2. 程式人生 > >[轉載]Windows HOOK(鉤子)機制

[轉載]Windows HOOK(鉤子)機制

阿新 發佈:2019-02-17

Windows HOOK(鉤子)機制與例項

1.WINDOWS的訊息機制

    Windows系統是以訊息處理為其控制機制,系統通過訊息為視窗過程(windows procedure)傳遞輸入。系統和應用兩者都可以產生訊息。對於每個輸入事件,例如使用者按下了鍵盤上的某個鍵、移動了滑鼠、單擊了一個控制元件上的滾動條,等等,系統都將產生一系列訊息。此外,對於應用帶給系統的變化,如字型資源的改變、應用本身視窗的改變,系統都將通過訊息以響應這種變化。應用通過產生訊息指示應用的視窗完成特定的任務,或與其他應用的視窗進行通訊。

    每個視窗都有一個處理Windows系統傳送訊息的處理程式,稱為視窗程式。它是隱含在視窗背後的一段程式指令碼,其中包含對事件進行處理的程式碼。

    Windows系統為每條訊息指定了一個訊息編號,例如當一個視窗變為活動視窗時,它事實上是收到一條來自Windows系統的WM_ACTIVATE訊息,該訊息的編號為6,它對應於VB視窗的Activate事件。對於視窗來說,諸如Open、Activate、MouseDown、Resize等事件,實際上對應的是視窗內部的訊息處理程式,這些程式對於使用者來講是不可見的。類似地,命令按鈕也有訊息處理程式,它的處理程式響應諸如WM_LBUTTONDOWNWM_RBUTTONDOWN之類的訊息,即啟用命令按鈕的MouseDown事件。

    Windows的訊息處理機制為了能在應用程式中監控系統的各種事件訊息,提供了掛接各種回撥函式(HOOK)的功能。這種掛鉤函式(HOOK)類似擴充中斷驅動程式,掛鉤上可以掛接多個回撥函式構成一個掛接函式鏈。系統產生的各種訊息首先被送到各種掛接函式,掛接函式根據各自的功能對訊息進行監視、修改和控制等,然後交還控制權或將訊息傳遞給下一個掛接函式以致最終達到視窗函式。Windows系統的這種回撥函式掛接方法雖然會略加影響到系統的執行效率,但在很多場合下是非常有用的,通過合理有效地利用鍵盤事件的掛鉤函式監控機制可以達到預想不到的良好效果。

2.HOOK介紹

    HOOK(鉤子)是Windows提供的一種訊息處理機制平臺,是指在程式正常執行中接受資訊之前預先啟動的函式,用來檢查和修改傳給該程式的資訊,(鉤子)實際上是一個處理訊息的程式段,通過系統呼叫,把它掛入系統。每當特定的訊息發出,在沒有到達目的視窗前,鉤子程式就先捕獲該訊息,亦即鉤子函式先得到控制權。這時鉤子函式即可以加工處理(改變)該訊息,也可以不作處理而繼續傳遞該訊息,還可以強制結束訊息的傳遞。

    注意:安裝鉤子函式將會影響系統的效能。監測“系統範圍事件”的系統鉤子特別明顯。因為系統在處理所有的相關事件時都將呼叫您的鉤子函式,這樣您的系統將會明顯的減慢。所以應謹慎使用,用完後立即解除安裝。還有,由於您可以預先截獲其它程序的訊息,所以一旦您的鉤子函數出了問題的話必將影響其它的程序。

    記住:功能強大也意味著使用時要負責任。

3.HOOK鏈

    Windows提供了14種不同型別的HOOKS;不同的HOOK可以處理不同的訊息。例如,WH_MOUSE HOOK用來監視滑鼠訊息。

    Windows為這幾種HOOKS維護著各自的HOOK連結串列。HOOK連結串列是一串由應用程式定義的回撥函式(CALLBACK Function)佇列,當某種型別的訊息發生時,Windows向此種類型的HOOK鏈的第一個函式(HOOK鏈的頂部)傳送該訊息,在第一函式處理完該訊息後由該函式向連結串列中的下一個函式傳遞訊息,依次向下。如果鏈中某個函式沒有向下傳送該訊息,那麼連結串列中後面的函式將得不到此訊息。(對於某些型別的HOOK,不管HOOK鏈中的函式是否向下傳遞訊息,與此型別HOOK聯絡的所有HOOK函式都會收到系統傳送的訊息)一些HOOK子過程可以只監視訊息,或者修改訊息,或者停止訊息的前進,避免這些訊息傳遞到下一個HOOK子過程或者目的視窗。最近安裝的鉤子放在鏈的開始,而最早安裝的鉤子放在最後,也就是後加入的先獲得控制權。

