用消息拦截技术制作系统日志
康帕斯(中国)国际信息服务有限公司 马文骞
01-6-7 下午 03:33:05
--------------------------------------------------------------------------------
能够完整记录电脑使用情况的日志文件在 windows系统安全管理方面的作用是不可低估的。本文介绍了利用消息拦截技术制作日志文件的方法,其中的关键函数是一个未公开的 api系统调用。
一、利用钩子(hook)拦截系统消息
日志文件对于一个大企业内部网络的维护与管理是至关重要的。另外还有许多其它场合也离不开日志的使用,例如:多人共享一台电脑,或在家庭中要记录儿童使用电脑的细节,等等。
日志程序若想完整记录电脑运行期间有哪些软件启动过、各使用了多长时间、以及使用浏览器访问互联网的情况等,必须对系统级消息进行拦截。registershellhook是一个未公开的 api系统函数,它可以帮助日志程序在整个 windows系统范围内感知到其它窗体的创建、激活或关闭等消息,而且不要求这些窗体与日志程序有父子关系,哪怕是 windows最高级别的窗体也可以。registershellhook 调用方法为:
