Winapi的15个消息钩子的含义是什么?
需要使用到WindowsAPI中的两个函数:
一. HHOOK SetWindowsHookEx(
int idHook, //要安装的钩子类型 (参考下面的IdHook取值)
HOOKPROC lpfn, //钩子过程的指针 ,也即拦截到指定系统消息后的预处理过程,须定义在DLL中,
HINSTANCE hMod, //应用程序实例的句柄 如果是全局钩子, hInstance是DLL句柄(DllMain中给的模块地址。就是包含HookProc的动态库加载地址。否则给0就可以了,即勾自己。
DWORD dwThreadId; //要安装钩子的线程ID ,指定被监视的线程,如果明确指定了某个线程的ID就只监视该线程,此时的钩子即为线程钩子;如果该参数被设置为0,则表示此钩子为监视系统所有线程的全局钩子。);
其中idHook参数可以取如下常量:
WH_CALLWNDPROC //窗口钩子,当系统向目标窗口发送消息时将触发此钩子
WH_CALLWNDPROCRET //窗口钩子,当窗口处理完消息后将触发此钩子
WH_CBT //当Windows激活、产生、释放(关闭)、最小化、最大化或改变窗口时都将触发此事件
WH_DEBUG //调试钩子
WH_GETMESSAGE //当往消息队列中增加一个消息时将触发此钩子
WH_JOURNALPLAYBACK //回放钩子,可以用于播放已记录的鼠标和键盘的操作
WH_JOURNALRECORD //记录钩子,可以用于记录鼠标和键盘的操作,木马程序可以使用此钩子窃取受控方在屏幕中敲入的密码
WH_KEYBOARD //当敲击键盘时将触发此钩子
WH_MOUSE //当有鼠标操作时将触发此钩子
WH_MSGFILTER //消息过滤钩子
WH_SHELL //Shell钩子
WH_SYSMSGFILTER //系统消息过滤钩子
使用WH_CBT系统级钩子,当Windows激活、产生、释放(关闭)、最小化、最大化或改变窗口时都将触发此事件,我们在自定义消息函数中只处理关闭窗口的消息,在自定义的钩子函数若返回0则允许对窗体的操作,返回1则阻止窗口最大化、最小化等操作。另外此钩子必须使用动态链接库(dll)也就是钩子函数必须写在DLL里。
消息钩子的介绍
钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。 钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,鼠标钩子可以截获鼠标消息,外壳钩子可以截获启动和关闭应用程序的消息,日志钩子可以监视和记录输入事件。
消息钩子的VB中的Hook技术应用
Hook简介Hook这个东西有时令人又爱又怕,Hook是用来拦截系统某些讯息之用,例如说,我们想让系统不管在什么地方只要按个Ctl-B便执行NotePad,或许您会使用Form的KeyPreview,设定为True,但在其他Process中按Ctl-B呢?那就没有用,这是就得设一个KeyboardHook来拦截所有Key in的键;再如:MouseMove的Event只在该Form或Control上有效,如果希望在Form的外面也能得知Mouse Move的讯息,那只好使用Mouse Hook来栏截Mouse的讯息。再如:您想记录方才使用者的所有键盘动作或Mosue动作,以便录巨集,那就使用JournalRecordHook,如果想停止所有Mosue键盘的动作,而放(执行)巨集,那就使用JournalPlayBack Hook;Hook呢,可以是整个系统为范围(Remote Hook),即其他Process的动作您也可以拦截,也可以是LocalHook,它的拦截范围只有Process本身。Remote Hook的Hook Function要在.Dll之中,Local Hook则在.Bas中。在VB如何设定Hook呢?使用SetWindowsHookEx()Declare Function SetWindowsHookEx Lib 'user32' Alias 'SetWindowsHookExA' _(ByVal idHook As Long, _ByVal lpfn As Long, _ByVal hmod As Long, _ByVal dwThreadId As Long) As LongidHook代表是何种Hook,有以下几种Public Const WH_CALLWNDPROC = 4Public Const WH_CALLWNDPROCRET = 12Public Const WH_CBT = 5Public Const WH_DEBUG = 9Public Const WH_FOREGROUNDIDLE = 11Public Const WH_GETMESSAGE = 3Public Const WH_HARDWARE = 8Public Const WH_JOURNALPLAYBACK = 1Public Const WH_JOURNALRECORD = 0Public Const WH_KEYBOARD = 2Public Const WH_MOUSE = 7Public Const WH_MSGFILTER = (-1)Public Const WH_SHELL = 10Public Const WH_SYSMSGFILTER = 6WH_CALLWNDPROC 当调用SendMessage时WH_CALLWNDPROCRET 当SendMessage的调用返回时WH_GETMESSAGE 当调用GetMessage 或 PeekMessage时WH_KEYBOARD 当调用GetMessage 或 PeekMessage 来从消息队列中查询WM_KEYUP 或 WM_KEYDOWN 消息时WH_MOUSE 当调用GetMessage 或 PeekMessage 来从消息队列中查询鼠标事件消息时WH_HARDWARE 当调用GetMessage 或 PeekMessage 来从消息队列种查询非鼠标、键盘消息时WH_MSGFILTER 当对话框、菜单或滚动条要处理一个消息时。