当前位置:文档之家 › 钩子程序

钩子程序

  • 格式:pdf
  • 大小:141.31 KB
  • 文档页数:16

下载文档原格式

  / 16

合集下载

hook编程

hook编程

Hook编程什么是Hook编程在计算机科学中,Hook(钩子)是一种能够截获特定事件的机制。

Hook编程则是通过使用钩子来修改、扩展或拦截应用程序的行为。

通过在关键点插入自定义代码,可以实现对应用程序的控制和操作。

通过Hook编程,开发人员可以在应用程序的运行过程中插入自己的代码,并对其行为进行修改或拦截。

Hook技术广泛应用于操作系统、应用程序和游戏开发中,使开发人员能够定制和控制系统或应用的行为。

Hook编程的用途和优势Hook编程有许多用途和优势:1. 功能扩展通过Hook编程,可以在原有功能的基础上进行扩展,添加额外的功能。

这对于自定义应用程序的行为非常有用,可以根据特定需求进行定制化开发。

2. 行为修改Hook编程可以截获应用程序的行为并进行修改。

这允许开发人员干预应用程序的执行过程,改变其默认行为,使其满足自己的需求。

3. 错误处理通过Hook编程,可以在特定的错误条件下自动进行处理。

开发人员可以捕获错误并采取相应的行动,以确保应用程序的稳定性和可靠性。

4. 性能优化Hook编程可以用于监测和优化应用程序的性能。

通过截获和分析关键事件,开发人员可以找出性能瓶颈并进行性能优化,提升应用程序的运行效率。

5. 安全控制通过Hook编程,可以实现对应用程序的安全控制。

开发人员可以拦截和检测恶意行为,并采取相应的防范措施来保护应用程序和用户的安全。

Hook编程的实现方式在实际应用中,可以使用不同的方式来实现Hook编程:1. 静态链接静态链接是指在编译时将Hook代码直接嵌入到目标二进制文件中。

当目标程序运行时,Hook代码会被调用,从而实现对目标程序的控制。

2. 动态链接动态链接是指将Hook代码编译为动态链接库(DLL)或共享对象(SO),并在运行时将其加载到目标程序中。

通过修改系统的动态链接表(PLT/GOT),实现对目标程序的Hook。

3. 内存注入内存注入是指通过修改目标程序的内存空间,将Hook代码注入到目标程序的特定函数或方法中。

小程序钩子函数

小程序钩子函数

小程序钩子函数介绍小程序钩子函数是指在小程序生命周期中特定时刻会自动触发的函数,开发者可以在这些钩子函数中编写自己的代码逻辑,实现对小程序的控制和定制化操作。

小程序钩子函数分为全局钩子函数和页面钩子函数两种类型。

全局钩子函数适用于所有页面,而页面钩子函数只在特定页面中触发。

全局钩子函数1. onLaunchonLaunch是全局钩子函数中的一种,表示小程序初始化时触发。

在这个函数中,我们可以进行一些初始化操作,比如获取用户信息、权限验证等。

2. onShowonShow是全局钩子函数中的另一种,表示小程序启动或从后台进入前台时触发。

在这个函数中,我们可以处理一些与页面切换相关的操作,比如更新数据、刷新页面等。

3. onHideonHide是全局钩子函数中的一种,表示小程序从前台进入后台时触发。

在这个函数中,我们可以处理一些与后台切换相关的操作,比如保存数据、清除缓存等。

4. onErroronError是全局钩子函数中的一种,表示小程序发生错误时触发。

在这个函数中,我们可以进行异常处理,如上报错误信息等。

页面钩子函数1. onLoadonLoad是页面钩子函数中的一种,表示页面加载时触发。

在这个函数中,我们可以获取页面参数、初始化数据等。

2. onShowonShow是页面钩子函数中的一种,表示页面显示时触发。

在这个函数中,我们可以处理一些与页面显示相关的操作,比如动态更新页面内容、请求数据等。

3. onReadyonReady是页面钩子函数中的一种,表示页面初次渲染完成时触发。

在这个函数中,我们可以进行一些与页面渲染相关的操作,比如修改 DOM 结构、绑定事件等。

4. onHideonHide是页面钩子函数中的一种,表示页面隐藏时触发。

在这个函数中,我们可以处理一些与页面隐藏相关的操作,比如停止音频播放、取消请求等。

5. onUnloadonUnload是页面钩子函数中的一种,表示页面卸载时触发。

hook(钩子程序)(转载)

