ucos里的hook函数是什么?为什么要有这些函数?干什么用的?
钩子HOOK函数是Windows消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息。当然,这么做也是需要付出一定的代价的。由于多了这么一道处理过程,系统性能会受到一定的影响,所以大家在必要的时候才使用“钩子”,并在使用完毕及时将其删除。
首先让我们看看HOOK函数是怎么安装、调用和删除的。应用程序通常是调用SetWindowsHookEx()函数来进行安装的,其函数的原型如下:
SetWindowsHookEx(
IntidHook;
HOOKPROClpfn;
HINSTANCEhMod;
DWORDdwThreadId;
参数说明:
idHook是”钩子”的类型,”钩子”的类型一共有13种,具体如下表:
“钩子”类型
WH_CALLWNDPROC
系统将消息发送到指定窗口之前的“钩子”
WH_CALLWNDPROCRET
消息已经在窗口中处理的“钩子”
WH_CBT
基于计算机培训的“钩子”
WH_DEBUG
差错“钩子”
WH_FOREGROUNDIDLE
前台空闲窗口“钩子”
WH_GETMESSAGE
接收消息投递的“钩子”
WH_JOURNALPLAYBACK
回放以前通过WH_JOURNALRECORD“钩子”记录的输入消息
WH_JOURNALRECORD
输入消息记录“钩子”
WH_KEYBOARD
键盘消息“钩子”
WH_MOUSE
鼠标消息“钩子”
WH_MSGFILTER
对话框、消息框、菜单或滚动条输入消息“钩子”
WH_SHELL
外壳“钩子”
WH_SYSMSGFILTER
系统消息“钩子”
lpfn指向“钩子”过程的指针。
hMod“钩子”过程所在模块的句柄。
dwThreadId“钩子”相关线程的标识。
通常我们都是把”钩子”做成动态链接库,这样的好处是可以是系统内的每个进程访问。但是也可以在系统中直接调用,我的建议还是用动态库。如果用动态库的话,那么SetWindowsHookEx()中的第三个参数就是该动态链接库模块的句柄;对于一个只供单个进程访问的”钩子”,可以将其”钩子”过程放在安装”钩子”的同一个线程内,此时SetWindowsHookEx()中的第三个参数为该线程的hInstance。安装”钩子”有两种方法:1.你可以把他做成动态连接库文件,和程序一起编译。2.你可以在程序的任何地方直接调用。第2种的方法太麻烦,我不建议用,在这里我就不详细介绍啦。相比之下第1种比较简单。其”钩子”的过程都在动态链接库内完成。SetWindowsHookEx()函数是一个安装函数,如故一个由某种类型的”钩子”监视的事件发生,系统就会调用相应类型的”钩子”链开始处的”钩子”过程,”钩子”链的每个”钩子”过程都要考虑是否把事件传递给下一个”钩子”过程。如果要传递的话,就要调用CallNestHookEx()函数。这个函数成功时返回”钩子”链中下一个”钩子”过程的返回值,返回值的类型依赖于”钩子”的类型。这个函数的原型如下:
LRESULTCallNextHookEx(
HHOOKhhk;
intnCode;
WPARAMwParam;
LPARAMlParam;
其中hhk为当前”钩子”的句柄,由SetWindowsHookEx()函数返回。NCode为传给”钩子”过程的事件代码。wParam和lParam分别是传给”钩子”过程的wParam值,其具体含义与”钩子”类型有关。
释放”钩子”
释放”钩子”比较简单,他只有一个参数。当不在需要”钩子”时,应及时将其释放。他是调用UnhookWindowsHookEx()函数来实现的,函数原型如下:
UnhookWindowsHookEx(
HHOOKhhk;
函数成功返回TRUE,否则返回FALSE。
如果我这样讲您还是不明白的话,请看下面给出的一些典型“钩子”代码和说明。
LRESULTWINAPICallWndProc(intnCode,WPARAMwParam,LPARAMlParam)
if(nCode<0)
returnCallNextHookEx(NULL,nCode,wParam,lParam);
switch(nCode)
caseHC_ACTION:
//”钩子”程序要处理什么的代码
break;
default:
break;
returnCallNextHookEx(NULL,nCode,wParam,lParam);
这是WH_CALLWNDPROC”钩子”的代码,此”钩子”允许程序监视由函数SendMessage发送给窗口过程的消息。系统将消息发送到目的窗口之前调用WH_CALLWNDPROC“钩子”过程。
LRESULTWINAPICallwndProc(intnCode,WPARAM,wParam,LPARAMlParam)
if(nCode<0)returncallNextHookEx(NULL,nCode,wParam,lParam);
switch(nCode)
caseHC_ACTION:
switch(wParam)
CasePM_REMOVE:
//某个应用程序调用了GetMessage函数或者是带PM_REMOVE参数的//PeekMessage函数,从消息队列中移去一个消息。
