最近自己碰到一个需求: 想通过按键给某个非焦点窗口发送键盘指令. 正好复习了一下Windows编程和Hook的相关知识, 写了一个可以用的钩子工具, 微软的官方文档入口: https://docs.microsoft.com/en-us/windows/win32/winmsg/hooks

Windows消息机制和Hook

• 首先, Windows操作系统负责维护两个消息队列(Message Queue): 系统消息队列和线程消息队列. 操作系统会为每一个有窗口的线程创建消息队列, 包括控制台程序. 当用户有一个输入以后, 比如按键或者鼠标, 系统会创建一个事件消息首先压入到系统消息队列, 然后分发到对应的线程消息队列.

• 每一个线程需要维护一个消息循环(Message Loop), 用来轮询获取消息队列中的相关消息和调用对应的窗口处理函数, 对应的API是GetMessageA(...)

• 每一个线程只能监听和响应跟自己相关的事件. 如果这个线程需要获取全局的事件响应, 这个时候就要用到Hook了. 基本过程如下:

1. 通过SetWindowsHookExA(...)设置钩子(local或者DLL)
2. 系统注入DLL或者直接发送底层消息到Hook线程
3. Hook回调函数对目标事件做出响应, 在DLL中就发送消息到Hook线程或者local直接响应
4. local或者DLL的不同由Hook的种类决定, 有些Hook只能用DLL, 下面会详细介绍

• Windows提供两种键盘钩子: WH_KEYBOARD_LL 和 WH_KEYBOARD. 援引MSDN的解释如下:
  

  键盘钩子.PNG

  WH_KEYBOARD_LL是一个Low-Level的钩子, 当Raw Input Thread(RIT)决定从系统消息队列中分发消息之前, 就已经截获了这个消息进行了处理. 所以WH_KEYBOARD_LL甚至会早于系统线程来处理消息, 比如ctrl + alt + del都可以截获, 并且WH_KEYBOARD_LL让系统不需要通过DLL来动态注入所有进程了,系统只会把消息发送到Hook线程. WH_KEYBOARD的层级比较高, 属于应用程序级别的, 所以系统线程会早于这个Hook响应, 并且只能截获系统发送到应用线程messag queue的消息, 但是优先执行该Hook的回调函数,如果Hook回调返回false才会继续处理当前应用的消息响应函数. 所以总结以下几点:

  • 这两种钩子都可以作为全局钩子使用, 只需要设置钩子的时候注入线程设成 0
  • WH_KEYBOARD_LL 在消息发送之前就已经处理了, 而 WH_KEYBOARD是发送到注入线程以后
  • WH_KEYBOARD_LL 无需系统注入DLL执行, 而 WH_KEYBOARD 需要DLL来注入所有进程空间

定位需要响应事件的窗口句柄

• 首先获取窗口所属进程的PID:
  快照系统进程, 然后轮询进程列表,根据进程名称找到对应的ID

DWORD getPIDFromProcessName(string sProcessName)
{
    PROCESSENTRY32 pe;
    pe.dwSize = sizeof(PROCESSENTRY32);
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (!Process32First(hSnapshot, &pe))
    {
        return false;
    }

    string sCur(pe.szExeFile);
    do
    {
        if (GetLastError() == ERROR_NO_MORE_FILES)
        {
            break;
        }
        sCur = pe.szExeFile;
        cout << sCur.c_str() << endl;
        if (sCur == sProcessName)
        {
            printf("Found");
            return pe.th32ProcessID;
        }
    } while (Process32Next(hSnapshot, &pe));

    return 0;
}

• 锁定目标进程需要响应事件的窗口句柄:

EnumWindows(YourCallBack, (LPARAM)pid);

设置钩子

• 如果是使用WH_KEYBOARD_LL, 直接写在Hook线程就可以了:

//HookLocal.cpp

LRESULT CALLBACK HookCallback(int code, WPARAM wParam, LPARAM lParam)
...
SetWindowsHookExA(WH_KEYBOARD_LL,HookCallback,0,0);
...

• 如果是使用WH_KEYBOARD, 要写在DLL中, 通过注入线程来调用, 这里要注意传入Hook线程的窗口句柄,用来Post一个消息通知Hook线程来处理消息:

//HookDLL.cpp

DWORD g_hwnd;

LRESULT CALLBACK HookCallback(int code, WPARAM wParam, LPARAM lParam)
{
    PostMessage(g_hwnd, ...); //发送消息到Hook线程的消息队列
    return true;
}
extern "C" _declspec(dllexport) void setHook(HWND hookWindow)
{
    HMODULE mod = GetModuleHandle(L"YourDLL.dll");
    //注入hook
    SetWindowsHookExA(WH_KEYBOARD, HookCallback, mod, 0);
    //保存Hook线程窗口句柄
    g_hwnd = hookWindow;
}

消息循环

在Hook线程中, 无论是用的哪种钩子,都需要一个消息循环轮询当前线程中的消息队列:

MSG msg;
while(GetMessageA(&msg,0,0,0))
{
   TranslateMessage(&msg);
   DispatchMessage(&msg);
}