hook(钩子程序)(转载)

hook(钩⼦程序)(转载)钩⼦是WINDOWS中消息处理机制的⼀个要点,通过安装各种钩⼦,应⽤程序能够设置相应的⼦例程来监视系统⾥的消息传递以及在这些消息到达⽬标窗⼝程序之前处理它们。

钩⼦的种类很多,每种钩⼦可以截获并处理相应的消息,如键盘钩⼦可以截获键盘消息,⿏标钩⼦可以截获⿏标消息,外壳钩⼦可以截获启动和关闭应⽤程序的消息,⽇志钩⼦可以监视和记录输⼊事件。

钩⼦分为线程专⽤钩⼦和全局钩⼦,线程专⽤钩⼦只监视指定的线程,要监视系统中的所有线程,必须⽤到全局钩⼦。

对于全局钩⼦,钩⼦函数必须包含在独⽴的动态链接库(DLL)中,这样才能被各种相关联的应⽤程序调⽤。

-----------------------------------------------------------------------⼀、介绍本⽂将讨论在.NET应⽤程序中全局系统钩⼦的使⽤。

为此,我开发了⼀个可重⽤的类库并创建⼀个相应的⽰例程序(见下图)。

你可能注意到另外的关于使⽤系统钩⼦的⽂章。

本⽂与之类似但是有重要的差别。

这篇⽂章将讨论在.NET中使⽤全局系统钩⼦,⽽其它⽂章仅讨论本地系统钩⼦。

这些思想是类似的,但是实现要求是不同的。

⼆、背景如果你对Windows系统钩⼦的概念不熟悉,让我作⼀下简短的描述:·⼀个系统钩⼦允许你插⼊⼀个回调函数-它拦截某些Windows消息(例如,⿏标相联系的消息)。

·⼀个本地系统钩⼦是⼀个系统钩⼦-它仅在指定的消息由⼀个单⼀线程处理时被调⽤。

·⼀个全局系统钩⼦是⼀个系统钩⼦-它当指定的消息被任何应⽤程序在整个系统上所处理时被调⽤。

已有若⼲好⽂章来介绍系统钩⼦概念。

在此,不是为了重新收集这些介绍性的信息,我只是简单地请读者参考下⾯有关系统钩⼦的⼀些背景资料⽂章。

如果你对系统钩⼦概念很熟悉,那么你能够从本⽂中得到你能够得到的任何东西。

·关于MSDN库中的钩⼦知识。

小程序钩子函数

小程序钩子函数

小程序钩子函数小程序钩子函数是指在小程序运行过程中,系统会自动调用的一些函数。

这些函数可以让开发者在特定的时机进行一些操作,如页面加载前后、生命周期函数执行前后等。

下面是一个全面详细的小程序钩子函数示例:```//app.jsApp({onLaunch: function () {// 小程序初始化时执行的函数console.log('小程序初始化')},onShow: function (options) {// 小程序启动或从后台进入前台时执行的函数console.log('小程序启动或从后台进入前台')},onHide: function () {// 小程序从前台进入后台时执行的函数console.log('小程序从前台进入后台')},onError: function (msg) {// 小程序发生错误时执行的函数console.log('小程序发生错误:', msg) }})//page.jsPage({data: {message: 'Hello World!'},onLoad: function (options) {// 页面加载时执行的函数console.log('页面加载')},onShow: function () {// 页面显示时执行的函数console.log('页面显示')},onReady: function () {// 页面初次渲染完成时执行的函数console.log('页面初次渲染完成')},onHide: function () {// 页面隐藏时执行的函数console.log('页面隐藏')},onUnload: function () {// 页面卸载时执行的函数console.log('页面卸载')},onPullDownRefresh: function () {// 页面下拉刷新时执行的函数console.log('页面下拉刷新')},onReachBottom: function () {// 页面触底时执行的函数console.log('页面触底')},onShareAppMessage: function () {// 用户点击分享按钮或右上角菜单分享时执行的函数 console.log('用户点击分享')}})```以上是一个完整的小程序钩子函数示例,包括了App和Page两个部分。

