HOOK基础知识总结.pdfVIP

HOOK HOOK 基础知识总结 基础知识总结 1 1、基本概念 、基本概念 (Hook) Windows 钩子(Hook)，是 Windows 消息处理机制的一个平台，应用程序可以在上面设置子程以监视 钩子 ，是 消息处理机制的一个平台，应用程序可以在上面设置子程以监视 指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标 指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标 window 窗口处理函数之前处理它。钩子机制允许应用程序截获处理 window 消息或特定事件。钩子 窗口处理函数之前处理它。钩子机制允许应用程序截获处理 消息或特定事件。钩子 实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在 实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在 没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函 没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函 数即可以加工处理 （改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消 数即可以加工处理 （改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消 Hook API Windows Hook API Windows 息的传递。 是指 开放给程序员的编程接口，使得在用户级别下可以对操 息的传递。 是指 开放给程序员的编程接口，使得在用户级别下可以对操 API Hook API API Hook API 作系统进行控制，也就是一般的应用程序都需要调用 来完成某些功能， 的意思 作系统进行控制，也就是一般的应用程序都需要调用 来完成某些功能， 的意思 API 就是在这些应用程序调用真正的系统 API 前可以先被截获，从而进行一些处理再调用真正的 就是在这些应用程序调用真正的系统 前可以先被截获，从而进行一些处理再调用真正的 API API 来完成功能。 来完成功能。 HOOK LOCAL HOOK REMOTE HOOK SYSTEM-WIDE LOCAL HOOK HOOK LOCAL HOOK REMOTE HOOK SYSTEM-WIDE LOCAL HOOK 分为三种： 和 ，还有一种是 。 分为三种： 和 ，还有一种是 。 LOCAL HOOK HOOK REMOTE HOOK LOCAL HOOK HOOK REMOTE HOOK 就是指程序 的就是本程序中的线程。 有两种形式：一种是 就是指程序 的就是本程序中的线程。