钩子技术介绍及函数使用

当你创建一个钩子时，WINDOWS系统会创建一个数据结构，该结构包含了您创建的钩子的信息，安装钩子则是把该结构体插入到系统钩子列表中去，注意：新插入的放置到旧的前面。当指定的钩子事件被触发后，局部钩子只需要调用进程中的钩子函数来预处理事件，全局钩子则需要把处理插入到其他地址空间，要做到这一点，就需要有一个动态连接库，把钩子函数放到库中。但有两个是例外，就是日志钩子和日志回放钩子，它是一种比较特殊的钩子，它可以挂载到系统范围内的任何进程中，而且不需要另外编写一个dll来映射到其他进程的内存空间之中（关于日志钩子，以后有机会再详细介绍）。
一、钩子的分类：
安装不同的钩子，可以截获监视不同的消息类型，有针对的对所需要的消息进行过滤和处理，钩子主要分以下几类：

WH_CALLWNDPROC 发送到窗口的消息。由SendMessage触发
WH_CALLWNDPROCRET 发送到窗口的消息。由SendMessage处理完成返回时触发
WH_GETMESSAGE 发送到窗口的消息。GetMessage或PeekMessage触发
WH_KEYBROAD 键盘钩子，键盘触发消息。WM_KEYUP或WM_KEYDOWN消息
WH_KEYBROAD_LL 地层键盘钩子
WH_MOUSE 鼠标钩子,查询鼠标事件消息
WH_MOUSE_LL 低层键盘钩子
WH_HARDWARE 非鼠标、键盘消息时
WH_MSGFILTER 对话框、菜单或滚动条要处理一个消息时。该钩子是局部的。
WH_SYSMSGFILTER 同WH_MSGFILTER一样，系统范围的。
WH_DEBUG 调试钩子，用来给钩子函数除错
WH_JOURNALRECORD 监视和记录输入事件
WH_JOURNALPLAYBACK 回放用WH_JOURNALRECORD记录事件
WH_SHELL 外壳钩子，当关于WINDOWS外壳事件发生时触发. WH_CBT 当基于计算机的训练(CBT)事件发生时
WH_FOREGROUNDIDLE 前台应用程序线程变成空闲时候，钩子激活。

二、钩子的类型：
全局钩子：全局钩子可以挂钩其他进程的事件，有两种：基于线程的，它将捕获其它进程中某一特定线程的事件。简言之，就是可以用来观察其它进程中的某一特定线程将发生的事件。2，系统范围的，将捕捉系统中所有进程将发生的事件消息。
局部钩子：仅钩挂您自己进程的事件。

三、安装钩子：
　　SetWindowsHookEx
函数原形：HHOOK SetWindowsHookEx(
int idHook, // 钩子类型，见[一]
HOOKPROC? lpfn, // 钩子函数地址
INSTANCE hMod, // 钩子所在的实例的句柄，
DWORD???? dwThreadId // 钩子所监视的线程的线程号
)
hMod: 对于线程序钩子，参数传NULL；对于系统钩子：参数为钩子DLL的句柄
dwThreadId：对于全局钩子，该参数为NULL。
　　
返回：成功：返回SetWindowsHookEx返回所安装的钩子句柄；
失败：NULL；

四、卸载钩子：
UnhookWindowsHookEx
　　函数原形：BOOL UnhookWindowsHookEx(
HHOOK hhk // 要卸载的钩子句柄。
)

五、钩子函数：
MyHookProc
　　钩子函数是回调函数。当安装的钩子被钩到指定的事件消息后，系统会自动调用钩子函数进行处理。
定义如下：
LRESULT WINAPI MyHookProc(
int nCode , // 指定是否需要处理该消息
WPARAM wParam, // 包含该消息的附加消息
LPARAM lParam // 包含该消息的附加消息
)
六、调用下一个钩子
CallNextHookEx
既然WINDOWS的钩子结构都保存在一个链表里边，很明显，消息将会被一个个往下传递，最后到达目标窗口，所以，我们处理了以后，由责任将消息传递给下一个钩子。当然你也可以不，但我还是建议您继续传递下去。
函数定义如下：
LRESULT CallNextHookEx(
HHOOK hhk, // 是您自己的钩子函数的句柄。用该句柄可以遍历钩子链
int nCode, // 把传入的参数简单传给CallNextHookEx即可
WPARAM wParam, // 把传入的参数简单传给CallNextHookEx即可
LPARAM lParam // 把传入的参数简单传给CallNextHookEx即可
)