科技資訊3成ao1wnoT技術(shù)Hok技術(shù)及其應(yīng)用趙慧然1石磊2(1.哈爾濱工程大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院2.黑龍江大學(xué))摘要∷計(jì)算機(jī)監(jiān)控系統(tǒng)有時(shí)需要將用戶對(duì)操作系統(tǒng)旳交互信息進(jìn)行記錄,wησw操作系統(tǒng)提供的卜ok技術(shù)就能實(shí)現(xiàn)這個(gè)功能,本文介紹了wndo5平臺(tái)下鉤子函數(shù)的特點(diǎn)及其關(guān)鍵技術(shù),并通過日志鉤子函數(shù)來實(shí)現(xiàn)對(duì)鍵盤擊鍵信息的記錄,給出實(shí)現(xiàn)過程。關(guān)鍵字:Hok函數(shù)日志鉤子中圖分類號(hào):F224-39文獻(xiàn)標(biāo)識(shí)碼:A基于 Wi ndows的操作系統(tǒng)是事件驅(qū)動(dòng)的(Eveηt-消息,監(jiān)視窗口的打開關(guān)閉以及實(shí)現(xiàn)記錄宏等等,應(yīng)用靈活,dr i ven),即消息驅(qū)動(dòng)的,應(yīng)用程序所采取的任何動(dòng)作都依賴功能強(qiáng)大。于它所獲得的消息類型及其內(nèi)容; W dowe操作系統(tǒng)提供了種機(jī)制即鉤子(Hook),通過它應(yīng)用程序可以監(jiān)視系統(tǒng)中的1.Hbok函數(shù)的工作原理消息傳遞并能夠在他們到達(dá)目標(biāo)窗口之前對(duì)其進(jìn)行處理。這可W dowe操作系統(tǒng)對(duì)系統(tǒng)輸入的處理過程是:系統(tǒng)監(jiān)視鍵盤以幫助應(yīng)用程序?qū)崿F(xiàn)某些特殊目的,如控制鍵盤或鼠標(biāo)的輸入和鼠標(biāo)動(dòng)作并把這些動(dòng)作以消息的形式傳送紿對(duì)應(yīng)的應(yīng)用程序,安裝便捷:一般在網(wǎng)絡(luò)建設(shè)中,施工周期最長、對(duì)周邊現(xiàn),其中以無線網(wǎng)卡最為普遍,使用最多。無線局域網(wǎng)的關(guān)環(huán)境影響最大的,就是網(wǎng)絡(luò)布線施工工程。而無線局域網(wǎng)最大鍵技術(shù),除了紅外傳輸技術(shù)、擴(kuò)頻技術(shù)、網(wǎng)同步技術(shù)外還有的優(yōu)勢就是免去或減少了網(wǎng)絡(luò)布線的工作量,一般只要安裝些其他技術(shù),如:調(diào)制技術(shù)、加解擾技術(shù)、無線分集接收個(gè)或多個(gè)接入點(diǎn)AP( Access poi nt)設(shè)備,就可建立覆蓋整個(gè)建技術(shù)、功率控制技術(shù)和節(jié)能技術(shù)。筑或地區(qū)的局域網(wǎng)絡(luò)。使用靈活:在有線網(wǎng)絡(luò)中,網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)信5.無線局域網(wǎng)的應(yīng)用息點(diǎn)位置的限制。而一旦無線局域網(wǎng)建成后,在無線網(wǎng)的信號(hào)基于無線局域網(wǎng)具有的諸多優(yōu)點(diǎn),它可廣泛應(yīng)用于下列領(lǐng)覆蓋區(qū)域內(nèi)任何一個(gè)位置都可以接入網(wǎng)絡(luò)域:接入網(wǎng)絡(luò)信息系統(tǒng):電子郵件、文件傳輸和終端仿真經(jīng)濟(jì)節(jié)約:由于有線網(wǎng)絡(luò)缺少靈活性,這就要求網(wǎng)絡(luò)規(guī)劃者難以布線的環(huán)境:老建筑、布線困難或昂貴的露天區(qū)域、城盡可能地考慮未來發(fā)展的需要,這就往往導(dǎo)致預(yù)設(shè)大量利用率較低市建筑群、校園和工廠;頻繁變化的環(huán)境:頻繁更換工作地的信息點(diǎn)。