键盘事件的挂钩监控原理及其应用-1

键盘事件的挂钩监控原理及其应用WINDOWS的消息处理机制为了能在应用程序中监控系统的各种大事消息，供应了挂接各种反调函数(HOOK)的功能。这种挂钩函数(HOOK)类似扩充中断驱动程序，挂钩上可以挂接多个反调函数构成一个挂接函数链。系统产生的各种消息首先被送到各种挂接函数，挂接函数依据各自的功能对消息进行监视、修改和掌握等，然后交还控制权或将消息传递给下一个挂接函数以致最终达到窗口函数。WINDOW系统的这种反调函数挂接方法虽然会略加影响到系统的运行效率，但在许多场合下是特别有用的，通过合理有效地利用键盘大事的挂钩函数监控机制可以达到预想不到的良好效果。

一、在WINDOWS键盘大事上挂接监控函数的方法

WINDOW下可进行挂接的过滤函数包括11种：

WH_CALLWNDPROC窗口函数的过滤函数

WH_CBT计算机培训过滤函数

WH_DEBUG调试过滤函数

WH_GETMESSAGE猎取消息过滤函数

WH_HARDWARE硬件消息过滤函数

WH_JOURNALPLAYBACK消息重放过滤函数

WH_JOURNALRECORD消息记录过滤函数

WH_MOUSE鼠标过滤函数

WH_MSGFILTER消息过滤函数

WH_SYSMSGFILTER系统消息过滤函数

WH_KEYBOARD键盘过滤函数

其中键盘过滤函数是最常用最有用的过滤函数类型，不管是哪一种类型的过滤函数，其挂接的基本方法都是相同的。WINDOW调用挂接的反调函数时总是先调用挂接链首的那个函数，因此必需将键盘挂钩函数利用函数SetWindowsHookEx()将其挂接在函数链首。至于消息是否传递给函数链的下一个函数是由每个详细函数功能确定的，假如消息需要传统给下一个函数，可调用API函数的CallNextHookEx()来实现，假如不传递直接返回即可。挂接函数可以是用来监控全部线程消息的全局性函数，也可以是单独监控某一线程的局部性函数。假如挂接函数是局部函数，可以将它放到一个.DLL动态链接库中，也可以放在一个局部模块中；假如挂接函数是全局的，那么必需将其放在一个.DLL动态链接库中。挂接函数必需严格根据下述格式进行声明，以键盘挂钩函数为例：

intFARPASCALKeyboardProc(intnCode,WORDwParam,DWORDlParam)其中KeyboardProc为定义挂接函数名，该函数必需在模块定义文件中利用EXPORTS命令进行说明；nCode打算挂接函数是否对当前消息进行处理；wParam和lParam为详细的消息内容。

二、键盘大事挂接函数的安装与下载在程序中可以利用函数SetWindowsHookEx()来挂接过滤函数，在挂接函数时必需指出该挂接函数的类型、函数的入口地址以及函数是全局性的还是局部性的，挂接函数的详细调用格式如下：

SetWindowsHookEx(iType,iProc,hInst,iCode)其中iType为挂接函数类型，键盘类型为WH_KEYBOARD,iProc为挂接函数地址，hInst为挂接函数链接库实例句柄，iCode为监控代码－0表示全局性函数。假如挂接函数需要将消息传递给下一个过滤函数，则在该挂接函数返回前还需要调用一次CallNextHookEx()函数，当需要下载挂接函数时，只要调用一次UnhookWindowsHookEx(iProc)函数即可实现。假如函数是全局性的，那么它必需放在一个.DLL动态链接库中，这时该函数调用方法可以和其它一般.DLL函数一样有三种：

1.在DEF定义文件中直接用函数名或序号说明：EXPORTSWEP@1RESIDENTNAMEInitHooksDll@2InstallFilter@3KeyboardProc@4用序号说明格式为：链接库名.函数名(如本例中说明方法为KEYDLL.KeyboardProc)。

2.在应用程序中利用函数直接调用：首先在应用程序中利用LoadLibrary(LPSTR"链接库名")将动态链接库装入，并取得装载库模块句柄hInst,然后直接利用GetProcAddress(HINSTANCEhInst,LPSTR"函数过程名")猎取函数地址，然后直接调用该地址即可，程序结束前利用函数FreeLibrary()释放装入的动态链接库即可。

3.利用输入库.LIB方法利用IMPLIB.EXE程序在建立动态链接库的同时建立相应的输入库.LIB，然后直接在项目文件中增加该输入库。

三、WINDOWS挂钩监控函数的实现步骤WINDOWS挂钩函数只有放在动态链接库DLL中才能实现全部大事的监控功能。在.DLL中形成挂钩监控函数基本方法及其基本结构如下：

１、首先声明DLL中的变量和过程；

２、然后编制DLL主模块LibMain()，建立模块实例；

３、建立系统退出DLL机制WEP()函数；

４、完成DLL初始化函数InitHooksDll(),传递主窗口程序句柄；

５、编制挂钩安装和下载函数InstallFilter()；

６、编制挂钩函数KeyboardProc()，在其中设置监控功能，并确定连续调下一个钩子函数还是直接返回WINDOWS应用程序。

７、在WINDOWS主程序中需要初始化DLL并安装相应挂钩函数，由挂接的钩子函数负责与主程序通信；

８、在不需要监控时由下载功能卸掉挂接函数。

四、WINDOWS下键盘挂钩监控函数的应用技术目前标准的104键盘上都有两个特别的按键，其上分别用WINDOW程序徽标和鼠标下拉列表标识，本文暂且分别称为Micro左键和Micro右键，前者用来模拟鼠标左键激活开头菜单，后者用来模拟鼠标右键激活属性菜单。这两个特别按键只有在按下后马上抬起即完成CLICK过程才能实现其功能，并且没有和其它按键进行组合使用。由于WINDOWS系统中将按键划分得更加具体，使应用程序中很难敏捷定义自己的专用快捷键，比如在开发.IME等应用程序时很难找到不与WORD8.0等其它应用程序冲突的功能按键。假如将标准104键盘中的这两个特别按键作为模拟CTRL和ALT等专用按键，使其和其它按键组合，就可以在自己的应用程序中自由地设置专用功能键，为应用程序实现各种功能快捷键供应敏捷性。正常状况下WINDOWS键盘大事驱动程序并不将这两个按键的消息进行正常解释，这就必需利用键盘大事的挂钩监控函数来实现其特定的功能。其方法如下：

１、首先编制如下一个简洁动态链接库程序，并编译成DLL文件。#include"windows.h"

intFARPASCALLibMain(HANDLEhModule,UINTwDataSeg,UINTcbHeapSize,LPSTRlpszCmdLine);

intWINAPIWEP(intbSystemExit);

intWINAPIInitHooksDll(HWNDhwndMainWindow);

intWINAPIInstallFilter(BOOLnCode);

LRESULTCALLBACKKeyHook(intnCode,WORDwParam,DWORDlParam);

staticHANDLEhInstance;//全局句柄

staticHWNDhWndMain;//主窗口句柄

staticintInitCalled=0;//初始化标志

staticHHOOKhKeyHook;

FARPROClpfnKeyHook=(FARPROC)KeyHook;

BOOLHookStates=FALSE;

intFARPASCALLibMain(HANDLEhModule,UINTwDataSeg,UINTcbHeapSize,LPSTRlpszCmdLine)

{

if(cbHeapSize!=0)

UnlockData(0);

hInst