第5讲Windows消息机制及HOOK应用

Windows 下API hook 和Windows hook 应用区别Hook 字面的意思是钩子，但是实际上更像提供一种过滤，或者说修改消息处理，或者API的机制。

API hook什么是API的hook呢，其实就是将API调用的地方进行了转移，或者重新实现的一种技术。

这种技术不仅仅可以用在windows 上，其他OS上一样可以使用，我曾经在brew mp 上的手机开发上测试过API hook。

所以这里主要只讲windows 下的API hook。

API 的hook 基本思路都是想办法替换原来的API，使函数的调用关系，直接进行转换，典型的如下可以看到client 端要调用的FunctionA，在A进入之后，就调用了FunctionB , 在FunctionB 中回到FunctionA 做具体A应该做的事情，从A返回之后，FunctionB 然后在返回给Client，那么在FunctionB 中使用FunctionA的前后，它自己都可以干自己想要干的事情，这样就是一个API的hook, 下面我们主要讨论Windows 上最常用的两种API hook 策略。

A）IAT 替换API hook所谓的IAT (import address table ) 这个是PE文件中一个重要的部分，这里我们不详细讨论PE文件的构成，因为这个本来就可以写一张内容。

我们主要了解的是PE如何在一个已经加载在内存中的PE文件如何找到它的IAT。

（1）为什么要找IAT？一个模块，可能依赖别的API，也可能提供API，供别的模块调用，MS为了在PE文件中，分别用导入表和导出表进行描述两种关系。

导入表IAT 主要是描述了这个模块依赖那些其他模块提供的API。

而导出表EAT 是描述这个模块中都提供那些函数供别的模块调用。

如果我们在某个模块的导入表中替换它所依赖的函数，那么这样就可以实现API hook.（2）如何找IAT？要找IAT 要稍微了解一下PE文件的结构，一个PE 文件的大概长相就是这样，我们要找的IAT，就是要先找到PE文件可选头，在这个数据结构中，描述了IAT 描述的位置在那里，然后给距IAT descriptor 就可以找到IAT了。

Windows系统是建立在事件驱动的机制上的，说穿了就是整个系统都是通过消息的传递来实现的。

而钩子是Windows系统中非常重要的系统接口，用它可以截获并处理送给其他应用程序的消息，来完成普通应用程序难以实现的功能。

钩子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。

这样，我们就可以在系统中安装自定义的钩子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。

可见，利用钩子可以实现许多特殊而有用的功能。

因此，对于高级编程人员来说，掌握钩子的编程方法是很有必要的。

钩子的类型一．按事件分类，有如下的几种常用类型（1）键盘钩子和低级键盘钩子可以监视各种键盘消息。

（2）鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。

（3）外壳钩子可以监视各种Shell事件消息。

比如启动和关闭应用程序。

（4）日志钩子可以记录从系统消息队列中取出的各种事件消息。

（5）窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。

此外，还有一些特定事件的钩子提供给我们使用，不一一列举。

下面描述常用的Hook类型：1、WH_CALLWNDPROC和WH_CALLWNDPROCRET HooksWH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。

系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程，并且在窗口过程处理完消息之后调用WH_CALLWNDPROCRET Hook子程。

WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT结构，再传递到Hook子程。

CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值，同样也包括了与这个消息关联的消息参数。

2、WH_CBT Hook在以下事件之前，系统都会调用WH_CBT Hook子程，这些事件包括：1. 激活，建立，销毁，最小化，最大化，移动，改变尺寸等窗口事件；2. 完成系统指令；3. 来自系统消息队列中的移动鼠标，键盘事件；4. 设置输入焦点事件；5. 同步系统消息队列事件。