WINDOWS钩子HOOK

WINDOWS钩子HOOK

Windows系统中钩子具有相当强大的功能,通过这种技术可以对几乎所有的Windows 系统中的消息进行拦截、监视、处理。

这种技术可以广泛应用于各种软件,尤其是需要有监控、自动记录等对系统进行监测功能的软件。

本文针对这个专题进行了探讨,希望可以为读者朋友们起到抛砖引玉的作用。

一、钩子的机制及类型Windows的应用程序都是基于消息驱动的,应用程序的操作都依赖于它所得到的消息的类型及内容。

钩子与Dos中断截获处理机制有类似之处。

钩子(Hook)是Windows消息处理机制的一个平台,通过安装各种钩子,应用程序可以在上面设置子程序以监视指定窗口的某种消息,并且当消息到达目标窗口之前处理它。

在Windows中,钩子有两种,一种是系统钩子(RemoteHook),它对消息的监视是整个系统范围,另一种是线程钩子(LocalHook),它的拦截范围只有进程内部的消息。

对于系统钩子,其钩子函数(HookFunction)应在Windows系统的动态链接库(DLL)中实现,而对于线程钩子来说,钩子函数可以在DLL之中实现,也可以在相应的应用程序之中实现。

这是因为当开发人员创建一个钩子时,Windows先在系统内存中创建一个数据结构,该数据结构包含了钩子的相关信息,然后把该结构体加到已经存在的钩子链表中去,并且新的钩子将排在老的钩子的前面。

当一个事件发生时,如果安装的是一个局部钩子,当前进程中的钩子函数将被调用。

如果是一个远程钩子,系统就必须把钩子函数插入到其它进程的地址空间,要做到这一点就要求钩子函数必须在一个动态链接库中,所以如果想要使用远程钩子,就必须把该钩子函数放到动态链接库中去。

对于钩子所监视的消息类型来说,Windws一共提供了如下几种类型:如表1所示:表一、Windows消息类型消息类型常量标识值消息类型适用范围WH_CALLWNDPROC 4 发给窗口的消息线程或系统WH_CALLWNDPROCRET 12 窗口返回的消息线程或系统WH_CBT 5 窗口变化、焦点设定等消息线程或系统WH_DEBUG 9 是否执行其它Hook的Hook 线程或系统WH_FOREGROUNDIDLE 11 前台程序空闲线程或系统WH_GETMESSAGE 3 投放至消息队列中的消息线程或系统WH_JOURNALPLAYBACK 1 将所记载的消息进行回放系统WH_JOURNALRECORD 0 监视并记录输入消息系统WH_KEYBOARD 2 键盘消息线程或系统WH_MOUSE 7 鼠标消息线程或系统WH_MSGFILTER -1 菜单滚动条、对话框消息线程或系统WH_SHELL 10 外壳程序的消息线程或系统WH_SYSMSGFILTER 6 所有线程的菜单滚动条、对话框消息系统二、VB编程中钩子的实现(一)钩子函数(HOOK Function)的格式。

