挂钩技术学习笔记
这篇文章是学习WINDOW编程中的一篇文章.以后还会有更多的学习笔记.本来我这个人是比较懒的,.学完的东西又不会做笔记.所以经常是看完后,没多久就忘光光了.这样导致了我学习东西非常的没有效率.因此以后每学一些东西都会做写笔记,或画一些简单的图
.
HOOK分为三种:LOCAL HOOK 和 REMOTE HOOK,还有一种是
SYSTEM-WIDE
LOCAL HOOK。LOCAL HOOK就是指程序HOOK的就是本程序中的线程。
REMOTE HOOK
有两种形式:一种是对其他程序中某个特定的线程;一种是对整个系统。
SYSTEM – WIDE
LOCAL HOOK 是一种比较特殊的。它具有REMOTE HOOK的功能,又可以用LOCAL HOOK 的表现手法,实际上就是WH_JOURNALRECORD和WH_JOURNALPLAYBACK两种HOOK。
REMOTE HOOK 必须封装在DLL中。这是因为REMOTE HOOK是针对整个系统或其他进程的线程,因此HOOK必须封装成DLL,才可以植入到其他进程进行监控。而SYSTEM-WIDE LOCAL HOOK采用的是另外一种架构,系统中的线程请求或获得一个硬件消息的话,系统会调用那个安装有HOOK的线程,并执行它的FILTER FUNCTION.然后再返回给请求硬件消息的线程。这种架构有一个缺点就是如果HOOK FILTER FUNCTION的处理中进入无限循环的话,那么整个系统将停留再循环中,无法切换到其他线程。为了处理这个缺陷,WINDOW使用了一个办法来处理:就是CTRL+ESC键,如果用户按下CTRL+ESC键,则系统将会发送一个WM_CANCELJOUNAL消息到有挂上JOUNAL 系列HOOK的线程上面。
如果要安装一个HOOK。则要调用
SetWindowsHookEx(
int idHook, // 挂钩类型
HOOKPROC lpfn, // 处理过程的函数地址
HINSTANCE hMod, //程序的句柄
DWORD dwThreadId // 线程的句柄
)
卸载一个HOOK。则调用
UnhookWindowsHookEx(
HHOOK hhk // 要移除的hook句柄
);
如果你再FILTER FUNCTION处理完过程后,也希望其他的进程的HOOK也可以处理,则可以调用
CALLNEXTHOOKEX.
《WINDOW95程序设计指南》对14中HOOK的调用时机描述得非常清楚,对各个参数的描述也非常清楚。实际上我也只用过其中几种而已,因此我只提供其中的一种HOOK的实例。这个实例是一个统计键盘的按键次数的类子,大部分代码和注释都是抄网上的代码的。
主窗体:
unit UntKeyCount;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls;
const
// Purpose: 自定义消息, 通知键盘按下
// wParam: UINT vk - Virtual keycode
// lParam: LPARAM lParam - Keystroke flags
// Return: 略
UM_MYEVENT = (WM_APP + 0);
type
Tfrm_Keycount = class(TForm)
btn_Star: TButton;
btn_Stop: TButton;
lbl_Hint: TLabel;
lbl_Count: TLabel;
procedure btn_StarClick(Sender: TObject);
procedure btn_StopClick(Sender: TObject);
procedure FormCreate(Sender: TObject);
private
procedure SetKeyCount(L: LongInt);
function GetKeyCount: Longint;
{ Private declarations }
public
//注意:此处定义的消息记录要TMESSAGE记录
procedure OnMyEVENT(var MSG: TMessage); message UM_MYEVENT;
{ Public declarations }
end;
var
frm_Keycount: Tfrm_Keycount;
function StartHook(WNDProc: HWND; uMsgNotify: UINT): Boolean; stdcall; external 'KeyHK.dll' name 'StartHook';
function StopHook: Boolean; stdcall; external 'KeyHK.dll' name 'StopHook';
implementation
{$R *.dfm}
{ Tfrm_Keycount }
//OnMyEVENT消息
function Tfrm_Keycount.GetKeyCount: Longint;
begin
Result := GetWindowLong(frm_Keycount.Handle, GWL_USERDATA);
end;
procedure Tfrm_Keycount.OnMyEVENT(var MSG: TMessage);
var
fDown: Boolean;
uKeyCount: UINT;
begin
//是否按下(导致的钩子调用)
fDown := (HiWord(msg.LParam) and KF_UP) = 0;
// 读取按键信息
uKeyCount := GetkeyCount;
//更新按键次数
if fDown then Inc(uKeyCount);
lbl_Count.Caption := IntToStr(uKeyCount);
SetKeyCount(uKeyCount);