Break;
CasePM_NOREMOVE:
//某个应用程序以PM_NOREMOVE为参数调用PeekMessage函数
break;
default:
break;
break;
default:
break;
returnCallNextHookEx(NULL,nCode,wParam,lParam);
这是调用WH_GETMESSAGE的函数,此函数允许应用程序监视函数GetMessage和PeekMessage返回的消息。应用程序可以用钩子WH_GETMESSAGE来监视鼠标和键盘的输入以及其他系统发送到消息队列中的消息。
LRESULTCALLBACKCBTProc(intnCode,WPARAMwParam,LPARAMlParam)
If(nCode<0)ReturncallNextHookEx(NULL,nCode,wParam,lParam);
Switch(nCode)
caseHCBT_ACTIVATE:
//系统将激活一个窗口
break;
caseHCBT_CLICKSKIPPED:
//系统从系统消息队列中移去一个鼠标消息
break;
caseHCBT_CREATEWND:
//系统将创建一个窗口
break;
caseHCBT_DESTROYWND:
//系统将关闭一个窗口
break;
caseHCBT_KEYSKIPPED:
//系统从系统消息队列中移去一个键盘消息
break;
caseHCBT_MINMAX:
//系统将最大化或最小化一个窗口
break;
caseHCBT_MOVESIZE:
//系统将移动一个窗口或改变一个窗口的大小
break;
caseHCBT_QS:
//系统在系统消息队列中检索到WM_QUEUESYNC消息
break;
caseHCBT_SETFOCUS:
//系统设置键盘输入窗口
break;
caseHCBT_SYSCOMMAND:
//将要执行一个系统命令
break;
default:
//可以添加其他代码
break;
returnCallNextHookEx(NULL,nCode,wParam,lParam);
每种”钩子”类型都有其对应的函数,这些函数的参数都是一样的,有兴趣的朋友可以在MSDN中找的他们的详细说明。
下面我给出一个完整的”钩子”安装和删除的过程的代码。
#include"stdafx.h"
#include"hook.h"
HINSTANCEhInstance;
HHOOKhhkKeyboard;
BOOLAPIENTRYDllMain(HANDLEhModule,DWORDul_reason_for_call,LPVOIDlpReserved)
switch(ul_reason_for_call)
caseDLL_PROCESS_ATTACH:
caseDLL_THREAD_ATTACH:
caseDLL_THREAD_DETACH:
caseDLL_PROCESS_DETACH:
break;
hInstance=(HINSTANCE)hModule;
returnTRUE;
LRESULTKeyboardProc(intnCode,WPARAMwParam,LPARAMlParam)
MessageBeep(-1);
returnCallNextHookEx(hhkKeyboard,nCode,wParam,lParam);
HOOK_APIBOOLEnableKeyboardCapture()
if(!(hhkKeyboard=SetWindowsHookEx(WH_KEYBOARD,(HOOKPROC)KeyboardProc,hInstance,0)))
returnFALSE;
returnTRUE;
HOOK_APIBOOLDisableKeyboardCapture()
returnUnhookWindowsHookEx(hhkKeyboard);
注意:这是一个动态链接库文件。
在程序中要想调用“钩子”的时候,有EnableKeyboardCapture()函数就可以啦,但你按键的时候就回发出声音。
参考资料:
?id=41
hook技术需要了解windows消息机制吗
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程序,window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。ZG电力自动化9e"g#TZ3Y3T"I*EZG电力自动化,变电检修,继电保护,远动通信,电力技术,高压试验,输电线路,变电运行,整定计算,规章规程,电力论坛,电力技术,高压实验,电网,供电局,供电公司,电业局.J!l-f+.^*Ho+}3u/Q&_:_:W-F$PHZG电力自动化不仅为电力职工提供一个可以交流的网络平台而且也为电力技术的爱好者和电力大中专学生提供一个可以展现自我的一个舞台。这个平台与传统知识交流平台相比具有:获取信息速度快,信息量大,互动性强,成本低。这几个特性是传统知识交流平台所不具备的。ZG电力自动化就是要利用这种互动方式为大家铺设桥梁,使各位朋友的技术共同进步、提高!