而一旦網(wǎng)絡(luò)的發(fā)展超出了設(shè)計(jì)規(guī)劃,又要花費(fèi)較多費(fèi)用點(diǎn)和改變位置的零售商、生產(chǎn)商,以及野外勘測、試驗(yàn)、軍進(jìn)行網(wǎng)絡(luò)改造,而無線局域網(wǎng)可以避免或減少以上情況的發(fā)生事、公安和銀行等;使用便攜式計(jì)算機(jī)等可移動(dòng)設(shè)備進(jìn)行快速易于擴(kuò)展:無線局域網(wǎng)有多種配置方式,能夠根據(jù)需要靈網(wǎng)絡(luò)連接;用于遠(yuǎn)距離信息的傳輸:如在林區(qū)進(jìn)行火災(zāi)、病活選擇。它能夠勝仼從只有幾個(gè)用戶的小型局域網(wǎng)到上千用戶蟲害等信息的傳輸;公安交通管理部門進(jìn)行交通管理等;專門的大型網(wǎng)絡(luò),并能提供像“漫游( Roam ng)”等有線網(wǎng)絡(luò)無工程或高峰時(shí)間所需的暫時(shí)局域網(wǎng):學(xué)校、商業(yè)展覽等人員流法提供的特性。動(dòng)較強(qiáng)的地方;利用無線局域網(wǎng)進(jìn)行信息的交流;零售商、空運(yùn)和航運(yùn)公司高峰時(shí)間所需的額外工作站等;流動(dòng)工作者可得4.無線局域網(wǎng)的結(jié)構(gòu)到信息的區(qū)域:需要在醫(yī)院、零售商店或辦公室區(qū)域流動(dòng)時(shí)得根據(jù)不同局域網(wǎng)的應(yīng)用環(huán)境與需求的不同,無線局域網(wǎng)可到信息的醫(yī)生、護(hù)土、零售商、白領(lǐng)工作者;辦公室和家庭采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來實(shí)現(xiàn)互聯(lián)。常用的有如下幾種辦公室(SOHO)用戶,以及需要方便快捷地安裝小型網(wǎng)絡(luò)4.1網(wǎng)橋連接型:不同的局域網(wǎng)之間互聯(lián)時(shí),由于物理上的用戶。的原因,若采取有線方式不方便,則可利用無線網(wǎng)橋的方式實(shí)現(xiàn)二者的點(diǎn)對(duì)點(diǎn)連接,無線網(wǎng)橋不僅提供二者之間的物理與數(shù)6.結(jié)束語據(jù)鏈路層的連接,還為兩個(gè)網(wǎng)的用戶提供較高層的路由與協(xié)議無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難轉(zhuǎn)換雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢,但與有線網(wǎng)絡(luò)相比,也有很多不4.2基站接入型:當(dāng)采用移動(dòng)蜂窩通信網(wǎng)接入方式組建無線足。無線網(wǎng)絡(luò)速率較慢、價(jià)格較高,因而主要面向有特定需局域網(wǎng)時(shí),各站點(diǎn)之間的通信是通過基站接入、數(shù)據(jù)交換方式求的用戶。目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò),還只是來實(shí)現(xiàn)互聯(lián)的。各移動(dòng)站不僅可以通過交換中心自行組網(wǎng),還有線網(wǎng)絡(luò)的補(bǔ)充,而不是替換。但也應(yīng)該看到,近年來,隨可以通過廣域網(wǎng)與遠(yuǎn)地站點(diǎn)組建自己的工作網(wǎng)絡(luò)著相關(guān)產(chǎn)品的價(jià)格下降,相應(yīng)軟件也逐漸成熟。此外,無線4.3HUB接入型:利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動(dòng)互聯(lián)網(wǎng)的多媒局域網(wǎng),具有與有線Hub組網(wǎng)方式相類似的優(yōu)點(diǎn)。在該結(jié)構(gòu)體業(yè)務(wù)。相信在未來,無線局域網(wǎng)將以它的高速傳輸能力和靈基礎(chǔ)上的wAN,可采用類似于交換型以太網(wǎng)的工作方式,要活性發(fā)揮更加重要的作用。