HOOK技术

Posted westlife-11358

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HOOK技术相关的知识,希望对你有一定的参考价值。

1、HOOK技术在VC编程中的应用——应用比较广泛的全局HOOK

2、Windows操作系统是建立在事件驱动机制之上的,系统各部分之间的沟通也都是通过消息的相互传递而实现的。

3、在通常情况下,应用程序只能处理来自进程内部的消息或是从其他进程发过来的消息,如果需要对在进程外传递的消息进行拦截处理就必须采取一种被称为HOOK(钩子)的技术。钩子是Windows操作系统中非常重要的一种系统接口,用它可以轻松截获并处理在其他应用程序之间传递的消息,并由此可以完成一些普通应用程序难以实现的特殊功能。

4、钩子的本质是一段用以处理系统消息的程序,通过系统调用,将其挂入到系统。

5、在使用钩子时可以根据其监视范围的不同将其分为全局钩子线程钩子两大类,其中线程钩子只能监视某个线程,而全局钩子则可对在当前系统下运行的所有线程进行监视。

6、全局钩子虽然功能强大但同时实现起来也比较烦琐:其钩子函数的实现必须封装在动态链接库中才可以使用

7、任何一个钩子都由系统来维护一个指针列表(钩子链表),其指针指向钩子的各个处理函数。最近安装的钩子放在链的开始,最早安装的钩子则放在最后,当钩子监视的消息出现时,操作系统调用链表开始处的第一个钩子处理函数进行处理,也就是说最后加入的钩子优先获得控制权。

8、操作系统是通过调用钩子链表开始处的第一个钩子处理函数而进行消息拦截处理的。因此,为了设置钩子,只需将回调函数放置于链首即可,操作系统会使其首先被调用。在具体实现时由函数SetWindowsHookEx()负责将回调函数放置于钩子链表的开始位置。

9、原型:HHOOK SetWindowsHookEx(int idHook,HOOKPROC lpfn,HINSTANCE hMod,DWORD dwThreadId);

10、在SetWindowsHookEx()函数完成对钩子的安装后,如果被监视的事件发生,系统马上会调用位于相应钩子链表开始处的钩子处理函数进行处理,每一个钩子处理函数在进行相应的处理时都要考虑是否需要把事件传递给下一个钩子处理函数

11、由于安装钩子对系统的性能有一定的影响,所以在钩子使用完毕后应及时将其卸载以释放其所占资源。释放钩子的函数为UnhookWindowsHookEx()。

以上是关于HOOK技术的主要内容,如果未能解决你的问题,请参考以下文章

HOOK技术

逆向实用干货分享,Hook技术第一讲,之Hook Windows API

Android Native Hook技术

hook技术整理

Android so注入(inject)和Hook技术学习——Got表hook之导出表hook

Hook技术--Activity的启动过程的拦截