关于钩子程序和屏幕取词的一些资料.doc

关于钩子程序和屏幕取词的一些资料 屏幕抓词（或者叫动态翻译）是指随着鼠标的移动，软件能够随时获知屏幕上鼠标位置的单词或汉字，并翻译出来提示用户。它对於上网浏览、在线阅读外文文章等很有帮助作用，因此许多词典软件都提供了屏幕抓词功能。 屏幕抓词的关键是如何获得鼠标位置的字符串，Windows的动态链接和消息响应机制为之提供了实现途径。 概括地说，主要通过下面的几个步骤来取得屏幕上鼠标位置的字符串： 符串： . 代码拦截：Windows以DLL方式提供系统服务，可以方便地获取Windows字符输出API的地址，修改其入口代码，拦截应用程序对它们的调用。 . 鼠标HOOK：安装WH-MOUSEPROC类型的全局鼠标HOOK过程，监视鼠标在整个屏幕上的移动。 . 屏幕刷新：使鼠标周围一块区域无效，并强制鼠标位置的窗口刷新屏幕输出。窗口过程响应WM-NCPAINT和WM-PAINT消息，调用 ExtTextOut/TextOut等字符输出API更新无效区域里面的字符串。这些调用被我们截获，从堆栈里取得窗口过程传给字符API的参数，如字 符串地址、长度、输出坐标、HDC、裁剪区等信息。 2Windows 95/98的字符输出方法 Windows95/98不是一个纯32位的操作系统，它从16位操作系统发展而来，为了保持兼容，其内部仍然是32位和16位代码的混合体。系统通 过gdi.exe 、user.exe和krnl386.exe提供16位API，供16位程序调用；通过gdi32.dll、user32.dll和 kernel32.dll提归结如下： 图1Windows 95/98的字符输出机制 . 16位程序通过16位gdi.exe的ExtTextOut/TextOut函数输出字符； . 32位程序通过gdi32.dll的ExtTextOutA/TextOutA输出ANSI格式的字符，通过ExtTextOutW/TextOutW输出UNICODE格式的字符； . 32位的ExtTextOutA/TextOutA转换到16位的ExtTextOut/TextOut，完成ANSI格式字符的输出； . 32位的ExtTextOutW/TextOutW转换到16位gdi.exe的两个未公开API，完成UNICODE格式字符的输出。为方便叙述，本文对这两个未公开API称为ExtTextOut16W和TextOut16W。 t16W。 因此，只要拦截四个16位函数：TextOut、ExtTextOut、TextOut16W和ExtTextOut16W，就能截获32位和16位应用程序的所有字符串输出。 3拦截字符输出API 3.1代码拦截的基本思路 为了实现对ExtTextOut/TextOut等API的拦截，需要在函数入口放入一条动态生成的JMP指令，JMP 的操作数是我们提供的一个拦截替代函数的地址。当该API被调用时，JMP指令首先执行，跳转到替代函数。替代函数负责从堆栈中获取参数，计算字符串坐 标，分出鼠标位置的单词等工作。执行完成后，替代函数再调用原来的被拦截函数，完成正常的字符输出，然后返回。 图2表明了应用程序对TextOut的正常调用流程和TextOut被拦截后的流程。 a) 程序调用TextOut； 从TextOut返回程序。 程序调用TextOut(其入口已经被修改)； 转入拦截替代函数myTextOut; 从myTextOut调用原来的TextOut; 从TextOut返回myTextOut; 从myTextOut返回程序。 图2对TextOut的正常调用流程 和TextOut被拦截后的流程 3.2提供拦截替代函数 拦截替代函数插入被拦截API的流程中执行，需要有相同的参数和返回值原型。以对拦截替代函数插入被拦截API的流程中执行，需要有相同的参数和返回值原型。以对TextOut的拦截为例，下面是替代函数myTextOut的伪代码： BOOL myTextOut(HDC hdc,int x,int y,LPSTR lpstr,int cbstr) DoSpy(hDC,x ,y,lpstr,cbstr); /保存参数，作抓词的所有工作 RestoreCode();/恢复TextOut入口原来的指令 TextOut(hDC,x,y,lpstr,cbstr);/调用原来的API SpyCode();/再次放入JMP指令 return TRUE; 函数首先调用DoSpy()来作抓词的具体工作，然后RestoreCode()函数恢复被拦截函 数入口的代码，再调用TextOut()执行正常的字符输出，接下来SpyCode()在被拦截函数 入口再次放入JMP指令，最后返回调用进程。 3.3获取被拦截API的动态链接地址 TextOut和ExtTextOut的地址可以通过GetProcAddress取得，而TextOut16W和ExtTextOut16W既未公 开于文档，也没有用字符串或序号从gdi.exe中引出，无法使用GetProcAddress取得它们的地址。下面讨论如何解决这个问题。 