求Hub具有簡單的網(wǎng)內(nèi)交換功能4.4無中心結(jié)構(gòu):要求網(wǎng)中任意兩個(gè)站點(diǎn)均可直接通信參考文獻(xiàn)此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道,MAC層采用[]王瑩,張萍無線資源管理北京郵電大學(xué)出版社2005CSMA類型的多址接入?yún)f(xié)議2]錢進(jìn)無轉(zhuǎn)應(yīng)田由T業(yè)出版社2004無線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過無線Hub、無線[3]金純IE中國煤化工業(yè)出版社2004接入站(AP)、無線網(wǎng)橋、無線 Mo de n及無線網(wǎng)卡等來實(shí)CNMHG70科技資訊 SCI ENCE& TECHNOL OGY I NF ORMATI ONIT技術(shù)SCI ENCE TECHNOLOGY科技資訊由應(yīng)用程序自己進(jìn)行處理。這時(shí)我們很自然的想到類似于中斷I if ( nCode< 0/定義日志鉤子函數(shù)截獲的處理的方法,我們可以在系統(tǒng)把消息傳送給應(yīng)用程序的ret ur n Cal I Next Hook Ex( hook Dat a[J OURNAL RECORD這個(gè)過程中截獲消息并在進(jìn)行完自己的處理后再交給應(yīng)用程序。hook, nCode, WPar am| Par am;//重新執(zhí)行本程序nCode = HC ACTI ON2.Hbok的種類f EVENTMG *pEvt = EVENTM6G *)I Par am按事件分類,有如下的幾種常用類型i f( pEvt->message = W KEYDOW鍵盤鉤子和低級(jí)鍵盤鉤子可以監(jiān)視各種鍵盤消息。/判斷是否有按鍵動(dòng)作鼠標(biāo)鉤子和低級(jí)鼠標(biāo)鉤子可以監(jiān)視各種鼠標(biāo)消息。t int vKey LOBYTE( pEvt->par amL)外殼鉤子可以監(jiān)視各種She|事件消息。比如啟動(dòng)和關(guān)閉應(yīng)//取得虛擬鍵值用程序。char ch日志鉤子可以記錄從系統(tǒng)消息隊(duì)列中取出的各種事件消息。窗口過程鉤子監(jiān)視所有從系統(tǒng)消息隊(duì)列發(fā)往目標(biāo)窗口的消hOcus Get Act i vew ndow)/取得當(dāng)前活動(dòng)窗口句柄按使用范圍分類,主要有線程鉤子和系統(tǒng)鉤子f(g hLast Focus != hOcus)線程鉤子監(jiān)視指定線程的事件消息。/判斷當(dāng)前活動(dòng)窗口是否改變系統(tǒng)鉤子監(jiān)視系統(tǒng)中的所有線程的事件消息Get W ndowText( hFocus, SzTi tI e, 256)g_ hLast Focus hOcus3.日志鉤子日志鉤子是一種很特別的鉤子,它只是在系統(tǒng)信息(如鍵Post Message( hWhd, WM HOOKMESSAGE, ( WPARAM盤信息和鼠標(biāo)信息等)進(jìn)出隊(duì)列才起作用。系統(tǒng)中只存在一個(gè) g_ SendBuf fer,0)這樣的日志鉤子,所以無論我們要提取鼠標(biāo)信息還是鍵盤信息nt i Shi f t= Get KeySt at e(0×10);//判斷SHFT都只需加載一次日志鉤子,因此利用日志鉤子提取系統(tǒng)信息的方 CAPTI ON, NUM OCK等鍵是否按下法,與以往的方法比較起來就顯得簡單、快捷。nt i Capi t al Get Key St at e( Ox14)日志鉤子函數(shù)在系統(tǒng)中優(yōu)先級(jí)最大,一般情況下日志鉤子是nt i Nunrock = Get Key St at e( 0x90)在系統(tǒng)之前就處理了它所需要處理的信息,因此對(duì)于日志鉤子來bool bShi ft=(i Shi ft& Key Press Mask)== KeyPr essMask說,系統(tǒng)無法將它所需的信息屏蔽,讓日志鉤子無法提取。