钩子程序

钩子程序

程序介绍:利用这个程序:1.可以监视在你的电脑运行的程序, 把在你的电脑运行过的程序的时间和名字记录下来;2.可以阻止你规定的禁用程序的执行, 比如不让玩游戏。

3.这个程序需要加入注册表, 在系统启动时就运行, 达到监视的目的。

注册表大概都不陌生,就是这里:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run程序的记录格式:2003-02-03 17:31:25 - [System Startup - Windows XP 5.01.2600]2003-02-03 17:31:29 "CabinetWClass" -> "我的电脑"2003-02-03 17:31:59 "Red Alert" -> "Red Alert" (关闭禁用程序)2003-02-03 17:32:19 "扫雷" -> "扫雷" (关闭禁用程序)2003-02-03 17:32:35 "OpusApp" -> "Microsoft Word"2003-02-03 17:32:50 - [System Shutdown - 0 days, 0 hrs, 1 mins, 25 secs]2003-02-03 17:35:37 - [System Startup - Windows 98 SE 4.10.2222]2003-02-03 17:35:53 "扫雷" -> "扫雷" (关闭禁用程序)2003-02-03 17:36:05 "CabinetWClass" -> ""2003-02-03 17:36:31 "Red Alert" -> "Red Alert" (关闭禁用程序)2003-02-03 17:36:56 "ExploreWClass" -> ""2003-02-03 17:37:07 - [System Shutdown - 0 days, 0 hrs, 1 mins, 30 secs]程序运行只需要3个文件:hwhpapp.exe 可执行文件hwhpdrv.dll 安装钩子的动态链接库hwhpapp.cfg 禁用软件黑名单, 可用记事本修改程序运行会自动产生记录文件:hwhpapp.sys 可以用记事本打开看程序原理:一.钩子利用API 函数SetWindowsHookEx() 安装一个全局钩子, 钩子类型为WH_SHELL。

钩子程序

几点需要说明的地方:
(1) 如果对于同一事件(如鼠标消息)既安装了线程钩子又安装了系统钩子,那么系统会自动先调用线程钩子,然后调用系统钩子。
(2) 对同一事件消息可安装多个钩子处理过程,这些钩子处理过程形成了钩子链。当前钩子处理结束后应把钩子信息传递给下一个钩子函数。而且最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。
(3) 钩子特别是系统钩子会消耗消息处理时间,降低系统性能。只有在必要的时候才安装钩子,在使用完毕后要及时卸载。
本文来自CSDN博客,转载请标明出处:/karlpan01/archive/2007/11/05/1867390.aspx
钩子程序 收藏
钩子程序
钩子程序是在内存中可以不断的在内存中拦截你要控制设备的消息并且可以对该消息进行处理过滤。
钩子是WINDOWS留给我们的后门,比如你想控制键盘,在DOS时代很简单通过INT即可,而WINDOWS时代不允许我们直接操作硬件;由于WINDOWS是消息驱动,所以我们可以拦截键盘消息以达到控制键盘的目的。但是控制自己进程的消息固然很简单,要控制所有进程消息要利用钩子了。将钩子函数放在DLL中,所有的有关键盘的消息都必须经过钩子函数过滤,这样你就可以为所欲为了。
1. 激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件;
2. 完成系统指令;
3. 来自系统消息队列中的移动鼠标,键盘事件;
4. 设置输入焦点事件;
5. 同步系统消息队列事件。
Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。
3、WH_DEBUG Hook
在系统调用系统中与其他Hook关联的Hook子程之前,系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。

钩子程序应用


From: 新闻
For: 分类信息
11.2
11.2.1
11.2.2 卸载钩子
安装和卸载钩子
安装钩子
From: 新闻
For: 分类信息
11.2.1
安装钩子
调用SetWindowsHookEx()函数可以安装钩子,函数原型如下: HHOOK SetWindowsHookEx( int idHook, 确钩子类型之一 HOOKPROC lpfn, HINSTANCE hMod, DWORD dwThreadId 如果是全局钩子,则设置为0 );
From: 新闻
For: 分类信息
11.3
11.3.1 11.3.2
键盘钩子的例子
设计DLL项目 设计EXE项目
From: 新闻
For: 分类信息
11.3.1
设计DLL项目
From:
GetKeyNameText()函数
int GetKeyNameText( LONG lParam, //指定键盘消息的第2个参数 LPTSTR lpString, //得到的按键名字字符串缓冲区 int nSize // lpString所指定的字符串缓冲区的 长度 );
From: 新闻
For: 分类信息
全局钩子和特定线程钩子
钩子可以分为全局钩子和特定线程钩子两种,全局钩子可以监视 与调用线程位于同一桌面的所有线程的消息;而特定线程钩子则 只能监视一个单独线程的消息。 特定线程钩子的钩子过程可以在应用程序的任何位置,而全局钩 子的钩子过程则只能在DLL中定义。因为全局钩子可以拦截其他应 用程序的消息,然后调用钩子过程对拦截的消息进行处理。因为 每个进程都有自己的私有内存空间,所以一个进程不能调用其他 进程的代码,也不能访问其他进程的内存数据。这样如果在安装 钩子的进程中定义钩子过程,则其他正在运行的进程被拦截消息 后,就不能成功调用钩子过程了。 因为DLL中定义的代码可以被不同的进程调用,安装钩子的进程可 以将DLL的函数指定为钩子过程, 其他进程也可以在其消息被拦 截后,调用DLL中定义的钩子过程。