第一种方法：用softICE可以跟踪发现，ExtTextOut16W位于公开函数GetTextMetrics 入口的偏移20H处，TextOut16W位于GetTextMetrics的偏移7CH处。所以可以先取得GetTextMetrics的地址，再分别 在加上20H和7CH，就是ExtTextOutW和TextOutW的地址。 第二种方法：从指令里面析出地址。 第二种方法：从指令里面析出地址。 Windows 95/98维持一个DWORD类型的数组，称为32位-16位替换表，表中每个元素存 放了一个Win32 API对应的16位API的段：偏移地址。需要转入16位运行的Win32API使用 不同的索引来从该表格里面取目的地址。ExtTextOutW和TextOutW分别使用索引B2H和30 H，取表中相应元素作为ExtTextOut16W和TextOut16W的地址。取得这个数组的起始位置 ，根据索引号即可找到16位函数的地址。由于这个数组是一个重定位项，在内存的地址 不固定，所以需要从指令流里面动态析出它的地址。 3.4动态生成JMP指令 动态生成的JMP指令占用5个字节，保存在一个数组里面。以生成跳转到TextOut的替 代函数myTextOut的JMP指令为例： BYTE ins5; /保存JMP指令 ins0 = 0xea; /操作码:1 byte *(WORD *)(ins+1) = FP-OFF(myTextOut); /操作数:2byte的偏移 *(WORD *)(ins+3) = FP-SEG(myTextOut); /操作数:2byte的段 3.5修改被拦截函数的入口 Windows运行在保护模式下，16位进程采用了段保护机制，代码段描述符的属性被标记为只读。如果直接向被拦截函数的入口写入JMP指令，会引起CPU保护错误，因此在修改代码前要采用下面的方法绕过段保护机制： . 获取GDI代码段的基地址和界限； . 用当前DS复制一个新的段选择子，该选择子的描述符具有可读写的属性； . 将复制得到的选择子的基地址和界限设置为GDI代码段的基地址和界限； . 将复制得到的选择子的基地址和界限设置为GDI代码段的基地址和界限； . 用新的选择子作为段，同被拦截API的偏移组合成一个新的地址。 这样就获得了一个指向被拦截代码的可写指针。先保存5字节内容，再将数组ins 复制到该地址，即完成对TextOut等API的拦截修改。 4使用HOOK监视鼠标移动 安装一个WH-MOUSEPROC类型的全局HOOK可以监视鼠标在全屏幕的移动。每当有鼠标事件产生，HOOK过程被调用，它判断出鼠标移动了后，就向主窗口发送消息，通知主窗口鼠标位置发生了变化。 主窗口收到消息后，设置定时器，监视鼠标在某一位置停留时间的长短。如果鼠标停留超过设定的时间，才启动抓词功能，否则抓词功能保持禁止状态。这样可以减少代码拦截对系统性能的影响。 全局HOOK过程需要放入DLL里面。 5刷新屏幕输出 预先创建一个小的工具窗口，当鼠标停留在某个位置超过设定时间后，使工具窗口在鼠标位置上显示一下，然后隐含掉，这样就会在目标窗口-鼠标位置的窗 口产生无效区域。然后调用UpdateWindow强制目标窗口刷新屏幕输出。在响应WM-PAINT /WM-N CPAINT中，目标窗口对字符输出API的调用将被我们截获和处理，完成一次抓词过程。 6其它 本文所介绍的Windows 95/98环境下屏幕抓词的原理和取得鼠标位置字符串的实现方法。对于进一步的探索，笔者提出下面的几点看法： . 只有通过响应WM-PAINT /WM-NCPAINT消息输出的字符串才会被捕捉到； . 有些软件（例如Internet Explorer）在刷新屏幕时，为了消除闪烁，不直接把字符串输出到屏幕DC，而是创建一个兼容的内存DC，先将字符串写到内存DC，再复制到效区域。 然后调用UpdateWindow强制目标窗口刷新屏幕输出。在响应WM-PAINT /WM-N屏幕上去。由于内存DC坐标和屏幕DC坐标的不同，不能直接依赖内存DC的坐标来计算字符串的屏幕位置； . 本文讨论的方法不适用于Windows NT下的抓词。Windows NT的系统功能完全由32位代码提供，NT下的抓词需要拦截Win32 API。其实现机制同在Windows 95/98下也不一样。在NT里，KERNEL、USER、GDI模块位於进程的私有地址空间内，所以需要使用HOOK来将拦截替代函数动态映射到不同的 被拦截进程的地址空间里面。而且由于控制台窗口禁止大多数HOOK，还需要创建远程线程来获取控制台窗口的字符输出。 屏幕上的文字大都是由gdi32.dll的以下几个函数显示的：TextOutA、TextOutW、ExtTextOutA、ExtTextOutW。实现屏幕抓词的关键就是截获对这些函数的调用，得到程序发给它们的参数。 我的方法有以下三个步骤： 一、得到鼠标的当前位置 通过SetWindowsHookEx实现。 二、向鼠标下的窗口发重画消息，让它调用系统函数重画 通过WindowFromPoint，ScreenToClient，InvalidateRect 实现。 