该钩子是局部的。它时为那些有自己的消息处理过程的控件对象设计的。WH_SYSMSGFILTER 和WH_MSGFILTER一样,只不过是系统范围的WH_JOURNALRECORD 当WINDOWS从硬件队列中获得消息时WH_JOURNALPLAYBACK 当一个事件从系统的硬件输入队列中被请求时WH_SHELL 当关于WINDOWS外壳事件发生时,譬如任务条需要重画它的按钮.WH_CBT 当基于计算机的训练(CBT)事件发生时WH_FOREGROUNDIDLE 由WINDOWS自己使用,一般的应用程序很少使用WH_DEBUG 用来给钩子函数除错lpfn代表Hook Function所在的Address,这是一个CallBack Fucnction,当挂上某个Hook时,我们便得定义一个Function来当作某个讯息产生时,来处理它的Function,这个Hook Function有一定的叁数格式Private Function HookFunc(ByVal ncode As Long, _ByVal wParam As Long, _ ByVal lParam As Long) As LongnCode 代表是什么请况之下所产生的Hook,随Hook的不同而有不同组的可能值wParam lParam 传回值则随Hook的种类和nCode的值之不同而不同。因这个叁数是一个 Function的Address所以我们固定将Hook Function放在.Bas中,并以AddressOf HookFunc传入。至于Hook Function的名称我们可以任意给定,不一定叫 HookFunchmod 代表.DLL的hInstance,如果是Local Hook,该值可以是Null(VB中可传0进去),而如果是Remote Hook,则可以使用GetModuleHandle('.dll名称')来传入。dwThreadId 代表执行这个Hook的ThreadId,如果不设定是那个Thread来做,则传0(所以一般来说,Remote Hook传0进去),而VB的Local Hook一般可传App.ThreadId进去值回值如果SetWindowsHookEx()成功,它会传回一个值,代表目前的Hook的Handle,这个值要记录下来。因为A程式可以有一个System Hook(Remote Hook),如KeyBoard Hook,而B程式也来设一个Remote的KeyBoard Hook,那么到底KeyBoard的讯息谁所拦截?答案是,最后的那一个所拦截,也就是说A先做keyboard Hook,而后B才做,那讯息被B拦截,那A呢?就看B的Hook Function如何做。如果B想让A的Hook Function也得这个讯息,那B就得呼叫CallNextHookEx()将这讯息Pass给A,于是产生Hook的一个连线。如果B中不想Pass这讯息给A,那就不要呼叫CallNextHookEx()。Declare Function CallNextHookEx Lib 'user32' _(ByVal hHook As Long, _ByVal ncode As Long, _ByVal wParam As Long, _lParam As Any) As LonghHook值是SetWindowsHookEx()的传回值,nCode, wParam, lParam则是Hook Procedure中的三个叁数。最后是将这Hook去除掉,请呼叫UnHookWindowHookEx()Declare FunctionUnhookWindowsHookExLib 'user32' (ByVal hHook As Long) As LonghHook便是SetWindowsHookEx()的传回值。此时,以上例来说,B程式结束Hook,则换A可以直接拦截讯息。KeyBoard Hook的范例Hook Function的三个叁数nCode wParam lParam 传回值HC_ACTION 表按键Virtual Key 与WM_KEYDOWN同 若讯息要被处理传0或 反之传1HC_NOREMOVEPublic hHook As LongPublic Sub UnHookKBD()If hnexthookproc <;>; 0 ThenUnhookWindowsHookExhHookhHook = 0End IfEnd SubPublic Function EnableKBDHook()If hHook <;>; 0 ThenExit FunctionEnd IfhHook = SetWindowsHookEx(WH_KEYBOARD, AddressOf MyKBHFunc, App.hInstance, App.ThreadID)End FunctionPublic Function MyKBHFunc(ByVal iCode As Long, ByVal wParam As Long, ByVal lParam As Long) As LongMyKBHFunc = 0 '表示要处理这个讯息If wParam = vbKeySnapshot Then '侦测 有没有按到PrintScreen键MyKBHFunc = 1 '在这个Hook便吃掉这个讯息End IfCall CallNextHookEx(hHook, iCode, wParam, lParam) '传给下一个HookEnd Function只要将上面代码放在VB的模块中,用标准VB程序就可以了,当运行该程序后,就能拦截所有键盘操作。