如何将钩子程序挂入系统

如何将钩子程序挂入系统基本概念钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。

当消息到达后,在目标窗口处理函数之前处理它。

钩子机制允许应用程序截获处理window消息或特定事件。

钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。

每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。

这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。

运行机制1、钩子链表和钩子子程:每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。

这个列表的指针指向指定的,应用程序定义的,被Hook子程调用的回调函数,也就是该钩子的各个处理子程。

当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook 子程。

一些Hook子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个Hook子程或者目的窗口。

最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。

Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。

每当有一个钩子被卸载,Windows便释放其占用的内存,并更新整个Hook链表。

如果程序安装了钩子,但是在尚未卸载钩子之前就结束了,那么系统会自动为它做卸载钩子的操作。

钩子子程是一个应用程序定义的回调函数(CALLBACKFunction),不能定义成某个类的成员函数,只能定义为普通的C函数。

用以监视系统或某一特定类型的事件,这些事件可以是与某一特定线程关联的,也可以是系统中所有线程的事件。

钩子子程必须按照以下的语法:LRESULT CALLBACK HookProc(int nCode,WPARAM wParam,LPARAM lParam);HookProc是应用程序定义的名字。

同花顺钩子程序

同花顺钩子程序简介同花顺钩子程序是一种用于对接同花顺平台的扩展程序。

同花顺是国内领先的金融信息服务商,提供股票、基金、期货等多个金融市场的实时行情和交易服务。

通过编写钩子程序,用户可以在同花顺平台上实现自定义的功能扩展,提高交易效率和操作便利性。

钩子程序的作用和原理钩子程序是一种在软件系统中插入自定义代码的技术。

在同花顺平台中,钩子程序允许开发者通过编写代码来对平台进行扩展。

钩子程序可以在特定的事件发生时触发执行,例如用户登录、委托下单、行情更新等。

通过钩子程序,用户可以获取平台的实时数据,进行交易决策和执行交易操作。

钩子程序的编写和使用步骤步骤一:安装开发工具首先,需要安装同花顺钩子程序的开发工具。

开发工具提供了编写、调试和运行钩子程序的环境。

步骤二:编写钩子程序在安装好开发工具后,可以开始编写钩子程序了。

钩子程序使用特定的编程语言进行开发,可以根据个人偏好选择,常见的有Python、C++、Java等语言。

步骤三:注册钩子完成钩子程序的编写后,需要将其注册到同花顺平台。

注册时需要提供一些必要的信息,例如钩子程序的名称、触发事件、执行代码等。

注册成功后,钩子程序将被加入到平台的钩子列表中。

步骤四:运行钩子程序一切准备就绪后,可以运行钩子程序进行测试了。

在同花顺平台上选择相应的事件,查看钩子程序的运行结果。

如果一切正常,可以进一步优化和完善钩子程序。

钩子程序的应用场景1. 自动化交易钩子程序可以用于实现自动化交易策略。

通过获取实时行情数据和交易接口信息,钩子程序可以执行一系列预设的交易策略,自动下单并管理持仓。

这样可以提高交易效率,减少人为操作的错误。

2. 数据分析和报告生成钩子程序可以将同花顺平台的数据导出到外部环境,进行更深入的数据分析和报告生成。

例如,可以将行情数据导出到Excel中,进行数据挖掘和可视化展示。

3. 个性化定制钩子程序还可以实现一些个性化的功能定制。

用户可以根据自己的需求,编写钩子程序来增加或修改同花顺平台的特定功能。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

