首页 > 代码库 > HOOK编程流程
HOOK编程流程
一、安装钩子过程
HHOOK SetWindowsHookEx(
int idHook,
HOOKPROC lpfn,
HINSTANCE hMod,
DWORD dwThreadId
);
idHook:指定将要安装的钩子过程的类型,包括:
WH_CALLWNDPROC --在操作系统将消息发送到目标窗口处理过程之前,对该消息进行监视
WH_CALLWNDPROCRET --对已被目标窗口过程处理过了的消息进行监视
WH_CBT --接受对CBT应用程序有用的消息
WH_DEBUG --对其他钩子过程进行调试
WH_FOREGROUNDIDLE --当应用程序的前台线程即将进入空闲状态时被调用,有助于在空闲时间内执行低优先级的任务
WH_GETMESSAGE --对发送到消息队列的消息进行监视
WH_JOURNALPLAYBACK --对此前由WH_JOURNALRECORD钩子过程记录的消息进行发送
WH_JOURNALRECORD --对发送到系统消息队列的输入消息进行记录
WH_KEYBOARD --对键盘按键消息进行监视
WH_KEYBOARD_LL --此钩子过程只能在WindowNT中安装,用来对底层的键盘输入事件进行监视
WH_MOUSE --对鼠标消息进行监视
WH_MOUSE_LL --此钩子过程只能在WindowNT中安装,用来对底层的鼠标输入事件进行监视
WH_MSGFILTER --监视由对话框、消息框、菜单条或滚动条中的输入事件引发的消息
WH_SHELL --接受对外壳应用程序有用的通知
WH_SYSMSGFILTER --监视由对话框、消息框、菜单条或滚动条中的输入事件引发的消息;该钩子过程对系统中所有应用程序的这类消息都进行监视
lpfn:指向相应的钩子过程;如果参数dwThreadId为0或者指定了一个其他进程创建的线程之标识符,则参数lpfn必须指向一个位于某动态链接库中的钩子过程;否则参数lpfn可以指向当前进程相关的代码中定义的一个钩子过程;
hMod:指定参数lpfn指向的钩子过程所在的DLL的句柄;如果参数dwThreadId指定的线程由当前进程创建,并且相应的钩子过程定义于与当前进程相关的代码中,则必须将参数hMod设为NULL;
dwThreadId:指定与钩子过程相关的线程标识;如果为0,则安装的钩子过程将与桌面上运行的所有线程都相关;
返回值:函数调用成功返回所安装的钩子过程的句柄,调用失败返回NULL;
二、安装鼠标钩子,监视鼠标消息
LRESULT CALLBACK MouseProc(
int nCode,
WPARAM wParam,
LPARAM lParam
);
nCode:确定钩子过程如何处理当前消息,包括:
HC_ACTION --表明参数wParam和lParam包含了关于鼠标消息的信息
HC_NOREMOVE --表明参数wParam和lParam包含了关于鼠标消息的信息,而且此鼠标消息尚未从消息队列中删除(程序调用了PeekMessage函数并设置了PM_NOREMOVE标志)
wParam:指示鼠标消息的标识;
lParam:指向MOUSEHOOKSTRUCT结构体指针;
LRESULT CALLBACK MouseProc( int nCode, WPARAM wParam, LPARAM lParam) { return 1; } . . . HHOOK g_hMouse=NULL; . . . g_hMouse=SetWindowsHookEx(WH_MOUSE,MouseProc,NULL,GetCurrentThreadId());
三、安装键盘钩子
LRESULT CALLBACK KeyboardProc(
int code,
WPARAM wParam,
LPARAM lParam
);
nCode:确定钩子过程如何处理当前消息,包括:
HC_ACTION --表明参数wParam和lParam包含了关于键盘消息的信息
HC_NOREMOVE --表明参数wParam和lParam包含了关于键盘消息的信息,而且此键盘消息尚未从消息队列中删除(程序调用了PeekMessage函数并设置了PM_NOREMOVE标志)
wParam:产生当前按键消息的键盘按键的虚拟键代码(“VK_”开头,如VK_SPACE);
lParam:一个32位的整数,用来指定按键重复的次数、扫描码、扩展键标记、上下文代码等标记,包括:
0~15位:指示重复次数,此值记录了由于用户连续按键引发的按键重复次数
16~23位:指示扫描码,此值依赖于键盘生产厂家
第24位:指示当前按键是否是功能键或数字小键盘上的键;如果是,其值为1
25~28位:保留未用
第29位:上下文代码,如果Alt键被按下,其值为1,否则为0
第30位:指示当前的键状态,如果在此消息被发送之前该键是按下的,其值为1,否则为0
第31位:指示变化状态,如果此键正在被按下,则其值为0
LRESULT CALLBACK KeyboardProc( int code, WPARAM wParam, LPARAM lParam) { if(VK_F1==wParam){ //按F1程序退出 ::SendMessage(g_hWnd,WM_CLOSE,0,0); UnhookWindowsHookEx(g_hKeyboard); //从钩子链中移走已安装的钩子 UnhookWindowsHookEx(g_hMouse); }else if( VK_F4==wParam || (1==(lParam>>29 & 1))){ return 1; //屏蔽Alt+F4的功能 }else{ return CallNextHookEx(g_hKeyboard,code,wParam,lParam); } } . . . HHOOK g_hKeyboard=NULL; . . . g_hKeyboard=SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,NULL,GetCurrentThreadId());
四、把钩子信息传递给钩子链中下一个等待接收信息的钩子过程
LRESULT CallNextHookEx(
HHOOK hhk,
int nCode,
WPARAM wParam,
LPARAM lParam
);
hhk:指定当前钩子过程句柄,即SetWindowsHookEx函数的返回值;
nCode:确定钩子过程如何处理当前消息,包括:
HC_ACTION
HC_NOREMOVE
wParam:指示消息的标识;
lParam:指向结构体指针;
五、移除已安装的钩子过程
BOOL UnhookWindowsHookEx( HHOOK hhk );
六、全局钩子
如果要屏蔽当前正在运行的所有进程的鼠标消息和键盘消息,则安装钩子过程的SetWindowsHookEx函数代码必须放到动态链接库中实现,且将SetWindowsHookEx函数的第三个参数指定为安装钩子过程所在的DLL的句柄,将第四个参数设为0;
HOOK编程流程