Windows核心编程 HOOK

目录

HOOK概述

HOOK API

SetWindowsHookExA 函数(winuser.h)

UnhookWindowsHookEx 函数(winuser.h)

NextHookEx 函数(winuser.h)

局部钩子

全局钩子

为什么全局钩子需要用dll作为过程函数？

---

HOOK概述

本质：Windows消系统的消息过滤器。

全局钩子原理：将自己的dll注入到别的进程。并不是一开始就注入所有程序。

钩子种类：

• 局部钩子：仅仅在当前进程下有效
• 全局钩子：又称为系统钩子，在WIndows所有的进程都有效。

不用种类的钩子有自己的不同的回调函数。

钩子原理：回调函数，操作系统先发给我们，然后在发送给窗口。

系统给w2的消息；正常情况下我们w1是获取不到的，但是可以使用hook技术，将原来的消息先勾到我们（w1）这里，然后再回给系统，系统再重新转发给w2；这样w1就可以看到w2的消息；

HOOK作为注入的技术手段之一，可以利用hook技术，往对方的进程里面注入代码,获取进程相关的信息；作监控的东西，eg：spy++

HOOK API

SetWindowsHookExA 函数(winuser.h)

将应用程序定义的钩子子程安装到钩子链中。您将安装一个钩子子程来监视系统的某些类型的事件。这些事件或者与特定的线程相关联，或者与调用线程在同一桌面中的所有线程相关联。

WINUSERAPI HHOOK WINAPI SetWindowsHookEx(//钩子类型_In_ int idHook,//回调函数地址_In_ HOOKPROC lpfn,//实例句柄(包含有钩子函数)_In_opt_ HINSTANCE hmod,//线程ID，欲勾住的线程（为0则不指定，全局）_In_ DWORD dwThreadId);

1. 参数1 int idHook：钩子类型 
2. 参数2 HOOKPROC lpfn：回调函数，每个类型的钩子需匹配各自对应的回调函数
3. 参数3 HINSTANCE hMod：实例句柄，局部钩子填NULL；全局钩子填dll的模块句柄(钩子的回调函数会填入dll)。使用 GetModuleHandle("Dll1")  获取
4. 参数4 DWORD dwThreadId：线程ID，局部钩子填自己窗口的线程ID(UI主线程)；全局钩子填0会钩系统范围内所有窗口的消息。

参数一：idHook的选项：

价值	意义
WH_CALLWNDPROC	安装一个钩子子程，在系统将消息发送到目标窗口过程之前监视消息。
WH_CALLWNDPROCRET	安装一个钩子子程，在消息被目标窗口过程处理后监视消息。
WH CBT	安装一个钩子子程来接收对CBT应用程序有用的通知。
WH_DEBUG	安装一个钩子子程，用于调试其他钩子子程。
WH _FOREGROUNDIDLEz	安装一个钩子子程，当应用程序的前台线程即将空闲时，将调用这个钩子子程。这个挂钩对于在空闲时间执行低优先级任务很有用。
WH_GETMESSAGE	安装一个钩子子程来监视发送到消息队列的消息。
WH_JOURNALPLAYBACK	安装一个钩子子程，该钩子子程发送WH日志
WH_JOURNALRECORD	安装一个钩子子程，记录发送到系统消息队列的输入消息。这个钩子对于记录宏很有用。
WH_KEYBOARD	安装一个钩子子程来监视击键消息。
WH_KEYBOARD_LL	安装一个钩子子程来监视低级键盘输入事件。
WH_MOUSE	安装一个钩子子程来监视鼠标消息。
WH_MOUSE_LL	安装一个钩子子程来监视低级别的鼠标输入事件。
WH_MSGFILTER	安装一个钩子子程，监视对话框、消息框、菜单或滚动条中的输入事件所生成的消息。
WH_SHELL	安装一个钩子子程来接收对shell应用程序有用的通知。
WH_SYSMSGFILTER	安装一个钩子子程，监视对话框、消息框、菜单或滚动条中的输入事件所生成的消息。钩子子程在与调用线程相同的桌面中为所有应用程序监视这些消息。

参数二：lpfn

类型:函数指针
回调函数，钩子拿到这些信息怎么给你，通过回调函数把信息交给你；需要注意，不同钩子的回调函数不一样，可以通过msdn查看；
钩子子程的指针。如果_dwThreadId_参数为零或指定由不同进程创建的线程的标识符，则_lpfn_参数必须指向DLL中的钩子子程。否则，_lpfn_可以指向与当前进程关联的代码中的钩子子程。

参数三：hmod

类型:实例句柄
局部钩子填写NULL；全局钩子填窗口所在模块的句柄，（全局程序会卡）DLL的句柄

参数四：dwThreadId

类型:双字节值
钩子子程要关联的线程的id，要钩的窗口所在的线程所在的id，每个进程的主线程id；

类型:钩子的句柄
如果函数成功，返回值是钩子子程的句柄。
如果函数失败，返回值为NULL。若要获取扩展的错误信息，请调用错误码.

