Windows平臺(tái)上消息處理技術(shù)淺析

謝智明

（湖南科技學(xué)院 計(jì)算機(jī)與通信工程系，湖南 永州 425100）

Windows平臺(tái)上消息處理技術(shù)淺析

謝智明

（湖南科技學(xué)院 計(jì)算機(jī)與通信工程系，湖南 永州 425100）

本文介紹了在Windows平臺(tái)上獲取消息并進(jìn)行處理的技術(shù)，舉例說(shuō)明了如何編寫消息處理機(jī)制應(yīng)用程序的步驟與方法。

hook；消息獲取

1 hook機(jī)制

Windows系統(tǒng)建立在事件驅(qū)動(dòng)的機(jī)制上，也就是整個(gè)系統(tǒng)都是通過(guò)消息的傳遞來(lái)實(shí)現(xiàn)的。 hook機(jī)制是一種特殊的消息處理機(jī)制，可以監(jiān)視系統(tǒng)或進(jìn)程中的各種事件消息，獲取發(fā)往目標(biāo)窗口的消息并進(jìn)行處理。這樣，我們就可以在系統(tǒng)中安裝自定義的hook，監(jiān)視系統(tǒng)中特定事件的發(fā)生，完成特定的功能，比如截獲鍵盤、鼠標(biāo)的輸入，屏幕取詞，日志監(jiān)視等等。hook的種類很多，每種hook可以截獲并處理相應(yīng)的消息，如鍵盤hook可以截獲鍵盤消息，外殼 hook可以截取、啟動(dòng)和關(guān)閉應(yīng)用程序的消息等。hook可以分為線程hook和系統(tǒng)hook, 線程hook監(jiān)視指定線程的事件消息, 系統(tǒng)hook監(jiān)視系統(tǒng)中的所有線程的事件消息。因?yàn)橄到y(tǒng)hook會(huì)影響系統(tǒng)中所有的應(yīng)用程序，所以hook函數(shù)必須放在獨(dú)立的動(dòng)態(tài)鏈接庫(kù)(DLL) 中。

2 實(shí)現(xiàn)hook機(jī)制的關(guān)鍵技術(shù)

2.1 windows的hook程序，需要用到幾個(gè)sdk中的api函數(shù)

下面列出這幾個(gè)函數(shù)的原型及說(shuō)明：hhook setwindowshookex(int idhook,hook_proc lpfn,hinstance hmod,dword dwthreadid);

參數(shù)說(shuō)明如下：

idhook：hook的類型

lpfn：hook處理函數(shù)地址

hmod：包含hook函數(shù)的模塊句柄

dwthreadid：hook的監(jiān)控線程

函數(shù)說(shuō)明：函數(shù)將在系統(tǒng)中掛上一個(gè)由idhook指定類型的hook，監(jiān)控并處理相應(yīng)的特定消息。bool unhookwindowshookex(hhook hhk);

函數(shù)說(shuō)明：函數(shù)將撤銷由hhk指定的hook。lresult callnexthookex( hhook hhk, int ncode,wparam wparam,lparam lparam );

函數(shù)說(shuō)明：函數(shù)將消息向下傳遞，下一個(gè)hook處理將截獲這一消息。

2.2 由于hook的處理涉及到模塊及進(jìn)程間的數(shù)據(jù)地址問(wèn)題，一般情況是把hook整合到一個(gè)動(dòng)態(tài)鏈接庫(kù)（dll）中，VC中有三種形式的MFC DLL可供選擇，即Regular statically linked to MFC DLL（標(biāo)準(zhǔn)靜態(tài)鏈接MFC DLL）、Regular using the shared MFC DLL（標(biāo)準(zhǔn)動(dòng)態(tài)鏈接MFC DLL）以及Extension MFC DLL（擴(kuò)展MFC DLL）。

第一種DLL在編譯時(shí)把使用的MFC代碼鏈接到DLL中，執(zhí)行程序時(shí)不需要其他MFC動(dòng)態(tài)鏈接類庫(kù)的支持，但體積較大。

第二種DLL在運(yùn)行時(shí)動(dòng)態(tài)鏈接到MFC類庫(kù)，因而體積較小，但卻依賴于MFC動(dòng)態(tài)鏈接類庫(kù)的支持；這兩種DLL均可被MFC程序和Win32程序使用。

第三種DLL的也是動(dòng)態(tài)連接，但做為MFC類庫(kù)的擴(kuò)展，只能被MFC程序使用。

另外,要設(shè)立一個(gè)全局?jǐn)?shù)據(jù)共享數(shù)據(jù)段，以存貯一些全局變量，保留上次hook消息事件發(fā)生時(shí)的狀態(tài)。