浅谈VB.NET中的跨进程消息钩子
我们都知道在VB 里面可以用API函数来进行子类化 以处理自身的窗体过程 如果跨进程 这就麻烦了 由于我们的函数在我们的进程中(废话) 而目标进程的窗口的消息处理函数在目标进程(还是废话) 所以只能想办法把我们的代码放到对方进程中去执行——并且要告知我们的进程得到了什么消息 恐怕写汇编就有点吓人了 于是大家都写DLL 其原理就是把回调函数放到一个DLL里面注入到对方进程 DLL去修改目标窗口的默认处理函数——把消息发送给我们 当然也有 另类 一点的 /ThueDownloads/index s上面有一个DLL包 其中含有一个dssubcls dll 用它 可以轻松的完成我们的工作 就像调用一个API一样简单 而且在我们的程序中使用回调函数!呵呵 省去了自己写DLL的麻烦之后 这些好处足以吸引各位观众了吧? 好了 VB 的代码大家可以在下载的压缩包中找到 作者提供了一个以记事本为基础的实例(在\dssubcls目录下) 非常详细无需详细叙述了 关键是在VB NET里面如何使用它——如何声明API 如何进行回调 看用来子类化的API的VB 声明先 Declare Function SubClass& Lib dssubcls (ByVal HwndSubclass& _Optional ByVal Address& = _Optional ByVal OldStyle& = _Optional ByVal NewStyle& = _Optional ByVal Ext& = _Optional ByVal SubClass& = )转化成VB NET的声明类似下面的样子(习惯使然 我把&展开成了As Integer) Declare Function SubClass Lib dssubcls (ByVal HwndSubclass As Integer Optional ByVal Address As Integer = Optional ByVal OldStyle As Integer = Optional ByVal NewStyle As Integer = Optional ByVal Ext As Integer = Optional ByVal SubClass As Integer = ) As Integer 这不是很好嘛?问题来了 这样的声明在VB 里面可以使用Addressof function来传入第二个参数(参见你下载的源码) 但是在VB NET里面直接Addressof就不成了——我们需要委托一个回调 Private Delegate Function HookCallBack(ByVal wMsg As Integer ByVal wParam As Integer ByVal lParam As Integer) As Integer 这个委托 对应的是以下函数 Private Function mCallback(ByVal wMsg As Integer ByVal wParam As Integer ByVal lParam As Integer) As Integer 在这里处理得到的消息 End Function 使用时 需要注意先实例化这个委托 Private fix_COCD = New HookCallBack(AddressOf mCallback) 此时 fix_COCD就是我们的mCallback函数引用了 用更直观的观点来看 fix_COCD就是一个指向mCallback的指针 相当于VB 里面的Addressof function得到的结果 看似问题解决了 于是我们写了以下代码来搞对方的进程窗体消息 SubClass(Handle fix_COCD ) 修改处理函数 问题真是接踵而至!IDE提示变量类型不符!!事实确实如此 我们把一个HookCallBack类型当做Integer来传递 无法通过检查 那么强行转换吧?当然 你可以去试试 这时 我所做的是 修改这个API声明 Private Declare Function SubClass Lib dssubcls (ByVal HwndSubclass As Integer Optional ByVal Address As HookCallBack = Nothing Optional ByVal OldStyle As Integer = Optional ByVal NewStyle As Integer = Optional ByVal Ext As Integer = Optional ByVal SubClass As Integer = ) As Integet 使之符合我们的调用?有点倒行逆施?