鉤子(Hook)����,是Windows消息處理機(jī)制的一個(gè)平臺(tái),應(yīng)用程序可以在上面設(shè)置子程以監(jiān)視指定窗口的某種消息,而且所監(jiān)視的窗口可以是其他進(jìn)程所創(chuàng)建的�。
在何時(shí)替換IAT表呢?
如果這個(gè)主進(jìn)程是我們自己的�,那么這就不是一個(gè)問題���,我們直接在進(jìn)程的代碼中替換IAT表就好了���。但如果這個(gè)主進(jìn)程是另一個(gè)應(yīng)用程序或者所有的所用程序呢?Windows的SetHook機(jī)制給我解決了這個(gè)問題。
為了說明SetHook的方法�,我引用別人的一段文字:
運(yùn)行機(jī)制
1、鉤子鏈表和鉤子子程:
每一個(gè)Hook都有一個(gè)與之相關(guān)聯(lián)的指針列表��,稱之為鉤子鏈表�,由系統(tǒng)來維護(hù)。這個(gè)列表的指針指向指定的�,應(yīng)用程序定義的,被Hook子程調(diào)用的回調(diào)函數(shù)�,也就是該鉤子的各個(gè)處理子程�。當(dāng)與指定的Hook類型關(guān)聯(lián)的消息發(fā)生時(shí),系統(tǒng)就把這個(gè)消息傳遞到Hook子程��。一些Hook子程可以只監(jiān)視消息�,或者修改消息,或者停止消息的前進(jìn)���,避免這些消息傳遞到下一個(gè)Hook子程或者目的窗口���。最近安裝的鉤子放在鏈的開始���,而最早安裝的鉤子放在最后,也就是后加入的先獲得控制權(quán)�。
Windows 并不要求鉤子子程的卸載順序一定得和安裝順序相反。每當(dāng)有一個(gè)鉤子被卸載���,Windows 便釋放其占用的內(nèi)存����,并更新整個(gè)Hook鏈表�。如果程序安裝了鉤子,但是在尚未卸載鉤子之前就結(jié)束了����,那么系統(tǒng)會(huì)自動(dòng)為它做卸載鉤子的操作。
鉤子子程是一個(gè)應(yīng)用程序定義的回調(diào)函數(shù)(CALLBACK Function),不能定義成某個(gè)類的成員函數(shù)��,只能定義為普通的C函數(shù)��。用以監(jiān)視系統(tǒng)或某一特定類型的事件����,這些事件可以是與某一特定線程關(guān)聯(lián)的��,也可以是系統(tǒng)中所有線程的事件�。
鉤子子程必須按照以下的語法:
LRESULT CALLBACK HookProc
(
int nCode,
WPARAM wParam,
LPARAM lParam
);
HookProc是應(yīng)用程序定義的名字���。
相關(guān)推薦:
C++考試輔導(dǎo):內(nèi)存分配的五種方法的區(qū)別 2009年c++二級等考輔導(dǎo):char*和char[]的區(qū)別
