鉤子(Hook),是Windows消息處理機制的一個平臺,應用程序可以在上面設置子程以監視指定窗口的某種消息,而且所監視的窗口可以是其他進程所創建的。當消息到達後,在目標窗口處理函數之前處理它。鉤子機制允許應用程序截獲處理window消息或特定事件。
Windows系統是建立在事件驅動的機制上的,說穿了就是整個系統都是通過消息的傳遞來實現的。而鉤子是Windows系統中非常重要的系統接口,用它可以截獲並處理送給其他應用程序的消息,來完成普通應用程序難以實現的功能。鉤子可以監視系統或進程中的各種事件消息,截獲發往目標窗口的消息並進行處理。這樣,我們就可以在系統中安裝自定義的鉤子,監視系統中特定事件的發生,完成特定的功能,比如截獲鍵盤、鼠標的輸入,屏幕取詞,日誌監視等等。可見,利用鉤子可以實現許多特殊而有用的功能。
鉤子實際上是一個處理消息的程序段,通過系統調用,把它掛入系統。每當特定的消息發出,在沒有到達目的窗口前,鉤子程序就先捕獲該消息,亦即鉤子函數先得到控制權。這時鉤子函數即可以加工處理(改變)該消息,也可以不作處理而繼續傳遞該消息,還可以強制結束消息的傳遞。
一個Hook都有一個與之相關聯的指針列表,稱之爲鉤子鏈表,由系統來維護。這個列表的指針指向指定的,應用程序定義的,被Hook子程調用的回調函數,也就是該鉤子的各個處理子程。當與指定的Hook類型關聯的消息發生時,系統就把這個消息傳遞到Hook子程。一些Hook子程可以只監視消息,或者修改消息,或者停止消息的前進,避免這些消息傳遞到下一個Hook子程或者目的窗口。最近安裝的鉤子放在鏈的開始,而最早安裝的鉤子放在最後,也就是後加入的先獲得控制權。
Windows 並不要求鉤子子程的卸載順序一定得和安裝順序相反。每當有一個鉤子被卸載,Windows 便釋放其佔用的內存,並更新整個Hook鏈表。如果程序安裝了鉤子,但是在尚未卸載鉤子之前就結束了,那麼系統會自動爲它做卸載鉤子的操作。
大多數人或者網上文章認爲全局鉤子都要依賴於一個DLL才能正常工作的,常常會看到很多人在論壇上長期爭論一個話題:“全局鉤子一定要在DLL裏面嗎?”。實際上這裏有一個概念的問題,究竟上面提到的全局鉤子是指什麼。通過對上面各種鉤子的作用域的理解就會發現這個問題的答案。
上面一共提到了15種鉤子,他們的作用域請看下錶:
|
Hook |
Scope |
|
WH_CALLWNDPROC |
Thread or global |
|
WH_CALLWNDPROCRET |
Thread or global |
|
WH_CBT |
Thread or global |
|
WH_DEBUG |
Thread or global |
|
WH_FOREGROUNDIDLE |
Thread or global |
|
WH_GETMESSAGE |
Thread or global |
|
WH_JOURNALPLAYBACK |
Global only |
|
WH_JOURNALRECORD |
Global only |
|
WH_KEYBOARD |
Thread or global |
|
WH_KEYBOARD_LL |
Global only |
|
WH_MOUSE |
Thread or global |
|
WH_MOUSE_LL |
Global only |
|
WH_MSGFILTER |
Thread or global |
|
WH_SHELL |
Thread or global |
|
WH_SYSMSGFILTER |
Global only |
表一:鉤子作用域
WH_JOURNALPLAYBACK,WH_JOURNALRECORD,WH_KEYBOARD_LL,WH_MOUSE_LL、WH_SYSMSGFILTER這5種鉤子本身的作用域就是全局的,不管鉤子是直接寫在應用程序的代碼裏還是放在DLL中,他們都能夠鉤住系統的消息。剩下的10種鉤子,他們的作用域既可以是線程的又可以是全局的,當將相應的鉤子直接寫在應用程序的代碼中時,他們只能捕獲當前線程上下文的消息。那麼他們如何實現捕獲全局消息的功能呢?當把鉤子寫入到一個單獨的DLL中再引用後,系統自動將該DLL映射到受鉤子函數影響的所有進程的地址空間中,即將這個DLL注入了那些進程,從而達到捕獲全局消息的目的。相對來說,前面5種鉤子本身就是全局的,是不需要注入的。
因此,對於前面問題的答案就是:要實現捕獲全局消息功能的鉤子,是否要寫在單獨的DLL裏面,取決於鉤子的類型以及相應的作用域。
如果對於同一事件既安裝了線程勾子又安裝了全局勾子,那麼系統會自動先調用線程勾子,然後調用全局勾子。