三、截获对系统函数的调用，取得参数(以TextOutA为例) 1.仿照TextOutA作成自己的函数MyTextOutA，与TextOutA有相同参数和返回值，放在系统钩子所在的DLL里。 SysFunc1=(DWORD)GetProcAddress(GetModuleHandle(gdi32.dll),TextOutA); BOOL WINAPI MyTextOutA(HDC hdc, int nXStart, int nYStart, LPCSTR lpszString,int cbString) /输出lpszString的处理 return (FARPROC)SysFunc1)(hdc,nXStart,nYStart,lpszString,cbString); 2.由于系统鼠标钩子已经完成注入其它GUI进程的工作，我们不需要为注入再做工作。 如果你知道所有系统钩子的函数必须要在动态库里，就不会对注入感到奇怪。当进程隐式或显式调用一个动态库里的函数时，系统都要把这个动态库映射到 这个进程的虚拟地址空间里(以下简称地址空间)。这使得DLL成为进程的一部分，以这个进程的身份执行，使用这个进程的堆栈(见图1)。 图1 DLL映射到虚拟地址空间中 对系统钩子来说，系统自动将包含钩子回调函数的DLL映射到受钩子函数影响的所有进程的地址空间中，即将这个DLL注入了那些进程。 3.当包含钩子的DLL注入其它进程后，寻找映射到这个进程虚拟内存里的各个模块（EXE和DLL）的基地址。EXE和DLL被映射到虚拟内存空间的 什么地方是由它们的基地址决定的。它们的基地址是在链接时由链接器决定的。当你新建一个Win32工程时，VC链接器使用缺省的基地址 0x00400000。可以通过链接器的BASE选项改变模块的基地址。EXE通常被映射到虚拟内存的0x00400000处，DLL也随之有不同的基地 址，通常被映射到不同进程的相同的虚拟地址空间处。 如何知道EXE和DLL被映射到哪里了呢？ 在Win32中，HMODULE和HINSTANCE是相同的。它们就是相应模块被装入进程的虚拟内存空间的基地址。比如： HMODULE hmodule=GetModuleHandle(gdi32.dll); 返回的模块句柄强制转换为指针后，就是gdi32.dll被装入的基地址。 关于如何找到虚拟内存空间映射了哪些DLL？我用如下方式实现： while(VirtualQuery (base, mbi, sizeof (mbi)0) if(mbi.Type=MEM-IMAGE) ChangeFuncEntry(DWORD)mbi.BaseAddress,1); base=(DWORD)mbi.BaseAddressmbi.RegionSize; 4.得到模块的基地址后，根据PE文件的格式穷举这个模块的IMAGE-IMPORT-DESCRIPTOR数组，看是否引入了gdi32.dll。如是，则穷举IMAGE-THUNK-DATA数组，看是否引入了TextOutA函数。 5.如果找到，将其替换为相应的自己的函数。 系统将EXE和DLL原封不动映射到虚拟内存空间中，它们在内存中的结构与磁盘上的静态文件结构是一样的。即PE (Portable Executable) 文件格式。 所有对给定API函数的调用总是通过可执行文件的同一个地方转移。那就是一个模块(可以是EXE或DLL)的输入地址表(import address table)。那里有所有本模块调用的其它DLL的函数名及地址。对其它DLL的函数调用实际上只是跳转到输入地址表，由输入地址表再跳转到DLL真正的 函数入口。例如： 图2 对MessageBox()的调用跳转到输入地址表，从输入地址表再跳转到MessageBox函数 IMAGE-IMPORT-DESCRIPTOR和IMAGE-THUNK-DATA分别对应于DLL和函数。它们是PE文件的输入地址表的格式（数据结构参见winnt.h）。 BOOL ChangeFuncEntry(HMODULE hmodule) PIMAGE-DOS-HEADER pDOSHeader; PIMAGE-NT-HEADERS pNTHeader; PIMAGE-IMPORT-DESCRIPTOR pImportDesc; / get system functions and my functionsentry / pSysFunc1=(DWORD)GetProcAddress(GetModuleHandle(gdi32.dll),TextOutA); pMyFunc1= (DWORD)GetProcAddress(GetModuleHandle(hookdll.dll),MyTextOutA); pDOSHeader=(PIMAGE-DOS-HEADER)hmodule; if (IsBadReadPtr(hmodule, sizeof(PIMAGE-NT-HEADERS) return FALSE; if (pDOSHeadere-magic != IMAGE-DOS-SIGNATURE) return FALSE; pNTHeader=(PIMAGE-NT-HEADERS)(DWORD)pDOSHeader+(DWORD)pDOSHeadere-lfanew); if (pNTHeaderSignature != IMAGE-NT-SIGNATURE) return FALSE; pImportDesc = (PIMAGE-IMPORT-DESCRIPTOR)(DWORD)hmodule(DWORD)pNTHeaderOptionalHeader.DataDirectory IMAGE-DIRECTORY-ENTRY-IMPORT.VirtualAddress); if (pImportDesc = (PIMAGE-IMPORT-DESCRIPTOR)pNTHeader) return FALSE; while (pImportDescName) PIMAGE-THUNK-DATA pThunk; strcpy(buffer,(char )(DWORD)hmodule+(DWORD)pImportDescName); CharLower(buffer); if(strcmp(buffer,gdi32.dll) pImportDesc+; continue; else pThunk=(PIMAGE-THUNK-DATA)(DWORD)hmodule(DWORD)pImportDescFirstThunk); while (pThunku1.Function) if (pThunku1.Function) = pSysFunc1) VirtualProtect(LPVOID)(&pThunku1.Function), sizeof(DWORD),PAGE-EXECUTE-READWRITE,&dwProtect); (pThunku1.Function)=pMyFunc1; VirtualProtect(LPVOID)(&pThunku1.Function), sizeof(DWORD),dwProtect,&temp); pThunk+; return 1; 替换了输入地址表中TextOutA的入口为MyTextOutA后，截获系统函数调用的主要部分已经完成，当一个被注入进程调用TextOutA 时，其实调用的是MyTextOutA，只需在MyTextOutA中显示传进来的字符串，再交给TextOutA处理即可。 金山词霸抓词机理 - HOOK消息功能的使用 Win32全局钩子在VC5中的实现 Windows系统是建立在事件驱动的机制上的，说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口，用它可以截获并处理送给其他应用程序的消息，来完成普通应用程序难以实现的功能。钩子的种类很多，每种钩子可以截获并处理相应的消息，如键盘钩子可以截获键盘消息，外壳钩子可以截取、启动和关闭应用程序的消息等。本文在VC5编程环境下实现了一个简单的鼠标钩子程序，并对Win32全局钩子的运行机制、Win32 DLL的特点、VC5环境下的MFC DLL以及共享数据等相关知识进行了简单的阐述。 一Win32全局钩子的运行机制 钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先 得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。对每种类型的钩子由系统来维护一个 钩子链，最近安装的钩子放在链的开始，而最先安装的钩子放在最后，也就是后加入的先获得控制权。要实现Win32的系统钩子，必须调用SDK中的API函数SetWindowsHookEx来安装这个钩子函数，这个函数的原型是HHOOK SetWindowsHookEx(int idHook,HOOKPROC lpfn,HINSTANCE hMod,DWORD dwThreadId);，其中，第一个参数是钩子的类型；第二个参数是钩子函数的地址；第三个参数是包含钩子函数的模块句柄；第四个参数指定监视的线程。如果指定确定的线程，即为线程专用钩子；如果指定为空，即为全局钩子。其中，全局钩子函数必须包含在DLL（动态链接库）中，而线程专用钩子还可以包含在可执行文件中。得到控制权的钩子函数在完成对消息的处理后，如果想要该消息继续传递，那么它必须调用另外一个SDK中的API函数CallNextHookEx来传递它。钩子函数也可以通过直接返回TRUE来丢弃该消息，并阻止该消息的传递。 二Win32 DLL的特点 Win32 DLL与 Win16 DLL有很大的区别，这主要是由操作系统的设计思想决定的。一方面，在Win16 DLL中程序入口点函数和出口点函数（LibMain和WEP）是分别实现的；而在Win32 DLL中却由同一函数DLLMain来实现。