(深入浅出HOOKS五.docVIP

用消息拦截技术制作系统日志 ===================================== 能够完整记录电脑使用情况的日志文件在 Windows系统安全管理方面的作用是不可低估的。本文介绍了利用消息拦截技术制作日志文件的方法，其中的关键函数是一个未公开的 API系统调用。 一、利用钩子（Hook）拦截系统消息 日志文件对于一个大企业内部网络的维护与管理是至关重要的。另外还有许多其它场合也离不开日志的使用，例如：多人共享一台电脑，或在家庭中要记录儿童使用电脑的细节，等等。 日志程序若想完整记录电脑运行期间有哪些软件启动过、各使用了多长时间、以及使用浏览器访问互联网的情况等，必须对系统级消息进行拦截。RegisterShellHook是一个未公开的 API系统函数，它可以帮助日志程序在整个 Windows系统范围内感知到其它窗体的创建、激活或关闭等消息，而且不要求这些窗体与日志程序有父子关系，哪怕是 Windows最高级别的窗体也可以。RegisterShellHook 调用方法为： Public Declare Function RegisterShellHook Lib Shell32 Alias #181 _ (ByVal hwnd As Long, ByVal nAction As Long) As Long 其中参数hwnd为日志程序的句柄，参数 nAction为所要进行操作的代码。具体的调用细节参见下面的例子及其注释。 二、将日志程序隐藏起来 把日志程序的Visible属性设为False当然是必要的一步。然后是 ShowInTaskbar属性也设为 False，以便其在 Windows的任务栏中不出现。最后，为了在 CTRL+ALT+DEL 所弹出的列表中隐藏日志程序，需要调用RegisterServiceProcess函数： Public Declare Function RegisterServiceProcess Lib kernel32 _ (ByVal dwProcessID As Long, ByVal dwType As Long) As Long 其中参数dwType是操作代码，值“1”表示从CTRL+ALT+DEL列表中去除，值“0”表示在列表中恢复；参数 dwProcessID是要在列表中去除或恢复的进程标识，可以用GetCurrentProcessId() API 函数得到日志程序的进程标识，也可以用更简便的方法，即把 dwProcessID参数置为空值，其含义是用当前程序的进程标识作为参数（见下例）。 另外，为了让日志程序在 Windows每次启动时都能自动运行，需要修改注册表，即在注册表的下述位置新建一个以日志程序的路径及名称为值的“串值”： \HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 此外，产生的日志文件也应妥为隐藏，最好用 Winsock控件随时向服务器传送。 为了简洁，下面的例子仅将日志文件放在了根目录，并且略去了用TCP/IP传送文件的代码。 三、一个完整的例子 下面的代码虽然短小，却是一个完整的能自我隐藏的日志程序（用 VB6.0实现，在 Win98下测试通过）。 窗体部分的代码（Form1.frm） Option Explicit Private Sub Form_Load() Dim tmp As Long 将日志程序的名称从 CTRL+ALT+DEL 列表中清除 tmp = RegisterServiceProcess(ByVal 0, 1) Timer1.Interval = 60000 定时器的作用是每隔一分钟将日志存盘 定义一个新的系统级的消息类型 Msg_ID = RegisterWindowMessage(SHELLHOOK) Call RegisterShellHook(hwnd, 1) 调用未公开的函数（进行注册） 实施拦截：在存储了原入口地址的同时，将新地址指向自定义的函数WindowProc Original = SetWindowLong(hwnd, GWL_WNDPROC, AddressOf WindowProc) End Sub Private Sub Form_Unload(Cancel As Integer) Dim tmp As Long Call RegisterShellHook(hwnd, 0) 调用未公开的函数（取消注册） tmp = SetWindowLong(hwnd, GWL_WND