WH_JOURNALPLAYBACK Hook 使应用程序可以插入消息到系统消息队列。可以使用这个 Hook 回 放通 过 使 用 WH_JOURNALRECORD Hook 记录 下 来 的 连 续 的 鼠 标 和 键 盘 事 件 。 只 要 WH_JOURNALPLAYBACK Hook 已 经 安 装 , 正 常 的 鼠 标 和 键 盘 事 件 就 是 无 效 的 。 WH_JOURNALPLAYBACK Hook 是 全 局 Hook , 它 不 能 象 线 程 特 定 Hook 一 样 使 用 。 WH_JOURNALPLAYBACK Hook 返回超时值,这个值告诉系统在处理来自回放 Hook 当前消息之前 需要等待多长时间(毫秒) 。这就使 Hook 可以控制实时事件的回放。WH_JOURNALPLAYBACK 是 system-wide local hooks,它們不會被注射到任何行程位址空間。 (估计按键精灵是用这个 hook 做的) 7、WH_JOURNALRECORD Hook WH_JOURNALRECORD Hook 用来监视和记录输入事件。典型的,可以使用这个 Hook 记录连续的 鼠标和键盘事件, 然后通过使用 WH_JOURNALPLAYBACK Hook 来回放。 WH_JOURNALRECORD Hook 是全局 Hook,它不能象线程特定 Hook 一样使用。WH_JOURNALRECORD 是 system-wide local hooks,它們不會被注射到任何行程位址空間。 8、WH_KEYBOARD Hook 在应用程序中,WH_KEYBOARD Hook 用来监视 WM_KEYDOWN and WM_KEYUP 消息,这些消息通过 GetMessage or PeekMessage function 返回。可以使用这个 Hook 来监视输入到消息队列中 的键盘消息。 9、WH_KEYBOARD_LL Hook WH_KEYBOARD_LL Hook 监视输入到线程消息队列中的键盘消息。 10、WH_MOUSE Hook WH_MOUSE Hook 监视从 GetMessage 或者 PeekMessage 函数返回的鼠标消息。使用这个 Hook 监视输入到消息队列中的鼠标消息。 11、WH_MOUSE_LL Hook WH_MOUSE_LL Hook 监视输入到线程消息队列中的鼠标消息。 12、WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks 使我们可以监视菜单,滚动条,消息框,对话框 消息并且发现用户使用 ALT+TAB or ALT+ESC 组合键切换窗口。 WH_MSGFILTER Hook 只能监视 传递到菜单,滚动条,消息框的消息,以及传递到通过安装了 Hook 子程的应用程序建立的对 话 框 的 消 息 。 WH_SYSMSGFILTER Hook 监 视 所 有 应 用 程 序 消 息 。 WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks 使我们可以在模式循环期间过滤消息,这等价于在主消息循环中过 滤消息。通过调用 CallMsgFilter function 可以直接的调用 WH_MSGFILTER Hook。通过使用 这个函数,应用程序能够在模式循环期间使用相同的代码去过滤消息,如同在主消息循环里 一样。 13、WH_SHELL Hook 外壳应用程序可以使用 WH_SHELL Hook 去接收重要的通知。当外壳应用程序是激活的并且当 顶层窗口建立或者销毁时,系统调用 WH_SHELL Hook 子程。 WH_SHELL 共有5钟情況: 1. 只要有个 top-level、unowned 窗口被产生、起作用、或是被摧毁; 2. 当 Taskbar 需要重画某个按钮; 3. 当系统需要显示关于 Taskbar 的一个程序的最小化形式; 4. 当目前的键盘布局状态改变; 5. 当使用者按 Ctrl+Esc 去执行 Task Manager(或相同级别的程序) 。 按照惯例,外壳应用程序都不接收 WH_SHELL 消息。所以,在应用程序能够接收 WH_SHELL 消 息之前,应用程序必须调用 SystemParametersInfo function 注册它自己。
