[转载]对于HOOK函数的一点认识.docVIP

[转载]对于HOOK函数的一点认识 一、序言 对大多数的Windows开发者来说，如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题，因为这将是对你所掌握的计算机知识较为全面的考验，尤其是一些在如今使用RAD进行软件开发时并不常用的知识，这包括了操作系统原理、汇编语言甚至是关于机器指令代码的（听上去真是有点恐怖，不过这是事实）。 当前广泛使用的Windows操作系统中，像Win 9x和Win NT/2K，都提供了一种比较稳健的机制来使得各个进程的内存地址空间之间是相互独立，也就是说一个进程中的某个有效的内存地址对另一个进程来说是无意义的，这种内存保护措施大大增加了系统的稳定性。不过，这也使得进行系统级的API拦截的工作的难度也大大加大了。 当然，我这里所指的是比较文雅的拦截方式，通过修改可执行文件在内存中的映像中有关代码，实现对API调用的动态拦截；而不是采用比较暴力的方式，直接对可执行文件的磁盘存储中机器代码进行改写。 二、API钩子系统一般框架 通常，我们把拦截API的调用的这个过程称为是安装一个API钩子（API Hook）。一个API钩子至少有两个模块组成：一个是钩子服务器（Hook Server）模块，一般为EXE的形式；一个是钩子驱动器（Hook Driver）模块，一般为DLL的形式。 服务器主要负责向目标进程注入驱动器，使得驱动器工作在目标进