HOOK启思录---第一章 HOOK的发展
非常遗憾,HOOK的发展史不是那么清晰可见。事实上,HOOK到底是什么,很多人的说法都不一样。
最早是在操作系统中出现的HOOK概念。在Unix/Linux/Windows中都有类似概念。当时提出的目的在于,允许用户在系统调用过程中,插入自己的代码处理特殊事情。典型的HOOK就是用自己的功能替换原有的函数点,在处理完成之后,又恢复原有的函数点。(这里“点”就是表示一个可以使用HOOK勾住的位置)。
下面是《关于钩子》中,描述的Windows是中的钩子:
在Windows中,钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。
钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
其实从中可以看出,这些钩子应该和回调函数(CALLBACK FUNCTION)是一种技术。只不过,Windows专门将此类系统消息处理机制叫HOOK。
Falls先生曾经提醒我,在UNIX中的HOOK更纯粹。是的,UNIX中LD_PRELOAD环境变量(Soloris系统为例)针对所有系统调用做了一个类似代理功能,如果你想改变某个系统调用,就可以在这个代理中注册,动态调用的时候,会先从代理里寻找自定义代码,然后再找系统预定义代码。
我愿意使用图来表示这里面的差别。第一种Windows中的HOOK概念,其实是说系统已经在可以扩展的地方,预先放好了一些钩子在那里,你可以在需要的时候,挂上自己想要的东西。
相对于Windows来说,UNIX中,基本思想是一致的,细微的差距在于,扩展点的提供上。UNIX几乎提供了所有可能的扩展点。由于太多了,所以换句话说,也可以说成UNIX没有提供扩展点。这些扩展点,是用户在使用的过程中自己去发现,自己去勾住的。
这些就是其中的差距。而HOOK思想的发展也正是依照UNIX这类路线走下去的。在Windows中,大家还在使用的HOOK,除了定义好消息钩子,最典型的就是dll的导出表钩子。可以改变系统dll的函数的导出函数的地址,来勾住某些特定操作。必然监控文件创建等等操作,就可以勾住CreateFile这个API函数。
事实上,在初期,很多钩子都是发展用来修改别人的系统的行为的。后来钩子也用来修改本系统的行为。这主要源于软件系统的长足发展及框架系统的复杂度不断提升。现在的软件系统对我们来说,已经不大可能了解所有的部分,而且基类框架的稳定性不允许我们去修改它们。在这种情况下,HOOK思想带入到解题思路中。可以使用钩子来解决一些扩展或修复一些系统设计缺陷。AOP的思想和这类应用很相似。
整个HOOK的发展,从开始的回调函数模式,到扩展系统行为,再到扩展本系统行为。这个过程,有一点大家认识越来越清晰。HOOK是在合适的位置插入自己的代码而扩展或改变原有系统的(外系统或本系统)的行为的。HOOK技术也越来越主动的寻找扩展点,而不仅仅是使用原有系统提供的扩展点。甚至已经派生中一种系统开发方式AOSD。
HOOK的未来在哪里?随着.NET和JAVA对AOP的支持,HOOK技术越来越被框架直接支持。相信不远的未来,HOOK会直接作为一种解题思想而推广,并且框架会提供一系列HOOK模式来解决类似问题。