Windows系统技术：钩子技术

Dealolin

Windows系统技术：钩子技术　
你创建一个钩子时，WINDOWS系统会创建一个数据结构，该结构包含了您创建的钩子的信息，安装钩子则是把该结构体插入到系统钩子列表中去，注意：新插入的放置到旧的前面。当指定的钩子事件被触发后，局部钩子只需要调用进程中的钩子函数来预处理事件，全局钩子则需要把处理插入到其他地址空间，要做到这一点，就需要有一个动态连接库，把钩子函数放到库中。但有两个是例外，就是日志钩子和日志回放钩子，它是一种比较特殊的钩子，它可以挂载到系统范围内的任何进程中，而且不需要另外编写一个dll来映射到其他进程的内存空间之中（关于日志钩子，以后有机会再详细介绍）。

一、钩子的分类：
安装不同的钩子，可以截获监视不同的消息类型，有针对的对所需要的消息进行过滤和处理，钩子主要分以下几类：

   WH_CALLWNDPROC        发送到窗口的消息。由SendMessage触发
   WH_CALLWNDPROCRET     发送到窗口的消息。由SendMessage处理完成返回时触发
   WH_GETMESSAGE         发送到窗口的消息。GetMessage或PeekMessage触发
   WH_KEYBROAD           键盘钩子，键盘触发消息。WM_KEYUP或WM_KEYDOWN消息
   WH_KEYBROAD_LL        地层键盘钩子
   WH_MOUSE              鼠标钩子,查询鼠标事件消息
   WH_MOUSE_LL           低层键盘钩子
   WH_HARDWARE           非鼠标、键盘消息时
   WH_MSGFILTER          对话框、菜单或滚动条要处理一个消息时。该钩子是局部的。
   WH_SYSMSGFILTER       同WH_MSGFILTER一样，系统范围的。
   WH_DEBUG              调试钩子，用来给钩子函数除错
   WH_JOURNALRECORD      监视和记录输入事件
   WH_JOURNALPLAYBACK    回放用WH_JOURNALRECORD记录事件
   WH_SHELL              外壳钩子，当关于WINDOWS外壳事件发生时触发.
   WH_CBT                当基于计算机的训练(CBT)事件发生时
   WH_FOREGROUNDIDLE     前台应用程序线程变成空闲时候，钩子激活。
                 

二、钩子的类型：
   全局钩子：全局钩子可以挂钩其他进程的事件，有两种：基于线程的，它将捕获其它进程中某一特定线程的事件。简言之，就是可以用来观察其它进程中的某一特定线程将发生的事件。2，系统范围的，将捕捉系统中所有进程将发生的事件消息。
   局部钩子：仅钩挂您自己进程的事件。

三、安装钩子：
　　SetWindowsHookEx
    函数原形：HHOOK SetWindowsHookEx(
                       int       idHook,    // 钩子类型，见[一]
                       HOOKPROC  lpfn,      // 钩子函数地址
                       INSTANCE  hMod,      // 钩子所在的实例的句柄，
                       DWORD     dwThreadId // 钩子所监视的线程的线程号
                      )
    hMod: 对于线程序钩子，参数传NULL；对于系统钩子：参数为钩子DLL的句柄
　　dwThreadId：对于全局钩子，该参数为NULL。
　　
    返回：成功：返回SetWindowsHookEx返回所安装的钩子句柄；
          失败：NULL；

四、卸载钩子：
    UnhookWindowsHookEx
　　函数原形：BOOL UnhookWindowsHookEx(
                   HHOOK  hhk       // 要卸载的钩子句柄。
                   )

五、钩子函数：
    MyHookProc
　　钩子函数是回调函数。当安装的钩子被钩到指定的事件消息后，系统会自动调用钩子函数进行处理。
    定义如下：
    LRESULT WINAPI MyHookProc(
         int     nCode ,     // 指定是否需要处理该消息
         WPARAM  wParam,     // 包含该消息的附加消息
         LPARAM  lParam      // 包含该消息的附加消息
        )

六、调用下一个钩子
    CallNextHookEx
    既然WINDOWS的钩子结构都保存在一个链表里边，很明显，消息将会被一个个往下传递，最后到达目标窗口，所以，我们处理了以后，由责任将消息传递给下一个钩子。当然你也可以不，但我还是建议您继续传递下去。
    函数定义如下：
    LRESULT CallNextHookEx(
         HHOOK   hhk,      // 是您自己的钩子函数的句柄。用该句柄可以遍历钩子链
         int     nCode,    // 把传入的参数简单传给CallNextHookEx即可
         WPARAM  wParam,   // 把传入的参数简单传给CallNextHookEx即可
         LPARAM  lParam    // 把传入的参数简单传给CallNextHookEx即可
        )