，監視滑鼠的活動情況；選擇"撤銷"功能表項目，系統便撤銷鉤子；選擇"取出"功能表項目，程式便報告在監控期間，使用者單擊滑鼠左鍵的次數。