|
|
2004-02-23■刘涛■yesky 我对此感兴趣
前言
Windows系统中钩子具有相当强大的功能,通过这种技术可以对几乎所有的Windows 系统中的消息进行拦截、监视、处理。这种技术可以广泛应用于各种软件,尤其是需要有监控、自动记录等对系统进行监测功能的软件。本文针对这个专题进行了探讨,希望可以为读者朋友们起到抛砖引玉的作用。
一、钩子的机制及类型
Windows的应用程序都是基于消息驱动的,应用程序的操作都依赖于它所得到的消息的类型及内容。钩子与Dos中断截获处理机制有类似之处。钩子(Hook)是Windows消息处理机制的一个平台,通过安装各种钩子,应用程序可以在上面设置子程序以监视指定窗口的某种消息,并且当消息到达目标窗口之前处理它。
在Windows中,钩子有两种,一种是系统钩子(RemoteHook),它对消息的监视是整个系统范围,另一种是线程钩子(LocalHook),它的拦截范围只有进程内部的消息。对于系统钩子,其钩子函数(HookFunction)应在Windows系统的动态链接库(DLL)中实现,而对于线程钩子来说,钩子函数可以在DLL之中实现,也可以在相应的应用程序之中实现。这是因为当开发人员创建一个钩子时,Windows先在系统内存中创建一个数据结构,该数据结构包含了钩子的相关信息,然后把该结构体加到已经存在的钩子链表中去,并且新的钩子将排在老的钩子的前面。当一个事件发生时,如果安装的是一个局部钩子,当前进程中的钩子函数将被调用。如果是一个远程钩子,系统就必须把钩子函数插入到其它进程的地址空间,要做到这一点就要求钩子函数必须在一个动态链接库中,所以如果想要使用远程钩子,就必须把该钩子函数放到动态链接库中去。对于钩子所监视的消息类型来说,Windws一共提供了如下几种类型:如表1所示:
表一、Windows消息类型
消息类型常量标识 值 消息类型 适用范围
WH_CALLWNDPROC 4 发给窗口的消息 线程或系统
WH_CALLWNDPROCRET 12 窗口返回的消息 线程或系统
WH_CBT 5 窗口变化、焦点设定等消息 线程或系统
WH_DEBUG 9 是否执行其它Hook的Hook 线程或系统
WH_FOREGROUNDIDLE 11 前台程序空闲 线程或系统
WH_GETMESSAGE 3 投放至消息队列中的消息 线程或系统
WH_JOURNALPLAYBACK 1 将所记载的消息进行回放 系统
WH_JOURNALRECORD 0 监视并记录输入消息 系统
WH_KEYBOARD 2 键盘消息 线程或系统
WH_MOUSE 7 鼠标消息 线程或系统
WH_MSGFILTER -1 菜单滚动条、对话框消息 线程或系统
WH_SHELL 10 外壳程序的消息 线程或系统
WH_SYSMSGFILTER 6 所有线程的菜单滚动条、对话框消息 系统
详细可去网站看看 以下是地址:
http://www.yesky.com/SoftChannel/72342371928637440/20040223/1770523.shtml
[em17] [em17] |
|
发表于 2004-2-25 01:14:00