可能上面的官方定义对一部分读者理解有点困难,ZG电力自动化,变电检修,继电保护,远动通信,电力技术,高压试验,输电线路,变电运行,整定计算,规章规程,电力论坛,电力技术,高压实验,电网,供电局,供电公司,电业局6}&e8W"X3w1P(\#Z4})P8Y其实,钩子就像是一切程序的“先知”,一个实现了钩子的程序自身虽然也是普通程序,但是它总能在别的程序得到数据之前就已经知道了一切,这是为什么呢?对Windows系统有一定了解的读者应该知道,Windows系统是一个通过“信息处理机制”运作的系统,在这个系统里传递的数据都是通过“消息”(Message)的形式发送的,各个消息都遵循了官方的约定,否则就不能让系统产生回应。而且这个传递步骤是颠倒的,例如我们关闭了某个程序,我们可能会认为是程序自己关闭后通知系统的,其实不然,当用户点击关闭按钮的时候,Windows就会把一个叫做WM_CLOSE的消息传递给这个程序,程序接收到消息后就执行卸载自身例程的操作。理解了这点,就能知道钩子的原理了,所谓钩子程序,就是利用了系统提供的HookAPI,让自己比每一个程序都提前接收到系统消息,然后做出处理,如果一个钩子拦截了系统给某个程序的WM_CLOSE消息,那么这个程序就会因为接收不到关闭消息而无法关闭自身。除了消息以外,钩子还可以拦截API,像我们都熟悉的屏幕翻译软件就是Hook了一些文本输出函数如TextOutA而达到了目的。Hook技术让编程人员可以轻松获取其他程序的一些有用数据或传递相关数据,像现在常见的一些游戏外挂,它们就是利用Hook技术钩住了游戏窗体,然后就可以识别游戏里面的行为和模拟发送按键鼠标消息,最终实现电脑自己玩游戏的功能。把这个技术应用到浏览器上面,就成了另一种控制浏览器行为的方法。!E6C:k0T*z:l9[1i&`7H(~"+b!O:w1^钩子有两种,本地钩子(LocalHook)和全局钩子(GlobalHook),本地钩子只在本进程里起作用,故不属于讨论范围;全局钩子代码必须以DLL形式编写,以便在钩子生效时被其它进程所加载调用,因此我们看到的大部分Hook程序都是DLL形式的。$V[0u7o8{:Z5h6{6o3pZG电力自动化,变电检修,继电保护,远动通信,电力技术,高压试验,输电线路,变电运行,整定计算,规章规程,电力论坛,电力技术,高压实验,电网,供电局,供电公司,电业局!R.V(y*f:E!q)C%e其实之前提到的BHO也可以视为一种针对IE的钩子,它钩的是IE的事件,这就是IE与BHO交互的起点,但是对于再复杂一点的操作,例如判断IE下载的是GIF图片还是JPEG图片,BHO无能为力,因为它仅仅知道IE的事件为DownloadBegin和DownloadComplete,对于具体内容,IE本身是不会告诉它的,否则IE岂不是要忙死了?至少我也没见过哪个领导还需要向秘书汇报中午吃了鸡肉还是鸭肉的吧,BHO可不是IE的老婆,或者说IE没有气管炎。所以,为了得到IE的更多数据,程序员开始钩IE了。#V)g2q0y7Z-K2zL"z/n+PZG电力自动化不仅为电力职工提供一个可以交流的网络平台而且也为电力技术的爱好者和电力大中专学生提供一个可以展现自我的一个舞台。这个平台与传统知识交流平台相比具有:获取信息速度快,信息量大,互动性强,成本低。这几个特性是传统知识交流平台所不具备的。ZG电力自动化就是要利用这种互动方式为大家铺设桥梁,使各位朋友的技术共同进步、提高!*{)}m1f6X;F4o(F+C;b与BHO不同,钩子不需要被动的等待IE事件,它直接和IE形成上司对下属的关系,这次轮到IE要做什么都得经过它批准了。Hook形式的控制不需要DLL文件必须与IE的注册表入口产生组件关系,它可以是一个独立的DLL,通过Rundll32.exe或自带的LoaderEXE启动,而且由于它属于Hook形式,在钩子有效的情况下会被系统自动插入其他程序的进程中,是不是有点像DLL木马呢?IE钩子程序载入进程后便能获知所有的消息类型、API和内容,一旦发现某个符合要求的消息,如IE执行了某个事件,或者用户输入了特定内容,钩子的处理代码就开始工作了,它先拦截系统发送给IE的消息,然后分析消息内容,根据不同消息内容作出修改后再发给IE,就完成了一次Hook篡改过程。$V#U4u5UzZG电力自动化8Z$Y/E&N/@:L$@*B用著名的3721实名搜索做例子,一些人会以为它是采用了BHO或者IURLSearchHook完成中文域名的识别跳转的,其实它是用了能够第一个得到Windows消息的Hook技术,这样一来就可以避免被其他的竞争对手抢先解析域名了:3721的主程序就是一个HookDLL,它监视IE地址栏的消息,一旦用户输入的是中文,它便在其他BHO类插件工作之前拦截了这个消息,并调用自身代码完成中文域名到英文URL的转换工作,然后返回(也可能与自己的BHODLL配合)一个让IE跳转到英文URL的消息,完成域名的翻译任务。IE钩子能帮助程序员用少量代码完成更多的IE交互工作,但是一旦这个钩子被用于犯罪,其后果也是严重的,恶意程序员可以写一个拦截IE输入的键盘钩子,达到窃取密码的作用,这样无论你是用HTTP明文协议还是SecurityHTTP加密协议都不能逃避密码被盗的下场了,因为它抓的是你在IE里的输入,后面的数据传输已经不重要了。