以上是 13 种常用的 hook 类型! 二. 按使用范围分类,主要有线程钩子和系统钩子 (1) 线程钩子监视指定线程的事件消息。 (2) 系统钩子监视系统中的所有线程的事件消息。因为系统钩子会影响系统中所有的 应用程序,所以钩子函数必须放在独立的动态链接库(DLL) 中。这是系统钩子和线程钩子很大的不同之处。 几点需要说明的地方: (1) 如果对于同一事件(如鼠标消息)既安装了线程钩子又安装了系统钩子,那么系 统会自动先调用线程钩子,然后调用系统钩子。 (2) 对同一事件消息可安装多个钩子处理过程,这些钩子处理过程形成了钩子链。当 前钩子处理结束后应把钩子信息传递给下一个钩子函数。 而且最近安装的钩子放在链的开始, 而最早安装的钩子放在最后,也就是后加入的先获得控制权。 (3) 钩子特别是系统钩子会消耗消息处理时间,降低系统性能。只有在必要的时候才 安装钩子,在使用完毕后要及时卸载。 编写钩子程序 编写钩子程序的步骤分为三步:定义钩子函数、安装钩子和卸载钩子。 1.定义钩子函数 钩子函数是一种特殊的回调函数。钩子监视的特定事件发生后,系统会调用钩子函数进 行处理。不同事件的钩子函数的形式是各不相同的。下面以鼠标钩子函数举例说明钩子函数 的原型: LRESULT CALLBACK HookProc(int nCode ,WPARAM wParam,LPARAM lParam) 参数 wParam 和 lParam 包含所钩消息的信息,比如鼠标位置、状态,键盘按键等。nCode 包 含有关消息本身的信息,比如是否从消息队列中移出。 我们先在钩子函数中实现自定义的功能,然后调用函数 CallNextHookEx.把钩子信息传递给 钩子链的下一个钩子函数。CallNextHookEx.的原型如下: LRESULT CallNextHookEx( HHOOK hhk, int nCode, WPARAM wParam, LPARAM lParam ) 参数 hhk 是钩子句柄。nCode、wParam 和 lParam 是钩子函数。 当然也可以通过直接返回 TRUE 来丢弃该消息,就阻止了该消息的传递。 2.安装钩子 在程序初始化的时候,调用函数 SetWindowsHookEx 安装钩子。其函数原型为: HHOOK SetWindowsHookEx( int idHook,HOOKPROC lpfn, INSTANCE hMod,DWORD dwThreadId ) 参数 idHook 表示钩子类型,它是和钩子函数类型一一对应的。比如,WH_KEYBOARD 表示安装 的是键盘钩子,WH_MOUSE 表示是鼠标钩子等等。 Lpfn 是钩子函数的地址。 HMod 是钩子函数所在的实例的句柄。对于线程钩子,该参数为 NULL;对于系统钩子,该 参数为钩子函数所在的 DLL 句柄。 dwThreadId 指定钩子所监视的线程的线程号。对于全局钩子,该参数为 NULL。 SetWindowsHookEx 返回所安装的钩子句柄。 3.卸载钩子 当不 再 使 用 钩 子 时 , 必 须 及 时 卸 载 。 简 单 地 调 用 函 数 BOOL UnhookWindowsHookEx( HHOOK hhk)即可。
Windows 系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实 现的。而钩子是 Windows 系统中非常重要的系统接口,用它可以截获并处理送给其他应用程 序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消 息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子, 监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,屏幕取词,日 志监视等等。可见,利用钩子可以实现许多特殊而有用的功能。因此,对于高级编程人员来 说,掌握钩子的编程方法是很有必要的。 钩子的类型 一. 按事件分类,有如下的几种常用类型 (1) 键盘钩子和低级键盘钩子可以监视各种键盘消息。 (2) 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。 (3) 外壳钩子可以监视各种 Shell 事件消息。比如启动和关闭应用程序。 (4) 日志钩子可以记录从系统消息队列中取出的各种事件消息。 (5) 窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。 