windows消息原理Windows消息原理是Windows操作系统中一种实现进程间通信的机制。

当一个应用程序需要发送消息给另一个应用程序时，它会创建一个消息，并将该消息发送给目标应用程序的消息队列。

消息由消息标识、消息参数和消息回调函数组成。

消息标识用于识别消息的类型，每个消息标识都有一个唯一的整数值。

消息参数则用于传递附加的信息，例如鼠标位置、键盘按键等。

回调函数是接收消息并对其进行处理的函数。

当一个程序需要发送消息时，它会使用函数PostMessage或SendMessage来将消息发送给目标程序。

PostMessage函数将消息放入目标应用程序的消息队列中，并立即返回。

而SendMessage函数则会等待目标应用程序处理完消息后才返回。

接收消息的应用程序会不断从自己的消息队列中取出消息，并将其传递给消息回调函数进行处理。

回调函数根据消息类型进行相应的操作，例如更新界面、处理用户输入等。

处理完消息后，应用程序会继续处理下一个消息，直到消息队列为空。

消息机制的优点是它允许不同的应用程序之间进行松耦合的通信。

发送消息的应用程序不需要知道目标应用程序的具体实现细节，只需要知道消息标识和消息参数即可。

同时，由于消息的处理是异步的，应用程序可以同时处理多个消息，提高了系统的响应速度。

然而，消息机制也存在一些缺点。

首先，由于消息的传递是通过消息队列，因此消息的接收可能会有延迟。

另外，由于消息的处理是在接收消息的线程中进行的，如果处理消息的时间过长，会导致界面无响应或其他应用程序的操作延迟。

因此，需要合理设计消息的处理逻辑，避免长时间的阻塞操作。

总的来说，Windows消息原理是一种可靠且灵活的进程间通信机制，它为应用程序之间的数据交换提供了一种简单而高效的方式。

Windows系统中钩子具有相当强大的功能，通过这种技术可以对几乎所有的Windows 系统中的消息进行拦截、监视、处理。

这种技术可以广泛应用于各种软件，尤其是需要有监控、自动记录等对系统进行监测功能的软件。

本文针对这个专题进行了探讨，希望可以为读者朋友们起到抛砖引玉的作用。

一、钩子的机制及类型Windows的应用程序都是基于消息驱动的，应用程序的操作都依赖于它所得到的消息的类型及内容。

钩子与Dos中断截获处理机制有类似之处。

钩子(Hook)是Windows消息处理机制的一个平台，通过安装各种钩子，应用程序可以在上面设置子程序以监视指定窗口的某种消息，并且当消息到达目标窗口之前处理它。

在Windows中，钩子有两种，一种是系统钩子(RemoteHook)，它对消息的监视是整个系统范围，另一种是线程钩子(LocalHook)，它的拦截范围只有进程内部的消息。

对于系统钩子，其钩子函数（HookFunction）应在Windows系统的动态链接库(DLL)中实现，而对于线程钩子来说,钩子函数可以在DLL之中实现，也可以在相应的应用程序之中实现。

这是因为当开发人员创建一个钩子时，Windows先在系统内存中创建一个数据结构，该数据结构包含了钩子的相关信息，然后把该结构体加到已经存在的钩子链表中去，并且新的钩子将排在老的钩子的前面。

当一个事件发生时，如果安装的是一个局部钩子，当前进程中的钩子函数将被调用。

如果是一个远程钩子，系统就必须把钩子函数插入到其它进程的地址空间，要做到这一点就要求钩子函数必须在一个动态链接库中，所以如果想要使用远程钩子，就必须把该钩子函数放到动态链接库中去。

对于钩子所监视的消息类型来说，Windws一共提供了如下几种类型：如表1所示:表一、Windows消息类型消息类型常量标识值消息类型适用范围WH_CALLWNDPROC 4 发给窗口的消息线程或系统WH_CALLWNDPROCRET 12 窗口返回的消息线程或系统WH_CBT 5 窗口变化、焦点设定等消息线程或系统WH_DEBUG 9 是否执行其它Hook的Hook 线程或系统WH_FOREGROUNDIDLE 11 前台程序空闲线程或系统WH_GETMESSAGE 3 投放至消息队列中的消息线程或系统WH_JOURNALPLAYBACK 1 将所记载的消息进行回放系统WH_JOURNALRECORD 0 监视并记录输入消息系统WH_KEYBOARD 2 键盘消息线程或系统WH_MOUSE 7 鼠标消息线程或系统WH_MSGFILTER -1 菜单滚动条、对话框消息线程或系统WH_SHELL 10 外壳程序的消息线程或系统WH_SYSMSGFILTER 6 所有线程的菜单滚动条、对话框消息系统二、VB编程中钩子的实现（一）钩子函数(HOOK Function)的格式。

Windows消息拦截技术的应用一、前言众所周知，Windows程式的运行是依靠发生的事件来驱动。

换句话说，程式不断等待一个消息的发生，然后对这个消息的类型进行判断，再做适当的处理。

处理完此次消息后又回到等待状态。

从上面对Windows 程式运行机制的分析不难发现，消息在用户与程式之间进行交流时起了一种中间“语言”的作用。

在程式中接收和处理消息的主角是窗口，它通过消息泵接收消息，再通过一个窗口过程对消息进行相应的处理。

消息拦截的实现是在窗口过程处理消息之前拦截到消息并做相关处理后再传送给原窗口过程。

通常情况下，程序员可以在窗口过程中处理接收到的消息，这就要求窗口过程必须在开发程序时完成，但是在一些应用中常常需要获取和处理另外应用程序或其它单元模块中的消息，实现此类功能的技术也就本文要讨论的主题――消息拦截技术。

二、理解Windows消息机制在深入探讨消息拦截技术实现原理之前，让我们先来温习一下Windows消息机制原理知识。

1、消息的产生消息作为程序与外界交流的“语言”，它的产生自然来自外界，但这里所说的外界，不只是简单的指程序之外或软件系统之外，而是泛指消息处理模块之外的模块、Windows系统、其它应用程序以及硬件等。

通常根据消息产生的方式将其分为两大类，即硬件消息和软件消息。

硬件消息，常指由硬件装置所产生的事件（如鼠标或键盘被按下），放在系统消息队列（System Queue）中，再由系统消息处理机构将消息发送给应用程序消息队列中。

软件消息，常指由Windows系统或其它应用程序发送的信息，它直接放入应用程序消息队列（Application Queue）中，再由应用程序消息处理机构将消息传递给相应的窗口。

2、消息的组成一个消息由一个消息名称（UINT），和两个参数（WPARAM，LPARAM）。

当用户进行了输入或是窗口的状态发生改变时系统都会发送消息到某一个窗口。

例如当菜单转中之后会有WM_COMMAND消息发送，WPARAM的高字中（HIWORD(wParam)）是命令的ID号，对菜单来讲就是菜单ID。