在Windows系統中用VC 實(shí)現鉤子機制

摘要：本文分析了在Windows環(huán)境下，什么是鉤子程序以及怎樣用VC 實(shí)現一個(gè)鉤子機制的關(guān)鍵技術(shù)。最后，用一個(gè)可以截獲鼠標信息的完整程序說(shuō)明了這些問(wèn)題。

關(guān)鍵詞：鉤子程序，DLL，消息截獲

一． 什么是鉤子。
Windows系統是建立在事件驅動(dòng)的機制上的，說(shuō)穿了就是整個(gè)系統都是通過(guò)消息的傳遞來(lái)實(shí)現的。鉤子(hook)是一種特殊的消息處理機制，鉤子可以監視系統或進(jìn)程中的各種事件消息，截獲發(fā)往目標窗口的消息并進(jìn)行處理。這樣，我們就可以在系統中安裝自定義的鉤子，監視系統中特定事件的發(fā)生，完成特定的功能，比如截獲鍵盤(pán)、鼠標的輸入，屏幕取詞，日志監視等等。
鉤子的種類(lèi)很多，每種鉤子可以截獲并處理相應的消息，如鍵盤(pán)鉤子可以截獲鍵盤(pán)消息，外殼鉤子可以截取、啟動(dòng)和關(guān)閉應用程序的消息等。鉤子可以分為線(xiàn)程鉤子和系統鉤子, 線(xiàn)程鉤子監視指定線(xiàn)程的事件消息, 系統鉤子監視系統中的所有線(xiàn)程的事件消息。因為系統鉤子會(huì )影響系統中所有的應用程序，所以鉤子函數必須放在獨立的動(dòng)態(tài)鏈接庫(DLL) 中。

二． 實(shí)現鉤子機制的幾個(gè)關(guān)鍵技術(shù)。
1． windows的鉤子程序，需要用到幾個(gè)sdk中的api函數。下面列出這幾個(gè)函數的原型及說(shuō)明：
hhook setwindowshookex(int idhook,hook_proc lpfn,hinstance hmod,dword dwthreadid);
參數說(shuō)明如下：
　　idhook：鉤子的類(lèi)型
　　lpfn：鉤子處理函數地址
　　hmod：包含鉤子函數的模塊句柄
　　dwthreadid：鉤子的監控線(xiàn)程
函數說(shuō)明：函數將在系統中掛上一個(gè)由idhook指定類(lèi)型的鉤子，監控并處理相應的特定消息。
bool unhookwindowshookex(hhook hhk);
函數說(shuō)明：函數將撤銷(xiāo)由hhk指定的鉤子。
lresult callnexthookex( hhook hhk, int ncode,wparam wparam,lparam lparam );
函數說(shuō)明：函數將消息向下傳遞，下一個(gè)鉤子處理將截獲這一消息。
2． 由于鉤子的處理涉及到模塊及進(jìn)程間的數據地址問(wèn)題，一般情況是把鉤子整合到一個(gè)動(dòng)態(tài)鏈接庫（dll）中，VC中有三種形式的MFC DLL可供選擇，即Regular statically linked to MFC DLL（標準靜態(tài)鏈接MFC DLL）、Regular using the shared MFC DLL（標準動(dòng)態(tài)鏈接MFC DLL）以及Extension MFC DLL（擴展MFC DLL）。第一種DLL在編譯時(shí)把使用的MFC代碼鏈接到DLL中，執行程序時(shí)不需要其他MFC動(dòng)態(tài)鏈接類(lèi)庫的支持，但體積較大；第二種DLL在運行時(shí)動(dòng)態(tài)鏈接到MFC類(lèi)庫，因而體積較小，但卻依賴(lài)于MFC動(dòng)態(tài)鏈接類(lèi)庫的支持；這兩種DLL均可被MFC程序和Win32程序使用。第三種DLL的也是動(dòng)態(tài)連接，但做為MFC類(lèi)庫的擴展，只能被MFC程序使用。
另外,要設立一個(gè)全局數據共享數據段，以存貯一些全局變量，保留上次鉤子消息事件發(fā)生時(shí)的狀態(tài)。
3． Win32 DLL的入口和出口函數都是DLLMain。只要有進(jìn)程或線(xiàn)程載入和卸載DLL時(shí)，都會(huì )調用該函數，其原型是：
BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved); 其中，第一個(gè)參數表示DLL的實(shí)例句柄；第三個(gè)參數系統保留；第二個(gè)參數指明了當前調用該動(dòng)態(tài)連接庫的狀態(tài)，它有四個(gè)可能的值：DLL_PROCESS_ATTACH（進(jìn)程載入）、DLL_THREAD_ATTACH（線(xiàn)程載入）、DLL_THREAD_DETACH（線(xiàn)程卸載）、DLL_PROCESS_DETACH（進(jìn)程卸載）。在DLLMain函數中可以通過(guò)對傳遞進(jìn)來(lái)的這個(gè)參數的值進(jìn)行判別，根據不同的參數值對DLL進(jìn)行必要的初始化或清理工作。由于在Win32環(huán)境下，所有進(jìn)程的空間都是相互獨立的，這減少了應用程序間的相互影響，但大大增加了編程的難度。當進(jìn)程在動(dòng)態(tài)加載DLL時(shí)，系統自動(dòng)把DLL地址映射到該進(jìn)程的私有空間，而且也復制該DLL的全局數據的一份拷貝到該進(jìn)程空間，每個(gè)進(jìn)程所擁有的相同的DLL的全局數據其值卻并不一定是相同的。當DLL內存被映射到進(jìn)程空間中，每個(gè)進(jìn)程都有自己的全局內存拷貝，加載DLL的每一個(gè)新的進(jìn)程都重新初始化這一內存區域，也就是說(shuō)進(jìn)程不能再共享DLL。因此，在Win32環(huán)境下要想在多個(gè)進(jìn)程中共享數據，就必須進(jìn)行必要的設置。一種方法便是把這些需要共享的數據單獨分離出來(lái)，放置在一個(gè)獨立的數據段里，并把該段的屬性設置為共享，建立一個(gè)內存共享的DLL。