日志bool cApi tal =(i Capi tal &1)5728==1;鉤子函數(shù)可以提取出別的鉤子函數(shù)無法提取的信息。bool bNumock=(i NumLock &1)==1;雖然嚴(yán)格地說日志鉤子是全局鉤子的一種,但是使用日志鉤i f kEy >=48&&vEy < 57子不需要?jiǎng)討B(tài)鏈接庫,而全局鉤子則必須要用動(dòng)態(tài)鏈接庫.在使//測試數(shù)字0-9的按鍵狀態(tài)用日志鉤子函數(shù)時(shí),首先安裝鉤子,安裝鉤子函數(shù)我們一般通過t if(! bshi ft)HHOOK Set w ndows Hook ex()來進(jìn)行char)vEy: strcat(g SendBuf fer, ""Set W ndows Hook Ex(i nt i dHook, HooKPRoc I pf nstrncat (g_ SendBuf fer, &C, 1)HI NS TaNcE hmbd, dword dwt hr eadi d)Post Message( hWhd, WM HOOKMESSAGE, WPARAMd Hbok/所要安裝的鉤子的類型g_SendBuf fer, si zeof g_SendBuf fer)): 33I pf n∥/鉤子函數(shù)的地址//應(yīng)用實(shí)例的句柄A-z(a-z)的按鍵狀態(tài)、小鍵盤0-9、其他鍵、方dwthr eadi d//安裝鉤子函數(shù)的線程標(biāo)識(shí)向鍵、功能鍵[F1]-[F12]、SHFT, CAPTI ON, NUM OCK安裝日志鉤子只要把ⅰ dhoo k的值設(shè)置為等鍵的代碼此處略WH」 OURNAL RE CORD即可,lpfn設(shè)置為相應(yīng)所調(diào)用的鉤ret ur n Cal I Next Hook Ex( hook Dat a[ OURNALRECORD子函數(shù)的子函數(shù)名,而hMbd設(shè)為: Af x i nst ancehandl e(),hook, nCode, WPar am I Par am;}而 dwthr eadi d則設(shè)為0值安裝完成以后,我們只需要把日志鉤子提取出來的信息按要5.結(jié)論求進(jìn)行過濾,就可以得到鍵盤信息或鼠標(biāo)信息。鉤子(Hook)具有強(qiáng)大的功能,它可以對(duì) W ndows系統(tǒng)消用完日志鉤子以后,就應(yīng)該把它卸載掉。一般使用息進(jìn)行攔截、監(jiān)視和處理。該技術(shù)可以應(yīng)用于監(jiān)控、系統(tǒng)信UnhookW ndows Hook ex( HHOOK hhk)函數(shù)息記錄等系統(tǒng)軟件。本文對(duì)鉤子核心技術(shù)進(jìn)行了詳細(xì)的描述并Unhook W ndows Hook Ex( HOok hhk給出了捕獲鍵盤信息的部分代碼,希望對(duì)讀者能有所啟發(fā)。HHOOK hhk//所要卸載掉的鉤子程序的句柄由于日志鉤子在系統(tǒng)處理信息之前就處理了系統(tǒng)所要處理的參考文獻(xiàn)信息,這就增加系統(tǒng)處理信息的時(shí)間,系統(tǒng)性能會(huì)降低,這一點(diǎn)在[們[美] RI CHTER」, W ndow核心編程[M.北京:機(jī)系統(tǒng)負(fù)載較重的情況下尤其突岀。所以我們?cè)谑褂猛耆罩俱^子械工業(yè)出版社,2000.以后,一定要把日志鉤子卸載,以免降低系統(tǒng)性能。[2][美] Eugene d afen,等.MCⅵ sual c++6技術(shù)內(nèi)幕[M.王建華等譯.北京清華大學(xué)出版社,2004.使用日志鉤子捕獲鍵盤擊鍵信息由于日志鉤子方便快捷的特性,鉤子技術(shù)應(yīng)用就以日志鉤子為例,下面是利用日志鉤子采集鍵盤擊鍵信息的代碼片斷LRESUL T CALLBACK Jour nal Recor dPr oc(i nt nCode中國煤化工WPARAM WPar am LPARAM I Par amCNMHG科技資訊 SCI ENCE& TECHNOL OGY I NFORMATI ON7