謝智明

（湖南科技學(xué)院 計算機與通信工程系，湖南 永州 425100）

Windows平臺上消息處理技術(shù)淺析

謝智明

（湖南科技學(xué)院 計算機與通信工程系，湖南 永州 425100）

本文介紹了在Windows平臺上獲取消息并進行處理的技術(shù)，舉例說明了如何編寫消息處理機制應(yīng)用程序的步驟與方法。

hook；消息獲取

1 hook機制

Windows系統(tǒng)建立在事件驅(qū)動的機制上，也就是整個系統(tǒng)都是通過消息的傳遞來實現(xiàn)的。 hook機制是一種特殊的消息處理機制，可以監(jiān)視系統(tǒng)或進程中的各種事件消息，獲取發(fā)往目標(biāo)窗口的消息并進行處理。這樣，我們就可以在系統(tǒng)中安裝自定義的hook，監(jiān)視系統(tǒng)中特定事件的發(fā)生，完成特定的功能，比如截獲鍵盤、鼠標(biāo)的輸入，屏幕取詞，日志監(jiān)視等等。hook的種類很多，每種hook可以截獲并處理相應(yīng)的消息，如鍵盤hook可以截獲鍵盤消息，外殼 hook可以截取、啟動和關(guān)閉應(yīng)用程序的消息等。hook可以分為線程hook和系統(tǒng)hook, 線程hook監(jiān)視指定線程的事件消息, 系統(tǒng)hook監(jiān)視系統(tǒng)中的所有線程的事件消息。因為系統(tǒng)hook會影響系統(tǒng)中所有的應(yīng)用程序，所以hook函數(shù)必須放在獨立的動態(tài)鏈接庫(DLL) 中。

2 實現(xiàn)hook機制的關(guān)鍵技術(shù)

2.1 windows的hook程序，需要用到幾個sdk中的api函數(shù)

下面列出這幾個函數(shù)的原型及說明：hhook setwindowshookex(int idhook,hook_proc lpfn,hinstance hmod,dword dwthreadid);

參數(shù)說明如下：

idhook：hook的類型

lpfn：hook處理函數(shù)地址

hmod：包含hook函數(shù)的模塊句柄

dwthreadid：hook的監(jiān)控線程

函數(shù)說明：函數(shù)將在系統(tǒng)中掛上一個由idhook指定類型的hook，監(jiān)控并處理相應(yīng)的特定消息。bool unhookwindowshookex(hhook hhk);

函數(shù)說明：函數(shù)將撤銷由hhk指定的hook。lresult callnexthookex( hhook hhk, int ncode,wparam wparam,lparam lparam );

函數(shù)說明：函數(shù)將消息向下傳遞，下一個hook處理將截獲這一消息。

2.2 由于hook的處理涉及到模塊及進程間的數(shù)據(jù)地址問題，一般情況是把hook整合到一個動態(tài)鏈接庫（dll）中，VC中有三種形式的MFC DLL可供選擇，即Regular statically linked to MFC DLL（標(biāo)準(zhǔn)靜態(tài)鏈接MFC DLL）、Regular using the shared MFC DLL（標(biāo)準(zhǔn)動態(tài)鏈接MFC DLL）以及Extension MFC DLL（擴展MFC DLL）。

第一種DLL在編譯時把使用的MFC代碼鏈接到DLL中，執(zhí)行程序時不需要其他MFC動態(tài)鏈接類庫的支持，但體積較大。

第二種DLL在運行時動態(tài)鏈接到MFC類庫，因而體積較小，但卻依賴于MFC動態(tài)鏈接類庫的支持；這兩種DLL均可被MFC程序和Win32程序使用。

第三種DLL的也是動態(tài)連接，但做為MFC類庫的擴展，只能被MFC程序使用。

另外,要設(shè)立一個全局?jǐn)?shù)據(jù)共享數(shù)據(jù)段，以存貯一些全局變量，保留上次hook消息事件發(fā)生時的狀態(tài)。

