利用日志钩子函数实现Windows系统信息的捕获.pdfVIP

第 27 卷 第 4 期 昆　明　理 　工 　大 　学 　学 　报 Vol. 27 　No. 04 2002 年 8 月 Journal of Kunming University of Science and Technology Aug. 2002 利用日志钩子函数实现 Windows 系统信息的捕获 魏 　东 ,车文刚 ,段继磊 ,温 　琪 ( 昆明理工大学 信息工程与自动化学院 ,云南 昆明　650051) 摘要 : 传统的捕捉 Windows 系统信息方法 ,是通过安装相应的钩子函数来捕捉的 ,如捕捉键盘信 息需要安装键盘钩子等 ;这种方法较为麻烦. 而本文提出一种新的简单的方法 —利用日志钩子来 捕捉系统信息. 利用这种方法无论是鼠标信息还是键盘信息都可以只利用日志钩子来捕捉. 关键词 : Windows ;钩子函数 ;DLL ; 日志钩子 ( ) 中图分类号 :TP311. 11. 　 文献标识码 :A 文章编号 :1007 - 855X 2002 04 - 086 - 04 0 引言 Windows 系统是建立在事件驱动的机制上的 ,整个系统都是通过消息的传递来实现的. 钩子函数是 Windows 系统中非常重要的系统接口,通过安装各种钩子 ,应用程序能够设置相应的子例程来监视系统里 的消息传递以及在这些消息到达 目标窗口程序之前处理它们. 用钩子函数可以截获并处理送给其他应用 程序的消息 ,来完成普通应用程序难以实现的功能. 钩子函数的种类很多 ,每种钩子可以截获并处理相应的消息. 一般来说钩子分为线程钩子 、全局钩子 和日程钩子. 线程钩子只监视指定的线程 ;而全局钩子则是监视系统中的所有线程. 对于全局钩子 ,钩子 ( ) 函数必须包含在独立的动态链接库 DLL 中 ,这样才能被各种相关联的应用程序调用. ( ) 动态链接库 Dynamic Link Library ,简称 DLL 是指 Windows 把一个模块中的函数调用链接到库模块中 的实际函数上的过程. 虽然 DLL 可以被不同程序所共享 ,但使用 DLL 会带来一些问题 ,主要在于如果一 个依赖于它的应用程序找不到 DLL 时就会失败 ,并且它使编程也变得复杂. 一般来说 ,我们要捕捉系统信息的话 ,必须装载相应的钩子函数 ,如捕捉键盘信息就必须加载键盘钩 子. 这种方法较为麻烦 ,而且在键盘钩子和鼠标钩子处理系统信息前 ,系统已经先行处理了这些信息 ,所 以有些系统信息如 :输入的密码等 ,键盘钩子和鼠标钩子是无法提取出来. 本文提出一种新的、简单的、有效的捕捉系统信息的方法 —利用日志钩子来提取系统信息. 这种方法 克服了传统方法带来的弊端 ,使编程的效率大大得到了提高. 1 日志钩子函数的特点 ( ) 日志钩子是一种很特别的钩子 ,它只是在系统信息 如键盘信息和鼠标信息等 进出队列 ,才起作用. 系统中只存在一个这样的日志钩子. 所以无论我们要提取鼠标信息 ,还是键盘信息都只需加载一次 日志 钩子 ,因此利用日志钩子提取系统信息的方法 ,与以往的方法比较起来就显得简单 、快捷. 日志钩子函数在系统中优先级最大 ,一般情况下日志钩子是在系统之前就处理了它所需要处理的信 息 ,因此对于日志钩子来说 ,系统无法将它所需的信息屏蔽 ,让 日志钩子无法提取. 日志钩子函数可以提 取出别的钩子函数无法提取的信息. 虽然严格地说日志钩子是全局钩子的一种 ,但是使用 日志钩子不需要动态链接库 ,而全局钩子则必 须要用动态链接库. 在使用日志钩子函数时 ,首先安装钩子 ,