三． 用鉤子機制實(shí)現截獲鼠標左右鍵按壓次數。
　 建立鉤子程序時(shí)需要把鉤子處理整合到動(dòng)態(tài)鏈接庫中，所以例程中需要建立兩個(gè)project。
1． 鉤子處理動(dòng)態(tài)鏈接庫
（1） 選擇mfc appwizard(dll)創(chuàng )建一個(gè)新project，命名為“spy”。
（2） 選擇mfc extension dll類(lèi)型。
（3） 創(chuàng )建一個(gè)新的頭文件，命名為“hook.h”，修改它的代碼如下：
extern "C" LRESULT CALLBACK mouseproc(int code,WPARAM wparam,LPARAM lparam); //鉤子處理函數
extern "C" bool WINAPI starthook(); //啟動(dòng)鉤子函數
extern "C" bool WINAPI stophook(); //撤銷(xiāo)鉤子函數
extern "C" int WINAPI getresultl(); //取得鼠標左鍵單擊次數的函數
extern "C" int WINAPI getresultr(); //取得鼠標右鍵單擊次數的函數
（4） 修改spy.cpp程序代碼如下:
#include "hook.h" //包含頭文件hook

#pragma data_seg("publicdata") //定義全局數據段
HHOOK hhook=NULL; //鉤子句柄
HINSTANCE pinstance=NULL;//鉤子模塊句柄
UINT mouseclickl=0; //記錄鼠標左鍵單擊次數的變量
UINT mouseclickr=

【在Windows系統中用VC 實(shí)現鉤子機制】相關(guān)文章：

在VC 中用ActiveX控件實(shí)現與單片機的串行通信03-19

組件機制與操作系統的實(shí)現03-18

基于Windows Media技巧的流媒體系統 的設計與實(shí)現03-23

基于Windows Media技術(shù)的流媒體系統的設計與實(shí)現03-18

多數據庫系統互聯(lián)機制的設計與實(shí)現03-18

單片機系統中的多任務(wù)多線(xiàn)程機制的實(shí)現03-18

網(wǎng)絡(luò )智能游戲的設計與實(shí)現VC++11-23

基于vc與word、outlook對象模型的email實(shí)現03-18

TMS320VC5416并行自舉的巧妙實(shí)現03-18