2.3 Win32 DLL的入口和出口函數(shù)都是DLLMain。只要有進(jìn)程或線程載入和卸載DLL時(shí)，都會(huì)調(diào)用該函數(shù)，其原型是：

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved); 其中，第一個(gè)參數(shù)表示DLL的實(shí)例句柄；第三個(gè)參數(shù)系統(tǒng)保留；第二個(gè)參數(shù)指明了當(dāng)前調(diào)用該動(dòng)態(tài)連接庫(kù)的狀態(tài)，它有四個(gè)可能的值：DLL_PROCESS_ATTACH（進(jìn)程載入）、DLL_THREAD_ATTACH（線程載入）、DLL_THREAD_DETACH（線程卸載）、DLL_PROCESS_DETACH（進(jìn)程卸載）。在DLLMain函數(shù)中可以通過(guò)對(duì)傳遞進(jìn)來(lái)的這個(gè)參數(shù)的值進(jìn)行判別，根據(jù)不同的參數(shù)值對(duì)DLL進(jìn)行必要的初始化或清理工作。由于在Win32環(huán)境下，所有進(jìn)程的空間都是相互獨(dú)立的，這減少了應(yīng)用程序間的相互影響，但大大增加了編程的難度。當(dāng)進(jìn)程在動(dòng)態(tài)加載DLL時(shí)，系統(tǒng)自動(dòng)把DLL地址映射到該進(jìn)程的私有空間，而且也復(fù)制該DLL的全局?jǐn)?shù)據(jù)的一份拷貝到該進(jìn)程空間，每個(gè)進(jìn)程所擁有的相同的DLL的全局?jǐn)?shù)據(jù)其值卻并不一定是相同的。當(dāng)DLL內(nèi)存被映射到進(jìn)程空間中，每個(gè)進(jìn)程都有自己的全局內(nèi)存拷貝，加載DLL的每一個(gè)新的進(jìn)程都重新初始化這一內(nèi)存區(qū)域，也就是說(shuō)進(jìn)程不能再共享DLL。因此，在Win32環(huán)境下要想在多個(gè)進(jìn)程中共享數(shù)據(jù)，就必須進(jìn)行必要的設(shè)置。一種方法便是把這些需要共享的數(shù)據(jù)單獨(dú)分離出來(lái)，放置在一個(gè)獨(dú)立的數(shù)據(jù)段里，并把該段的屬性設(shè)置為共享，建立一個(gè)內(nèi)存共享的DLL。

3 編寫消息處理機(jī)制應(yīng)用程序的步驟與方法

建立用hook機(jī)制實(shí)現(xiàn)截獲鼠標(biāo)左右鍵按壓次數(shù)的應(yīng)用程序， 建立hook程序時(shí)需要把hook處理整合到動(dòng)態(tài)鏈接庫(kù)中，所以例程中需要建立兩個(gè)project。

3.1 hook處理動(dòng)態(tài)鏈接庫(kù)

1、選擇mfc appwizard(dll)創(chuàng)建一個(gè)新project，命名為“GetNumberOfMouse”。

2、選擇mfc extension dll類型。

3、創(chuàng)建一個(gè)新的頭文件，命名為“hook.h”，修改它的代碼如下：

extern "C" LRESULT CALLBACK mouseproc(int code,WPARAM wparam,LPARAM lparam); //hook處理函數(shù)

extern "C" bool WINAPI starthook(); //啟動(dòng)hook函數(shù)

extern "C" bool WINAPI stophook(); //撤銷hook函數(shù)

extern "C" int WINAPI getresultl(); //取得鼠標(biāo)左鍵單擊次數(shù)的函數(shù)

extern "C" int WINAPI getresultr(); //取得鼠標(biāo)右鍵單擊次數(shù)的函數(shù)

4、修改GetNumberOfMouse.cpp程序代碼如下:

#include "hook.h" //包含頭文件hook

#pragma data_seg("publicdata") //定義全局?jǐn)?shù)據(jù)段

HHOOK hhook=NULL; //hook句柄

HINSTANCE pinstance=NULL;//hook模塊句柄

UINT mouseclickl=0; //記錄鼠標(biāo)左鍵單擊次數(shù)的變量

UINT mouseclickr=0;//記錄鼠標(biāo)右鍵單擊次數(shù)

#pragma data_seg()

extern "C" int APIENTRY

DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)