此外,还有一些特定事件的钩子提供给我们使用,不一一列举。 下面描述常用的 Hook 类型: 1、WH_CALLWNDPROC 和 WH_CALLWNDPROCRET Hooks WH_CALLWNDPROC 和 WH_CALLWNDPROCRET Hooks 使你可以监视发送到窗口过程的消息。系统在 消息发送到接收窗口过程之前调用 WH_CALLWNDPROC Hook 子程,并且在窗口过程处理完消息 之后调用 WH_CALLWNDPRO CRET Hook 子程。WH_CALLWNDPROCRET Hook 传递指针到 CWPRETSTRUCT 结构,再传递到 Hook 子程。CWPRETSTRUCT 结构包含了来自处理消息的窗口过程的返回值,同样也包括了与这个消 息关联的消息参数。 2、WH_CBT Hook 在以下事件之前,系统都会调用 WH_CBT Hook 子程,这些事件包括: 1. 激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件; 2. 完成系统指令; 3. 来自系统消息队列中的移动鼠标,键盘事件; 4. 设置输入焦点事件; 5. 同步系统消息队列事件。 Hook 子程的返回值确定系统是否允许或者防止这些操作中的一个。 3、WH_DEBUG Hook 在系统调用系统中与其他 Hook 关联的 Hook 子程之前,系统会调用 WH_DEBUG Hook 子程。你 可以使用这个 Hook 来决定是否允许系统调用与其他 Hook 关联的 Hook 子程。 4、WH_FOREGROUNDIDLE Hook 当应用程序的前台线程处于空闲状态时, 可以使用 WH_FOREGROUNDIDLE Hook 执行低优先级的 任务。当应用程序的前台线程大概要变成空闲状态时,系统就会调用 WH_FOREGROUNDIDLE Hook 子程。 5、WH_GETMESSAGE Hook 应用程序使用 WH_GETMESSAGE Hook 来监视从 GetMessage or PeekMessage 函数返回的消息。 你可以使用 WH_GETMESSAGE Hook 去监视鼠标和键盘输入,以及其他发送到消息队列中的消 息。 6、WH_JOURNALPLAYBACK钩子函数的位置有很大的差别。线程钩子一般在当前线 程或者当前线程派生的线程内,而系统钩子必须放在独立的动态链接库中,实现起来要麻烦 一些。 线程钩子的编程实例: 按照上面介绍的方法实现一个线程级的鼠标钩子。钩子跟踪当前窗口鼠标移动的位置变 化信息。并输出到窗口。 (1)在 VC++6.0 中利用 MFC APPWiza rd (EXE) 生成一个不使用文档/视结构的单文档应用 mousehook。 打开 childview.cpp 文件,加入全局变量: HHOOK hHook;//鼠标钩子句柄 CPoint point;//鼠标位置信息 CChildView *pView; // 鼠标钩子函数用到的输出窗口指针 在 CChildView::OnPaint()添加如下代码: CPaintDC dc(this); char str[256]; sprintf(str,“x=%d,y=%d",point.x,point.y); //构造字符串 dc.TextOut(0,0,str); //显示字符串 (2)childview.cpp 文件中定义全局的鼠标钩子函数。 LRESULT CALLBACK MouseProc (int nCode, WPARAM wParam, LPARAM lParam) {//是鼠标移动消息 if(wParam==WM_MOUSEMOVE||wParam ==WM_NCMOUSEMOVE) { point=((MOUSEHOOKSTRUCT *)lParam)->pt; //取鼠标信息 pView->Invalidate(); //窗口重画 } return CallNextHookEx(hHook,nCode,wParam,lParam); //传递钩子信息 } (3)CChildView 类的构造函数中安装钩子。 CChildView::CChildView() { pView=this;//获得输出窗口指针 hHook=SetWindowsHookEx(WH_MOUSE,MouseProc,0,GetCurrentThreadId()); } (4)CChildView 类的析构函数中卸载钩子。 CChildView::~CChildView()