4.HOOK的作用範圍

    一共有兩種範圍(型別)的鉤子:區域性的和遠端的

        1. 區域性鉤子僅鉤掛您自己程序的事件。
       2. 遠端的鉤子還可以將鉤掛其它程序發生的事件。

    遠端的鉤子又有兩種:

        1. 基於執行緒的 它將捕獲其它程序中某一特定執行緒的事件。簡言之,就是可以用來觀察其它程序中的某一特定執行緒將發生的事件。
        2. 系統範圍的 將捕捉系統中所有程序將發生的事件訊息。

5.HOOK型別

    Windows共有14種HOOKS,每一種型別的Hook可以使應用程式能夠監視不同型別的系統訊息處理機制。下面描述所有可以利用的Hook型別的發生時機。(這些常數值均可以API瀏覽器裡查到)

1.WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks

    WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以監視傳送到視窗過程的訊息。系統在訊息傳送到接收視窗過程之前呼叫WH_CALLWNDPROC Hook子過程,並且在視窗過程處理完訊息之後呼叫WH_CALLWNDPROCRET Hook子過程。

    WH_CALLWNDPROCRET Hook傳遞指標到CWPRETSTRUCT結構,再傳遞到Hook子過程。CWPRETSTRUCT結構包含了來自處理訊息的視窗過程的返回值,同樣也包括了與這個訊息關聯的訊息引數。

2.WH_CBT Hook

    在以下事件之前,系統都會呼叫WH_CBT Hook子過程,這些事件包括:

  1. 啟用,建立,銷燬,最小化,最大化,移動,改變尺寸等視窗事件;
  2. 完成系統指令;
  3. 來自系統訊息佇列中的移動滑鼠,鍵盤事件;
  4. 設定輸入焦點事件;
  5. 同步系統訊息佇列事件。

    Hook子過程的返回值確定系統是否允許或者防止這些操作中的一個。

3.WH_DEBUG Hook

    在系統呼叫系統中與其它Hook關聯的Hook子過程之前,系統會呼叫WH_DEBUG Hook子過程。你可以使用這個Hook來決定是否允許系統呼叫與其它Hook關聯的Hook子過程。

4.WH_FOREGROUNDIDLE Hook

    當應用程式的前臺執行緒處於空閒狀態時,可以使用WH_FOREGROUNDIDLEHook執行低優先順序的任務。當應用程式的前臺執行緒大概要變成空閒狀態時,系統就會呼叫WH_FOREGROUNDIDLE Hook子過程。

5.WH_GETMESSAGE Hook

    應用程式使用WH_GETMESSAGE Hook來監視從GetMessage or PeekMessage函式返回的訊息。你可以使用WH_GETMESSAGE Hook去監視滑鼠和鍵盤輸入,以及其它傳送到訊息佇列中的訊息。

6.WH_JOURNALPLAYBACK Hook

    WH_JOURNALPLAYBACK Hook使應用程式可以插入訊息到系統訊息佇列。可以使用這個Hook回放通過使用WH_JOURNALRECORD Hook記錄下來的連續的滑鼠和鍵盤事件。只要WH_JOURNALPLAYBACK Hook已經安裝,正常的滑鼠和鍵盤事件就是無效的。WH_JOURNALPLAYBACK Hook是全域性Hook,它不能象執行緒特定Hook一樣使用。WH_JOURNALPLAYBACK Hook返回超時值,這個值告訴系統在處理來自回放Hook當前訊息之前需要等待多長時間(毫秒)。這就使Hook可以控制實時事件的回放。WH_JOURNALPLAYBACK是system-wide local hooks,它們不會被注射到任何行程地址空間。

7.WH_JOURNALRECORD Hook

    WH_JOURNALRECORD Hook用來監視和記錄輸入事件。典型的,可以使用這個Hook記錄連續的滑鼠和鍵盤事件,然後通過使用WH_JOURNALPLAYBACK Hook來回放。WH_JOURNALRECORD Hook是全域性Hook,它不能象執行緒特定Hook一樣使用。WH_JOURNALRECORD是system-wide local hooks,它們不會被注射到任何行程地址空間。

8.WH_KEYBOARD Hook

    在應用程式中,WH_KEYBOARD Hook用來監視WM_KEYDOWN and WM_KEYUP訊息,這些訊息通過GetMessage or PeekMessage function返回。可以使用這個Hook來監視輸入到訊息佇列中的鍵盤訊息。