无论何时，当一个进程或线程载入和卸载DLL时，都要调用该函数，它的原型是BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved);，其中，第一个参数表示DLL的实例句柄；第三个参数系统保留；这里主要介绍一下第二个参数，它有四个可能的值：DLL_PROCESS_ATTACH（进程载入），DLL_THREAD_ATTACH（线程载入），DLL_THREAD_DETACH（线程卸载），DLL_PROCESS_DETACH（进程卸载），在DLLMain函数中可以对传递进来的这个参数的值进行判别，并根据不同的参数值对DLL进行必要的初始化或清理工作。举个例子来说，当有一个进程载入一个DLL时，系统分派给DLL的第二个参数为DLL_PROCESS_ATTACH，这时，你可以根据这个参数初始化特定的数据。另一方面，在Win16环境下，所有应用程序都在同一地址空间；而在Win32环境下，所有应用程序都有自己的私有空间，每个进程的空间都是相互独立的，这减少了应用程序间的相互影响，但同时也增加了编程的难度。大家知道，在Win16环境中，DLL的全局数据对每个载入它的进程来说都是相同的；而在Win32环境中，情况却发生了变化，当进程在载入DLL时，系统自动把DLL地址映射到该进程的私有空间，而且也复制该DLL的全局数据的一份拷贝到该进程空间，也就是说每个进程所拥有的相同的DLL的全局数据其值却并不一定是相同的。因此，在Win32环境下要想在多个进程中共享数据，就必须进行必要的设置。亦即把这些需要共享的数据分离出来，放置在一个独立的数据段里，并把该段的属性设置为共享。 三VC5中MFC DLL的分类及特点 在VC5中有三种形式的MFC DLL（在该DLL中可以使用和继承已有的MFC类)可供选择，即Regular statically linked to MFC DLL（标准静态链接MFC DLL）和Regular using the shared MFC DLL（标准动态链接MFC DLL）以及Extension MFC DLL（扩展MFC DLL）。第一种DLL的特点是，在编译时把使用的MFC代码加入到DLL中，因此，在使用该程序时不需要其他MFC动态链接类库的存在，但占用磁盘空间比较大；第二种DLL的特点是，在运行时，动态链接到MFC类库，因此减少了空间的占用，但是在运行时却依赖于MFC动态链接类库；这两种DLL既可以被MFC程序使用也可以被Win32程序使用。第三种DLL的特点类似于第二种，做为MFC类库的扩展，只能被MFC程序使用。 四在VC5中全局共享数据的实现 在主文件中，用#pragma data_seg建立一个新的数据段并定义共享数据，其具体格式为： #pragma data_seg （shareddata) HWND sharedwnd=NULL;/共享数据 #pragma data_seg() 仅定义一个数据段还不能达到共享数据的目的，还要告诉编译器该段的属性，有两种方法可以实现该目的（其效果是相同的），一种方法是在.DEF文件中加入如下语句： SETCTIONS shareddata READ WRITE SHARED 另一种方法是在项目设置链接选项中加入如下语句： /SECTION:shareddata,rws 五具体实现步骤 由于全局钩子函数必须包含在动态链接库中，所以本例由两个程序体来实现。 1建立钩子Mousehook.DLL (1)选择MFC AppWizard(DLL)创建项目Mousehook； (2)选择MFC Extension DLL（共享MFC拷贝）类型； (3)由于VC5没有现成的钩子类，所以要在项目目录中创建Mousehook.h文件，在其中建立钩子类： class AFX_EXT_CLASS Cmousehook:public CObject public: Cmousehook(); /钩子类的构造函数 Cmousehook(); /钩子类的析构函数 BOOL starthook(HWND hWnd); /安装钩子函数 BOOL stophook(); 卸载钩子函数 ; (4)在Mousehook.app文件的顶部加入#includeMousehook.h语句； (5)加入全局共享数据变量： #pragma data_seg(mydata) HWND glhPrevTarWnd=NULL; /上次鼠标所指的窗口句柄 HWND glhDisplayWnd=NULL; /显示目标窗口标题编辑框的句柄 HHOOK glhHook=NULL; /安装的鼠标勾子句柄 HINSTANCE glhInstance=NULL; /DLL实例句柄 #pragma data_seg() (6)在DEF文件中定义段属性： SECTIONS mydata READ WRITE SHARED (7)在主文件Mousehook.cpp的DllMain函数中加入保存DLL实例句柄的语句： DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved) /如果使用lpReserved参数则删除下面这行 UNREFERENCED_PARAMETER(lpReserved); if (dwReason = DLL_PROCESS_ATTACH) TRACE0(MOUSEHOOK.DLL Initializing!