2.3 Win32 DLL的入口和出口函數(shù)都是DLLMain。只要有進程或線程載入和卸載DLL時，都會調(diào)用該函數(shù)，其原型是：

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved); 其中，第一個參數(shù)表示DLL的實例句柄；第三個參數(shù)系統(tǒng)保留；第二個參數(shù)指明了當(dāng)前調(diào)用該動態(tài)連接庫的狀態(tài)，它有四個可能的值：DLL_PROCESS_ATTACH（進程載入）、DLL_THREAD_ATTACH（線程載入）、DLL_THREAD_DETACH（線程卸載）、DLL_PROCESS_DETACH（進程卸載）。在DLLMain函數(shù)中可以通過對傳遞進來的這個參數(shù)的值進行判別，根據(jù)不同的參數(shù)值對DLL進行必要的初始化或清理工作。由于在Win32環(huán)境下，所有進程的空間都是相互獨立的，這減少了應(yīng)用程序間的相互影響，但大大增加了編程的難度。當(dāng)進程在動態(tài)加載DLL時，系統(tǒng)自動把DLL地址映射到該進程的私有空間，而且也復(fù)制該DLL的全局?jǐn)?shù)據(jù)的一份拷貝到該進程空間，每個進程所擁有的相同的DLL的全局?jǐn)?shù)據(jù)其值卻并不一定是相同的。當(dāng)DLL內(nèi)存被映射到進程空間中，每個進程都有自己的全局內(nèi)存拷貝，加載DLL的每一個新的進程都重新初始化這一內(nèi)存區(qū)域，也就是說進程不能再共享DLL。因此，在Win32環(huán)境下要想在多個進程中共享數(shù)據(jù)，就必須進行必要的設(shè)置。一種方法便是把這些需要共享的數(shù)據(jù)單獨分離出來，放置在一個獨立的數(shù)據(jù)段里，并把該段的屬性設(shè)置為共享，建立一個內(nèi)存共享的DLL。

3 編寫消息處理機制應(yīng)用程序的步驟與方法

建立用hook機制實現(xiàn)截獲鼠標(biāo)左右鍵按壓次數(shù)的應(yīng)用程序， 建立hook程序時需要把hook處理整合到動態(tài)鏈接庫中，所以例程中需要建立兩個project。

3.1 hook處理動態(tài)鏈接庫

1、選擇mfc appwizard(dll)創(chuàng)建一個新project，命名為“GetNumberOfMouse”。

2、選擇mfc extension dll類型。

3、創(chuàng)建一個新的頭文件，命名為“hook.h”，修改它的代碼如下：

extern "C" LRESULT CALLBACK mouseproc(int code,WPARAM wparam,LPARAM lparam); //hook處理函數(shù)

extern "C" bool WINAPI starthook(); //啟動hook函數(shù)

extern "C" bool WINAPI stophook(); //撤銷hook函數(shù)

extern "C" int WINAPI getresultl(); //取得鼠標(biāo)左鍵單擊次數(shù)的函數(shù)

extern "C" int WINAPI getresultr(); //取得鼠標(biāo)右鍵單擊次數(shù)的函數(shù)

4、修改GetNumberOfMouse.cpp程序代碼如下:

#include "hook.h" //包含頭文件hook

#pragma data_seg("publicdata") //定義全局?jǐn)?shù)據(jù)段

HHOOK hhook=NULL; //hook句柄

HINSTANCE pinstance=NULL;//hook模塊句柄

UINT mouseclickl=0; //記錄鼠標(biāo)左鍵單擊次數(shù)的變量

UINT mouseclickr=0;//記錄鼠標(biāo)右鍵單擊次數(shù)

#pragma data_seg()

extern "C" int APIENTRY

DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)

{ if (dwReason == DLL_PROCESS_ATTACH)

{…… //省略部分機器生成代碼

new CDynLinkLibrary(SpyDLL);

pinstance=hInstance;//取得模塊句柄

}……;