 

UnhookWindowsHookEx 函数(winuser.h)

移除安装在钩子链中的钩子子程钩子函数功能。

BOOL UnhookWindowsHookEx([in] HHOOK hhk
);

参数：[in] hhk
类型:钩子的句柄
要移除的钩子的句柄，SetWindowsHookExA的返回值。此参数是通过以前调用钩子函数

返回值：类型:布尔
如果函数成功，返回值是非零的。
如果函数失败，返回值为零。若要获取扩展的错误信息，请调用错误码

NextHookEx 函数(winuser.h)

将钩子信息传递给当前钩子链中的下一个钩子子程。钩子子程可以在处理钩子信息之前或之后调用这个函数

LRESULT CallNextHookEx([in, optional] HHOOK  hhk,[in]           int    nCode,[in]           WPARAM wParam,[in]           LPARAM lParam
);

参数

[in, optional] hhk
类型:钩子的句柄
该参数被忽略。

[in] nCode
类型:（同Internationalorganizations）国际组织
传递给当前钩子子程的钩子代码。下一个钩子子程使用这个代码来决定如何处理钩子信息。

[in] wParam
类型:WPARAM
这_参数_传递给当前钩子子程的值。此参数的含义取决于与当前挂钩链相关联的挂钩类型。

[in] lParam
类型:参数
这_参数_传递给当前钩子子程的值。此参数的含义取决于与当前挂钩链相关联的挂钩类型。

返回值
类型:LRESULT
该值由链中的下一个钩子子程返回。当前钩子子程也必须返回这个值。返回值的含义取决于钩子的类型。

局部钩子

只能钩自己的窗口

// MFC基于对话框项目
HHOOK g_hHook;
// 键盘回调函数
LRESULT CALLBACK KeyboardProc(_In_ int    code,_In_ WPARAM wParam,_In_ LPARAM lParam
)
{// 特殊检查if (code < 0){return	CallNextHookEx(g_hHook, code, wParam, lParam);}CString strFmt;strFmt.Format("HT:%c", wParam);OutputDebugString(strFmt);return	CallNextHookEx(g_hHook, code, wParam, lParam);
}// 局部Hook 安装
void CHookTestDlg::OnBnClickedButton1()
{// 设置钩子g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, NULL, GetCurrentThreadId());if (g_hHook == NULL){AfxMessageBox("局部钩子安装失败");}
}// 局部Hook 卸载
void CHookTestDlg::OnBnClickedButton3()
{UnhookWindowsHookEx(g_hHook);	// 卸载钩子
}
执行结果

全局钩子

钩子的回调函数会填入DLL，以便按需注入

// 动态链接库项目 HookDll.cpp代码
HHOOK g_hHook;
LRESULT CALLBACK MyKeyboardProc(int code,       // hook codeWPARAM wParam,  // virtual-key codeLPARAM lParam   // keystroke-message information
)
{if (code < 0){return CallNextHookEx(g_hHook, code, wParam, lParam);}char szBufff[MAXBYTE];wsprintf(szBufff, "HT:%c pid:%d", wParam, GetCurrentProcessId());OutputDebugString(szBufff);return CallNextHookEx(g_hHook, code, wParam, lParam);
}__declspec(dllexport) BOOL InstallHook()
{g_hHook = SetWindowsHookEx(WH_KEYBOARD,MyKeyboardProc,GetModuleHandle("HookDll"),0);if (g_hHook != NULL){return TRUE;}return FALSE;
}__declspec(dllexport) VOID UnInstallHook()
{UnhookWindowsHookEx(g_hHook);
}
// 使用dll的MFC对话框项目代码
__declspec(dllimport) BOOL InstallHook();
__declspec(dllimport) VOID UnInstallHook();
#pragma comment(lib, "./Debug/HookDll.lib")
// 安装全局钩子
void CHookTestDlg::OnBnClickedButton2()
{if (!InstallHook()){AfxMessageBox("安装全局钩子失败");}
}
// 卸载全局钩子
void CHookTestDlg::OnBnClickedButton4()
{UnInstallHook();
}

或者填写def文件

为什么全局钩子需要用dll作为过程函数？

在别的程序运行过程函数监听消息。

全局钩子在安装钩子后，如果安装钩子的程序关闭，目标进程的dll也会自动卸载。

1. 安装了同一时间的全局钩子和局部钩子，系统优先调用局部钩子，然后调用全局钩子。
2. 安装多个钩子处理过程，形成钩子链。当钩子结束后赢吧钩子信息传递给下一个钩子函数。钩子链式栈结构，最后安装的，最先获得控制权。
3. 全局钩子会消耗消息处理的时间，降低系统性能，所以全局钩子并不是全部注入到所有程序中，而是在发生消息事件的时候，才将dll注入到目标程序中安装钩子。
4. 安装的钩子需要释放，安装钩子的主程序关闭，其他程序的钩子也会自动释放。
5. 在键盘钩子回调函数中，修改wparam的值不会影响目标进程的值。