/n); /扩展DLL仅初始化一次 if (!AfxInitExtensionModule(MousehookDLL, hInstance) return 0; new CDynLinkLibrary(MousehookDLL); /把DLL加入动态MFC类库中 glhInstance=hInstance; /插入保存DLL实例句柄 else if (dwReason = DLL_PROCESS_DETACH) TRACE0(MOUSEHOOK.DLL Terminating!/n); /终止这个链接库前调用它 AfxTermExtensionModule(MousehookDLL); return 1; (8)类Cmousehook的成员函数的具体实现： Cmousehook:Cmousehook() /类构造函数 Cmousehook:Cmousehook() /类析构函数 stophook(); BOOL Cmousehook:starthook(HWND hWnd) /安装钩子并设定接收显示窗口句柄 BOOL bResult=FALSE; glhHook=SetWindowsHookEx(WH_MOUSE,MouseProc,glhInstance,0); if(glhHook!=NULL) bResult=TRUE; glhDisplayWnd=hWnd; /设置显示目标窗口标题编辑框的句柄 return bResult; BOOL Cmousehook:stophook() /卸载钩子 BOOL bResult=FALSE; if(glhHook) bResult= UnhookWindowsHookEx(glhHook); if(bResult) glhPrevTarWnd=NULL; glhDisplayWnd=NULL;/清变量 glhHook=NULL; return bResult; (9)钩子函数的实现： LRESULT WINAPI MouseProc(int nCode,WPARAM wparam,LPARAM lparam) LPMOUSEHOOKSTRUCT pMouseHook=(MOUSEHOOKSTRUCT FAR *) lparam; if (nCode=0) HWND glhTargetWnd=pMouseHook-hwnd; /取目标窗口句柄 HWND ParentWnd=glhTargetWnd; while (ParentWnd !=NULL) glhTargetWnd=ParentWnd; ParentWnd=GetParent(glhTargetWnd); /取应用程序主窗口句柄 if(glhTargetWnd!=glhPrevTarWnd) char szCaption100; GetWindowText(glhTargetWnd,szCaption,100); /取目标窗口标题 if(IsWindow(glhDisplayWnd) SendMessage(glhDisplayWnd,WM_SETTEXT,0,(LPARAM)(LPCTSTR)szCaption); glhPrevTarWnd=glhTargetWnd; /保存目标窗口 return CallNextHookEx(glhHook,nCode,wparam,lparam); /继续传递消息 (10)编译项目生成mousehook.dll。 2创建钩子可执行程序 (1)用MFC的AppWizard(EXE)创建项目Mouse； (2)选择“基于对话应用”并按下“完成”键； (3)编辑对话框，删除其中原有的两个按钮，加入静态文本框和编辑框，用鼠标右键点击静态文本框，在弹出的菜单中选择“属性”，设置其标题为“鼠标所在的窗口标题”； (4)在Mouse.h中加入对Mousehook.h的包含语句#Include./Mousehook/Mousehook.h； (5)在CMouseDlg.h的CMouseDlg类定义中添加私有数据成员： CMouseHook m_hook;/加入钩子类作为数据成员 (6)修改CmouseDlg:OnInitDialog()函数： BOOL CMouseDlg:OnInitDialog() CDialog:OnInitDialog(); ASSERT(IDM_ABOUTBOX & 0xFFF0) = IDM_ABOUTBOX); ASSERT(IDM_ABOUTBOX AppendMenu(MF_SEPARATOR); pSysMenu-AppendMenu(MF_STRING, IDM_ABOUTBOX, strAboutMenu); SetIcon(m_hIcon, TRUE);/Set big icon SetIcon(m_hIcon, FALSE);/Set small icon /TODO: Add extra initialization here CWnd * pwnd=GetDlgItem(IDC_EDIT1); /取得编辑框的类指针 m_hook.starthook(pwnd-GetSafeHwnd(); /取得编辑框的窗口句柄并安装钩子 return TRUE; /return TRUE unless you set the focus to a control (7)链接DLL库，即把./Mousehook/debug/Mousehook.lib加入到项目设置链接标签中； (8)编译项目生成可执行文件； (9)把Mousehook.DLL拷贝到./mouse/debug目录中； (10)先运行几个可执行程序，然后运行Mouse.exe程序，把鼠标在不同窗口中移动，在Mouse.exe程序窗口中的编辑框内将显示出鼠标所在的应用程序主窗口的标题。消息钩子函数入门篇 消息钩子函数入门篇 Windows 系统是建立在事件驱动的机制上的，说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口，用它可以截获并处理 送给其他应用程序的消息，来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就 可以在系统中安装自定义的钩子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用钩子可以实现 许多特殊而有用的功能。因此，对于高级编程人员来说，掌握钩子的编程方法是很有必要的。 钩子的类型 一 按事件分类，有如下的几种常用类型 （1） 键盘钩子和低级键盘钩子可以监视各种键盘消息。 （2） 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。 （3） 外壳钩子可以监视各种Shell事件消息。比如启动和关闭应用程序。 （4） 日志钩子可以记录从系统消息队列中取出的各种事件消息。 （5） 窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。 此外，还有一些特定事件的钩子提供给我们使用，不一一列举。 下面描述常用的Hook类型： 1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程，并且在窗口过程处理完消息之后调用WH_CALLWNDPRO CRET Hook子程。WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT结构，再传递到Hook子程。CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值，同样也包括了与这个消息关联的消息参数。 2、WH_CBT Hook 在以下事件之前，系统都会调用WH_CBT Hook子程，这些事件包括： 1. 激活，建立，销毁，最小化，最大化，移动，改变尺寸等窗口事件； 2. 完成系统指令； 3. 来自系统消息队列中的移动鼠标，键盘事件； 4. 设置输入焦点事件； 5. 同步系统消息队列事件。 Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。 3、WH_DEBUG Hook 在系统调用系统中与其他Hook关联的Hook子程之前，系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许系统调用与其他Hook关联的Hook子程。 4、WH_FOREGROUNDIDLE Hook 当应用程序的前台线程处于空闲状态时，可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当应用程序的前台线程大概要变成空闲状态时，系统就会调用WH_FOREGROUNDIDLE Hook子程。 5、WH_GETMESSAGE Hook 应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和键盘输入，以及其他发送到消息队列中的消息。 6、WH_JOURNALPLAYBACK Hook WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到系统消息队列。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装，正常的鼠标和键盘事件就是无效的。WH_JOURNALPLAYBACK Hook是全局Hook，它不能象线程特定Hook一样使用。WH_JOURNALPLAYBACK Hook返回超时值，这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间（毫秒）。这就使Hook可以控制实时事件的回放。 WH_JOURNALPLAYBACK是system-wide local