当你创建一个钩子时,windows系统会创建一个数据结构,该结构包含了您创建的钩子的信息,安装钩子则是把该结构体插入到系统钩子列表中去,注意:新插入的放置到旧的前面。当指定的钩子事件被触发后,局部钩子只需要调用进程中的钩子函数来预处理事件,全局钩子则需要把处理插入到其他地址空间,要做到这一点,就需要有一个动态连接库,把钩子函数放到库中。但有两个是例外,就是日志钩子和日志回放钩子,它是一种比较特殊的钩子,它可以挂载到系统范围内的任何进程中,而且不需要另外编写一个dll来映射到其他进程的内存空间之中(关于日志钩子,以后有机会再详细介绍)。
一、钩子的分类:
安装不同的钩子,可以截获监视不同的消息类型,有针对的对所需要的消息进行过滤和处理,钩子主要分以下几类:
wh_callwndproc 发送到窗口的消息。由sendmessage触发
wh_callwndprocret 发送到窗口的消息。由sendmessage处理完成返回时触发
wh_getmessage 发送到窗口的消息。getmessage或peekmessage触发
wh_keybroad 键盘钩子,键盘触发消息。wm_keyup或wm_keydown消息
wh_keybroad_ll 地层键盘钩子
wh_mouse 鼠标钩子,查询鼠标事件消息
wh_mouse_ll 低层键盘钩子
wh_hardware 非鼠标、键盘消息时
wh_msgfilter 对话框、菜单或滚动条要处理一个消息时。该钩子是局部的。
wh_sysmsgfilter 同wh_msgfilter一样,系统范围的。
wh_debug 调试钩子,用来给钩子函数除错
wh_journalrecord 监视和记录输入事件
wh_journalplayback 回放用wh_journalrecord记录事件
wh_shell 外壳钩子,当关于windows外壳事件发生时触发.
wh_cbt 当基于计算机的训练(cbt)事件发生时
wh_foregroundidle 前台应用程序线程变成空闲时候,钩子激活。
二、钩子的类型:
全局钩子:全局钩子可以挂钩其他进程的事件,有两种:基于线程的,它将捕获其它进程中某一特定线程的事件。简言之,就是可以用来观察其它进程中的某一特定线程将发生的事件。2,系统范围的,将捕捉系统中所有进程将发生的事件消息。
局部钩子:仅钩挂您自己进程的事件。
三、安装钩子:
setwindowshookex
函数原形:hhook setwindowshookex(
int idhook, // 钩子类型,见[一]
hookproc lpfn, // 钩子函数地址
instance hmod, // 钩子所在的实例的句柄,
dword dwthreadid // 钩子所监视的线程的线程号
)
hmod: 对于线程序钩子,参数传null;对于系统钩子:参数为钩子dll的句柄
dwthreadid:对于全局钩子,该参数为null。
返回:成功:返回setwindowshookex返回所安装的钩子句柄;
失败:null;
四、卸载钩子:
unhookwindowshookex
函数原形:bool unhookwindowshookex(
hhook hhk // 要卸载的钩子句柄。
)
五、钩子函数:
myhookproc
钩子函数是回调函数。当安装的钩子被钩到指定的事件消息后,系统会自动调用钩子函数进行处理。
定义如下:
lresult winapi myhookproc(
int ncode , // 指定是否需要处理该消息
wparam wparam, // 包含该消息的附加消息
lparam lparam // 包含该消息的附加消息
)
六、调用下一个钩子
callnexthookex
既然windows的钩子结构都保存在一个链表里边,很明显,消息将会被一个个往下传递,最后到达目标窗口,所以,我们处理了以后,由责任将消息传递给下一个钩子。当然你也可以不,但我还是建议您继续传递下去。
函数定义如下:
lresult callnexthookex(
hhook hhk, // 是您自己的钩子函数的句柄。用该句柄可以遍历钩子链
int ncode, // 把传入的参数简单传给callnexthookex即可