并非如此 当你习惯了修改API声明之后 会发现有些事变得如此简单 有些事需要你重新认识——对于WIN API也是如此 至此 大功告成 较为完整的代码如下 CodePrivate Declare Function SubClass Lib dssubcls (ByVal HwndSubclass As Integer Optional ByVal Address As HookCallBack = Nothing Optional ByVal OldStyle As Integer = Optional ByVal NewStyle As Integer = Optional ByVal Ext As Integer = Optional ByVal SubClass As Integer = ) As IntegerPrivate Declare Function UseSendMessage Lib dssubcls (ByVal use As Integer) As Integer 实例化的委托Private fix_COCD = New HookCallBack(AddressOf mCallback) 委托Private Delegate Function HookCallBack(ByVal wMsg As Integer ByVal wParam As Integer ByVal lParam As Integer) As IntegerPublic Sub Hook(ByVal Handle As Integer)proc = SubClass(Handle fix_COCD ) 修改处理函数UseSendMessage( )End Sub Private Function mCallback(ByVal wMsg As Integer ByVal wParam As Integer ByVal lParam As Integer) As Integer End Function 用这个代码的时候 可能会碰见一些 意外情况 例如wm_datacopy 此时 我们需要进一步去获取LPARTM所指向的结构并对其进行解析(我们要读的是对方窗口所在进程的内存 具体地址由lParam确定——实际上lParam一直是一个指针——IntPrt 但它与Integer完全就是一回事(如果你使用VB 可能需要使用Intprt toint 或intprt=new intprt(integer)这些) CodePublic Class GetMsgPublic Declare Function ReadProcessMemory Lib kernel (ByVal hProcess As Integer ByVal lpBaseAddress As Integer ByVal lpBuffer() As Byte ByVal nSize As Integer ByRef lpNumberOfBytesWritten As Integer) As IntegerPublic Declare Function ReadProcessMemory Lib kernel (ByVal hProcess As Integer ByVal lpBaseAddress As Integer ByRef int As Integer ByVal nSize As Integer ByRef lpNumberOfBytesWritten As Integer) As IntegerPublic Declare Function OpenProcess Lib kernel (ByVal dwDesiredAccess As Integer ByVal bInheritHandle As Integer ByVal dwProcessId As Integer) As IntegerPublic Declare Function CloseHandle Lib kernel (ByVal hObject As Integer) As IntegerPrivate hProc As IntPtrSub New(ByVal PID As Integer)hProc = OpenProcess(&HFFFF False PID)End Sub Function readmsg(ByVal address As Integer) As Byte()Dim buf( ) As ByteReadProcessMemory(hProc address buf )Return bufEnd Function Protected Overrides Sub Finalize()CloseHandle(hProc)MyBase Finalize()End SubEnd Class这个类提供了Readmsg方法来读取一些内容——但这并不是完整的 我们知道 LPARAM指向的结构是这样的 _Public Structure COPYDATASTRUCTPublic dwData As IntegerPublic cbData As IntegerPublic lpData As IntPtrEnd Structure 其中dwData我们不是很关心 当然其中也可能存在一些有用信息(这里不想多说 网上有些文章纯属误导) 而cbData是一个长度 lpData的长度 lpData这里被声明为指针 看起来更直观了——它就是地址 有了地址和长度 如何读取代码就自己写吧 提示一下 参考我重载的ReadProcessMemory可能对你有不少帮助 当然 上面提到的只是 特殊情况 中的一个典型 还有很多时候 进程是用自定义消息(>&H A)来传递数据的 例如我所开发的这个工程 打印mCallBack的参数后 得到的是如下结果(十六进制 只提取了有用的信息) D 其中lParam就是一个指针 我读了其中的一部分 Function readmsg(ByVal address As Integer) As Byte()Dim buf( ) As ByteReadProcessMemory(hProc address buf )Return bufEnd Function 现在就明白为什么上面的代码是那样了 ) 然后进行了一个处理 得到了我想要的信息 消息解码后得到的移动棋子信息 玩家 起X 起Y 止X 止Y 棋子编号 走棋总步数Event Move(ByVal player As Byte ByVal sx As Byte ByVal sy As Byte ByVal dx