}

extern "C" LRESULT CALLBACK mouseproc(int code,WPARAM wparam,LPARAM lparam) //hook處理函

{

if (code<0) //若code〈0，則直接調(diào)用callnexthookex返回

return CallNextHookEx(hhook, code, wparam, lparam);

if(wparam==WM_LBUTTONDOWN)

{ mouseclickl++;//記錄鼠標(biāo)左鍵單擊次數(shù) }

if(wparam==WM_RBUTTONDOWN)

{ mouseclickr++;//記錄鼠標(biāo)右鍵單擊次數(shù) }

return CallNextHookEx(hhook, code, wparam,lparam);

}

extern "C" bool WINAPI starthook()//啟動hook函數(shù)

{

hhook=SetWindowsHookEx(WH_MOUSE,mouseproc,pinstance,0);//掛上hook

if(hhook!=NULL)

return true;

else return false;

}

extern "C" bool WINAPI stophook() //撤銷hook函數(shù)

{ return UnhookWindowsHookEx(hhook); //撤銷hook}

extern "C" int WINAPI getresultl()//返回鼠標(biāo)左鍵單擊次數(shù)

{ return mouseclickl;}

extern "C" int WINAPI getresultr()//返回鼠標(biāo)右鍵單擊次數(shù)

{ return mouseclickr;}

5、 修改GetNumberOfMouse.def程序代碼如下:

exports

stophook @2

starthook @1

getresultl @3

getresultr @4

6、編譯project，生成GetNumberOfMouse.dll文件和GetNumberOfMouse.lib文件。

3.2 建立使用hook的應(yīng)用程序

1、生成一個單文檔的可執(zhí)行文件（exe）的project。

2、 修改資源中的主選單，增加一個選單項“監(jiān)控”，下有三個子選單項，分別為“啟動”、“撤銷”和“取出”。

3、在project中加入GetNumberOfMouse.lib文件。

4、分別修改“啟動”、“撤銷”和“取出”選單項的command響應(yīng)函數(shù)如下：

#include "E:DevStudioMyProjectsGetNumberOfMousehook.h" //路徑可不同

void CMainFrame::OnMenuitem32771() //“啟動”選單項的響應(yīng)函數(shù)

{ starthook(); }

void CMainFrame::OnMenuitem32772() //“撤銷”選單項的響應(yīng)函數(shù)

{ stophook();}

void CMainFrame::OnMenuitem32773() //“取出”選單項的響應(yīng)函數(shù)

{ int resultl=getresultl();

int resultr=getresultr();

char buffer[80];

wsprintf(buffer,"在程序運行期間，你共單擊鼠標(biāo)左鍵%d次，右鍵%d次!",resultl,resultr);

::MessageBox(this->m_hWnd,buffer,"message",MB_OK);

}

編譯這個project，并把GetNumberOfMouse.dll放到生成的可執(zhí)行文件目錄下，便可運行程序。運行時，選擇“監(jiān)控”選單中的“啟動”選單項，hook便開始工作，監(jiān)視鼠標(biāo)的活動情況；選擇“撤銷”選單項，系統(tǒng)便撤銷hook；選擇“取出”選單項，程序便報告在監(jiān)控期間，用戶分別單擊鼠標(biāo)左鍵和右鍵的次數(shù)。以上程序在windows xp，visual c++ 6.0環(huán)境下成功運行。

[1]湯春林,等.windows程序設(shè)計與架構(gòu)[M].北京：電子工業(yè)出版社，2011.

[2]Warton，Java多線程編程初步[Z].電腦報，2004-4-10.

[3]毛德操.Windows內(nèi)核情景分析[M].北京：電子工業(yè)出版社，2009.

TP39

A

1673-2219（2012）08-0046-03

2012－03－20

謝智明（1971－），湖南永州人，計算機軟件與技術(shù)系統(tǒng)分析師，研究方向為計算機及應(yīng)用。

(責(zé)任編校：何俊華)