{ if (dwReason == DLL_PROCESS_ATTACH)

{…… //省略部分機(jī)器生成代碼

new CDynLinkLibrary(SpyDLL);

pinstance=hInstance;//取得模塊句柄

}……;

}

extern "C" LRESULT CALLBACK mouseproc(int code,WPARAM wparam,LPARAM lparam) //hook處理函

{

if (code<0) //若code〈0，則直接調(diào)用callnexthookex返回

return CallNextHookEx(hhook, code, wparam, lparam);

if(wparam==WM_LBUTTONDOWN)

{ mouseclickl++;//記錄鼠標(biāo)左鍵單擊次數(shù) }

if(wparam==WM_RBUTTONDOWN)

{ mouseclickr++;//記錄鼠標(biāo)右鍵單擊次數(shù) }

return CallNextHookEx(hhook, code, wparam,lparam);

}

extern "C" bool WINAPI starthook()//啟動(dòng)hook函數(shù)

{

hhook=SetWindowsHookEx(WH_MOUSE,mouseproc,pinstance,0);//掛上hook

if(hhook!=NULL)

return true;

else return false;

}

extern "C" bool WINAPI stophook() //撤銷hook函數(shù)

{ return UnhookWindowsHookEx(hhook); //撤銷hook}

extern "C" int WINAPI getresultl()//返回鼠標(biāo)左鍵單擊次數(shù)

{ return mouseclickl;}

extern "C" int WINAPI getresultr()//返回鼠標(biāo)右鍵單擊次數(shù)

{ return mouseclickr;}

5、 修改GetNumberOfMouse.def程序代碼如下:

exports

stophook @2

starthook @1

getresultl @3

getresultr @4

6、編譯project，生成GetNumberOfMouse.dll文件和GetNumberOfMouse.lib文件。

3.2 建立使用hook的應(yīng)用程序

1、生成一個(gè)單文檔的可執(zhí)行文件（exe）的project。

2、 修改資源中的主選單，增加一個(gè)選單項(xiàng)“監(jiān)控”，下有三個(gè)子選單項(xiàng)，分別為“啟動(dòng)”、“撤銷”和“取出”。

3、在project中加入GetNumberOfMouse.lib文件。

4、分別修改“啟動(dòng)”、“撤銷”和“取出”選單項(xiàng)的command響應(yīng)函數(shù)如下：

#include "E:DevStudioMyProjectsGetNumberOfMousehook.h" //路徑可不同

void CMainFrame::OnMenuitem32771() //“啟動(dòng)”選單項(xiàng)的響應(yīng)函數(shù)

{ starthook(); }

void CMainFrame::OnMenuitem32772() //“撤銷”選單項(xiàng)的響應(yīng)函數(shù)

{ stophook();}

void CMainFrame::OnMenuitem32773() //“取出”選單項(xiàng)的響應(yīng)函數(shù)

{ int resultl=getresultl();

int resultr=getresultr();

char buffer[80];

wsprintf(buffer,"在程序運(yùn)行期間，你共單擊鼠標(biāo)左鍵%d次，右鍵%d次!",resultl,resultr);

::MessageBox(this->m_hWnd,buffer,"message",MB_OK);

}

編譯這個(gè)project，并把GetNumberOfMouse.dll放到生成的可執(zhí)行文件目錄下，便可運(yùn)行程序。運(yùn)行時(shí)，選擇“監(jiān)控”選單中的“啟動(dòng)”選單項(xiàng)，hook便開始工作，監(jiān)視鼠標(biāo)的活動(dòng)情況；選擇“撤銷”選單項(xiàng)，系統(tǒng)便撤銷hook；選擇“取出”選單項(xiàng)，程序便報(bào)告在監(jiān)控期間，用戶分別單擊鼠標(biāo)左鍵和右鍵的次數(shù)。以上程序在windows xp，visual c++ 6.0環(huán)境下成功運(yùn)行。

[1]湯春林,等.windows程序設(shè)計(jì)與架構(gòu)[M].北京：電子工業(yè)出版社，2011.

[2]Warton，Java多線程編程初步[Z].電腦報(bào)，2004-4-10.

[3]毛德操.Windows內(nèi)核情景分析[M].北京：電子工業(yè)出版社，2009.

TP39

A

1673-2219（2012）08-0046-03

2012－03－20

謝智明（1971－），湖南永州人，計(jì)算機(jī)軟件與技術(shù)系統(tǒng)分析師，研究方向?yàn)橛?jì)算機(jī)及應(yīng)用。

(責(zé)任編校：何俊華)