逆向学习-Windows消息钩取
钩子
Hook,就是钩子。偷看或截取信息时所用的手段或工具。
消息钩子
常规Windows流:
1.发生键盘输入事件时,WM_KEYDOWN消息被添加到【OS message queue】。
2.OS判断哪个应用程序中发生了事件,然后从【OS message queue】取出消息,添加到相应应用程序的【application message queue】中。
3.应用程序监视自身的【application message queue】,发现新添加的WM_KEYDOWN消息后,调用相应的事件处理程序处理。
设置钩子,可以在应用程序之前就能收到消息。并可以修改,拦截。
最具代表性的是MS Visual Studio中提供的SPY++。
SetWindowsHookEx()
HHOOK SetWindowsHookExW(
int idHook, //hook type
HOOKPROC lpfn, //hook procedure 钩子过程,是由操作系统调用的回调函数。
HINSTANCE hmod, //hook procedure所属的DLL句柄(Handle) 钩子 过程需要存在于某个DLL内部,该DLL的实例句柄(instance handle)即是hMod。
DWORD dwThreadId //想要挂钩的线程ID 若被设置为0,则为全局钩子。会影响运行中的所有进程。
);