9.WH_KEYBOARD_LL Hook

    WH_KEYBOARD_LL Hook監視輸入到執行緒訊息佇列中的鍵盤訊息。

10.WH_MOUSE Hook

    WH_MOUSE Hook監視從GetMessage 或者 PeekMessage 函式返回的滑鼠訊息。使用這個Hook監視輸入到訊息佇列中的滑鼠訊息。

11.WH_MOUSE_LL Hook

    WH_MOUSE_LL Hook監視輸入到執行緒訊息佇列中的滑鼠訊息。

12.WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks

    WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以監視選單,滾動條,訊息框,對話方塊訊息並且發現使用者使用ALT+TAB or ALT+ESC 組合鍵切換視窗。

    WH_MSGFILTER Hook只能監視傳遞到選單,滾動條,訊息框的訊息,以及傳遞到通過安裝了Hook子過程的應用程式建立的對話方塊的訊息。WH_SYSMSGFILTER Hook監視所有應用程式訊息。

    WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以在模式迴圈期間過濾訊息,這等價於在主訊息迴圈中過濾訊息。

    通過呼叫CallMsgFilter function可以直接的呼叫WH_MSGFILTER Hook。通過使用這個函式,應用程式能夠在模式迴圈期間使用相同的程式碼去過濾訊息,如同在主訊息迴圈裡一樣。

13.WH_SHELL Hook

    外殼應用程式可以使用WH_SHELL Hook去接收重要的通知。當外殼應用程式是啟用的並且當頂層視窗建立或者銷燬時,系統呼叫WH_SHELL Hook子過程。

    WH_SHELL 共有5鍾情況:

  1. 只要有個top-level、unowned 視窗被產生、起作用、或是被摧毀;
  2. 當Taskbar需要重畫某個按鈕;
  3. 當系統需要顯示關於Taskbar的一個程式的最小化形式;
  4. 當目前的鍵盤佈局狀態改變;
  5. 當使用者按Ctrl+Esc去執行Task Manager(或相同級別的程式)。

    按照慣例,外殼應用程式都不接收WH_SHELL訊息。所以,在應用程式能夠接收WH_SHELL訊息之前,應用程式必須呼叫SystemParametersInfo function註冊它自己。

HOOK API

相關推薦

[轉載]Windows HOOK(鉤子)機制

Windows HOOK(鉤子)機制與例項 1.WINDOWS的訊息機制     Windows系統是以訊息處理為其控制機制,系統通過訊息為視窗過程(windows procedure)傳遞輸入。系統和應用兩者都可以產生訊息。對於每個輸入

HOOK鉤子機制

最近在看一些程式設計相關的書籍和資料,知識碰見了,就想把它記下來,以便日後能用的上,也可能只是淺顯的概念!可能有錯,但是有值得參考的地方,慢慢充電吧!        一、理解:鉤子,顧名思義就是鉤東西的,來一個比喻吧。當我們在釣魚的時候,只要你扔出有誘餌的魚鉤(設定執行緒鉤

WordPress 插件機制的簡單用法和原理(Hook 鉤子

原理 pre 事情 回調函數 subject http 參與 quest 的人 WordPress 的插件機制實際上只的就是這個 Hook 了,它中文被翻譯成鉤子,允許你參與 WordPress 核心的運行,是一個非常棒的東西,下面我們來詳細了解一下它。 PS:本文只是簡單

WordPress 外掛機制的簡單用法和原理(Hook 鉤子

WordPress 的外掛機制實際上只的就是這個 Hook 了,它中文被翻譯成鉤子,允許你參與 WordPress 核心的執行,是一個非常棒的東西,下面我們來詳細瞭解一下它。 PS:本文只是簡單的總結一下,更多用法還是要參考文中給出的函式。 鉤子分類鉤子分為兩種,一種叫做動作(action),還有一種叫做

js中的鉤子機制(hook)

什麼是鉤子機制?使用鉤子機制有什麼好處? 鉤子機制也叫hook機制,或者你可以把它理解成一種匹配機制,就是我們在程式碼中設定一些鉤子,然後程式執行時自動去匹配這些鉤子;這樣做的好處就是提高了程式的執行效率,減少了if else 的使用同事優化程式碼結構。由