As Byte ByVal dy As Byte ByVal name As Byte ByVal [step] As Byte)Private Function mCallback(ByVal wMsg As Integer ByVal wParam As Integer ByVal lParam As Integer) As IntegerIf wParam = &H ThenDim s As Byte() = msg readmsg(lParam)RaiseEvent Move(s( ) s( ) s( ) s( ) s( ) s( ) s( ))End IfEnd Function 当然 在我的工程里面重载的ReadProcessMemory并没有被使用 补充一下咯 在VB NET中 处理自己的窗体的消息只需要重载窗体消息处理过程就可以了 无需子类化 ) 有补充一下 lishixinzhi/Article/program/net/201311/12647
消息钩子的Hook的应用模式
最为常用,像Windows提供的SetWindowHook就是典型地为这类应用准备的。而且这也是最普遍的用法。这个模式的特点是,在事情发生的时候,发出一个通知信息。观察者只可以查看过程中的信息,根据自己关心的内容处理自己的业务,但是不可以更改原来的流程。如全局钩子中,经常使用的鼠标消息、键盘消息的监视等应用。金山词霸屏幕取词的功能是一个典型的应用(具体技术可以参考此类文章)。 这个模式和观察模式最大的不一样的地方在于,注入的代码是为了扩展原始代码的功能业务。插件模式是此类模式的典型案例。不管瘦核心的插件系统(如Eclipse)还是胖核心的插件系统(如Delphi、Visual Studio等IDE环境),其对外提供的插件接口都是为了扩展本身系统的功能的。这种扩展的应用方式的典型特点,就是新的扩展代码和原来的代码会协调处理同类业务。 如果针对应用目的不同,可以叫修复模式或破解模式。前者是为了修改系统中的BUG,后者是为了破解原有系统的限制。很多黑客使用此种模式,将访问加密锁的DLL中的导出表,替换成自己的函数,这样跳过对软件的控制代码。这类应用的难点是,找出函数的参数。这类模式的特点是,原有的代码会被新的代码所替换。前面三个是基本模式,还有很多和实际应用相关的模式。 此类模式的出现,大都是为了在全部系统中,统一处理某类事情。它的特点不在于注入的方式,而在于处理的模式。这个模式,大都应用到某类服务上,比如键盘服务,鼠标服务,打印机服务等等特定服务上。通过统一接管此类服务的访问,限制或者协调对服务的访问。比如键盘锁功能的实现,就是暂时关闭键盘的所有应用。这类模式的特点主要会和特点服务有关联。 这类应用中,经常是为了获取对方的数据。必然我希望获取对方系统中,所有字符串的值。可以通过替换对方的内存管理器,导出所有字符串。这个应用比较特殊。不过其特点在于,目的是达到系统之间的数据共享。其实现,可能是观察模式,也可能是替换模式。
VB如何实现线程钩子
Windows的钩子函数分两种,一种是全局的,一种是线程的。全局的钩子函数可以捕获任何应用程序的消息,但必须是标准的DLL才能实现,VB做不了。VB可以实现线程的,就是当前应用程序的消息,这对鼠标消息的捕捉有影响。
SetWindowsHookEx定义如下:
Declare Function SetWindowsHookEx Lib "user32" Alias "SetWindowsHookExA" (ByVal idHook As Long, ByVal lpfn As Long, ByVal hmod As Long, ByVal dwThreadId As Long) As Long
idHook是钩子类型,如WH_KEYBOARD捕捉键盘消息,而WH_MOUSE捕捉鼠标消息。hmod用于全局钩子,VB要实现钩子,必须设为0。dwThreadId用于线程钩子VB中可以设置为App.ThreadID。lpfn为钩子函数,在VB中可以使用AddressOf获得钩子函数的地址。这个函数因为钩子类型不同而有所不同。如键盘钩子为:
Public Function KeyboardProc(ByVal nCode As Long, _
ByVal wParam As Long, _
ByVal lParam As Long) As Long
如果Code不为0,钩子函数必须调用CallNextHookEx,将消息传递给下面的钩子。wParam和lParam不是按键。
可以到这里看看:http://nhzzljp.vicp.net/Article/show.asp?id=110
钩子程序到底是什么?
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。
钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控
制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
钩子也可以理解为WINDOWS留给我们的后门,比如你想控制键盘,在DOS时代很简单通过INT即可,而WINDOWS时代不允许我们直接操作硬件;由于WINDOWS是消息驱动,所以我们可以拦截键盘消息以达到控制键盘的目的。但是控制自己进程的消息固然很简单,要控制所有进程消息要利用钩子了。将钩子函数放在DLL中,所有的有关键盘的消息都必须经过钩子函数过滤,这样你就可以为所欲为了。
WINDOWS下的钩子程序就像DOS下的TSR(内存驻留程序)一样,用来截获WINDOWS下的
特定的消息,进行相应的处理。比如可以截获键盘输入的消息,来获得键盘输入的信息等。钩子程序可以通过API调用来驻留和脱钩。