end;
procedure Tfrm_Keycount.SetKeyCount(L: Integer);
begin
SetWindowLong(frm_Keycount.Handle, GWL_USERDATA, L);
end;
procedure Tfrm_Keycount.btn_StarClick(Sender: TObject);
begin
if StartHook(frm_Keycount.Handle, UM_MYEVENT) then
begin
// btn_Star.Enabled := False;
SetKeyCount(0);
end
else
MessageBox(GetActiveWindow, '启动挂钩失败
', 'KEYCOUNT', MB_OK);
end;
procedure Tfrm_Keycount.btn_StopClick(Sender: TObject);
begin
if StopHook = False then
MessageBox(GetActiveWindow(), '卸载挂钩失败
', 'KeyCount', 0);
// btn_Star.Enabled := not btn_Star.Enabled;
// btn_Stop.Enabled := not btn_Stop.Enabled;
end;
procedure Tfrm_Keycount.FormCreate(Sender: TObject);
begin
SetKeyCount(0);
end;
end.
链接库
library KeyHK;
uses
Windows,
Messages;
type
PShareMem = ^TShareMem;
TShareMem = record
g_hook: HHOOK; //挂钩句柄
g_WndProc: HWND; //窗体句柄
g_uMsgNotify: UINT; //传输消息
end;
const
//内存映射文件
SHARE_NAME = 'MYKEYCOUNT';
var
//映射文件句柄
FileMap: THandle;
//映射文件地址
PShared: PShareMem;
{$R *.res}
function KeyboardHook_HookProc(nCode: Integer; WPARAM: WPARAM; LPARAM: LPARAM): LRESULT; stdcall;
begin
Result := CallNextHookEx(Pshared.g_hook, nCode, WPARAM, LPARAM);
case nCode of
HC_ACTION:
begin
//发送消息
PostMessage(PShared.g_WndProc, PShared.g_uMsgNotify, WPARAM, LPARAM);
end;
end;
end;
function StartHook(WndProc: HWND; MsgNotify: UINT): Boolean; stdcall;
var
hook: LongWord;
begin
if PShared.g_hook <> 0 then
begin
Result := False;
exit;
end;
PShared.g_WndProc := WndProc;
PShared.g_uMsgNotify := MsgNotify;
Sleep(0);
//写同步的时候要注意这边的HOOK赋值。
hook := SetWindowsHookEx(WH_KEYBOARD, @KeyboardHook_HookProc, HInstance, 0);
//同步
InterlockedExchange(Integer(PShared.g_hook), Integer(hook));
Result := PShared.g_hook <> 0;
end;
function StopHook: Boolean; stdcall;
begin
if PShared.g_hook <> 0 then
begin
//卸载
Result := UnhookWindowsHookEx(Pshared.g_hook) ;
PShared.g_hook := 0;
end
else
Result := true;
end;
// DLL回调
procedure DLLMain(dwReason: DWORD);
begin
if (dwReason = DLL_PROCESS_DETACH) then
begin
UnmapViewOfFile(PShared);
CloseHandle(FileMap);
end;
end;
// 导出函数
exports
StartHook,
StopHook;
// DLL入口 (进入每个进程空间时执行
)
begin
// 设置回调
DllProc := @DLLMain;
// 尝试打开
FileMap := OpenFileMapping(FILE_MAP_ALL_ACCESS, FALSE, SHARE_NAME);
// 还未建立
if (FileMap = 0) then
begin
FileMap :=
CreateFileMapping(DWORD(-1), nil, PAGE_READWRITE, 0, SizeOf(TShareMem), SHARE_NAME);
PShared := MapViewOfFile(FileMap, FILE_MAP_ALL_ACCESS, 0, 0, 0);
ZeroMemory(PShared, SizeOf(TShareMem));
end else
PShared := MapViewOfFile(FileMap, FILE_MAP_ALL_ACCESS, 0, 0, 0);
end.