轉載(windows下安裝mysql)

lena 回車 code server cto bds 依次 隨機 技術 轉載請聲明出處:http://blog.csdn.net/u013067166/article/details/49951577 最近重裝了系統,去MySQL官網下載了最新的

windows消息機制與實例

默認 style import pcl ++ user 註冊 lpar pub windows發送窗口消息   所需工具:spy++,visual studio 2017,c#語言    技術路線:首先通過spy++獲得所要操縱的窗口的句柄,函數的原型聲明為:   [Dll

gitlab根據hook鉤子自動化部署

id_rsa brush pub nbsp 地址 指定 服務 是否 添加 原理是: 在gitlab中項目設置,hook->提交觸發指定地址,服務器收到請求,通過驗證後,在項目中執行git pull更新服務器中代碼 註意事項: 1.gitlab中要設置s

Windows消息機制

hand per sub 用戶輸入 成了 應用程序 sys 頭文件 到來 消息是指什麽? 消息系統對於一個win32程序來說十分重要,它是一個程序運行的動力源泉。一個消息,是系統定義的一個32位的值,他唯一的定義了一個事件,向 Windows發出一個通知,告訴應用

[轉載] windows安裝mysql及使用navicat連線

參考資料: 1. https://blog.csdn.net/u013235478/article/details/50623693 2. https://blog.csdn.net/qq_35436635/article/details/80126029 最近準備練習sql,安裝m

callback回撥函式和hook鉤子函式的簡單理解

回撥函式callback:所呼叫函式執行完,之後呼叫的函式 鉤子函式hook:訊息到達目的地之前,進行攔截,處理訊息 簡單理解: Scrapy中就有使用: 回撥函式,Request執行完下載流程之後,呼叫parse函式來解析頁面 Request(url, callback=s

[轉載]windows下github 出現Permission denied (publickey).解決方法

    今天在學習github的時候遇到了一些問題,然後爬了一會,找到了解決方法記錄下來,以防忘記,當然能幫助別人最好啦! github教科書傳送門:http://www.liaoxuefeng.com/wiki/0013739516305929606dd18

HOOK鉤子 - 鉤子函式說明

    通過SetWindowsHookEx方法安裝鉤子,該函式指定處理攔截訊息的鉤子函式(回撥函式),可在鉤子函式中自定義訊息的處理,可修改訊息或遮蔽訊息。鉤子函式的格式是固定為: LRESULT CALLBACK CallBackProc(   

jQuery 2.0.3 原始碼分析 鉤子機制

jQuery提供了一些快捷函式來對dom物件的屬性進行存取操作. 這一部分還是比較簡單的. 根據API這章主要是分解5個方法 .attr()   獲取匹配的元素集合中的第一個元素的屬性的值  或 設定每一個匹配元素的一個或多個屬性。 .prop() 獲取匹配的元素集

Windows的訊息機制要點

執行緒B收到了執行緒A發來的訊息,並進行處理, 在處理過程中,B也向執行緒A SendMessgae,然後等待從A返回。 因為此時, 執行緒A正等待從執行緒B返回, 無法處理B發來的訊息, 從而導致了執行緒A,B相互等待, 形成死鎖。多個執行緒也可以形成環形死鎖。 可以使用 SendNotifyMessage

(Windows程式設計)Windows的訊息機制(訊息的結構、型別)

       Windows應用程式是以訊息為基礎、以事件為驅動的應用程式。當應用程式在執行時,會不斷地等待作業系統傳送給自身的訊息(while迴圈),然後根據不同的訊息進行相應的處理。這裡的訊息實際

這是轉載的 java反射機制與原理,原作者講解的相對很通俗易懂

轉自這裡 Java的反射機制是Java特性之一,反射機制是構建框架技術的基礎所在。靈活掌握Java反射機制,對大家以後學習框架技術有很大的幫助。 那麼什麼是Java的反射呢?        大

漫談相容核心之十二:Windows的APC機制

前兩篇漫談中講到,除ntdll.dll外,在啟動一個新程序執行時,PE格式DLL映像的裝入和動態連線是由ntdll.dll中的函式LdrInitializeThunk()作為APC函式執行而完成的。這就牽涉到了Windows的APC機制,APC是“非同步過程呼叫(Asyn

VC程式設計Windows訊息處理機制、阻塞試驗、SetTimer、MessageBox、小心訊息響應處理函式

VC6標準WIN32程式,Windows訊息處理機制: 1.在註冊視窗類時,指定了訊息處理函式WndProc()。 2.WinMain()裡有訊息迴圈:     while (GetMessage(&msg, NULL, 0, 0))     {    

HOOK鉤子技術3 IATHook

原理 如果程式中使用了靜態連結庫檔案,那麼PE檔案中就會有關於這些函式的匯入表的存在,程式通過呼叫IAT表來定位函式地址從而實現呼叫。如果將這些已經確定好的函式地址給替換成為惡意函式地址,那麼就會欺騙 程式執行惡意函式。 編碼測試 IDE: