1、C#键盘勾子(Hook)拦截器, 屏蔽键盘活动钩子(Hook),是 Windows 消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理 window 消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。运行机制1、钩子链表和钩子子程:每一个
2、Hook 都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护。这个列表的指针指向指定的,应用程 序定义的,被 Hook 子程调用的回调函数,也就是该钩子的各个处理子程。当与指定的Hook 类型关联的消息发生时,系统就把这个消息传递到 Hook 子程。 一些 Hook 子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个 Hook 子程或者目的窗口。最近安装的钩子放在链的开始, 而最早安装的钩子放在最后,也就是后加入的先获得控制权。Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载,Windows 便释放其占用的内存,并更新整个
3、Hook 链表。如果程序安装了钩子,但是在尚未卸载钩子之前就结束了,那么系统会自动为它做卸载钩子的操作。钩子子程是一个应用程序定义的回调函数(CALLBACK Function),不能定义成某个类的成员函数,只能定义为普通的 C 函数。用以监视系统或某一特定类型的事件,这些事件可以是与某一特定线程关联的,也可以是系统中所有线程的事件。钩子子程必须按照以下的语法:LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam);HookProc 是应用程序定义的名字。nCode 参数是 Hook 代码,Hook 子程使用这个参数
4、来确定任务。这个参数的值依赖于 Hook 类型,每一种 Hook 都有自己的 Hook 代码特征字符集。wParam 和 lParam 参数的值依赖于 Hook 代码,但是它们的典型值是包含了关于发送或者接收消息的信息。2、钩子的安装与释放:使用 API 函数 SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。 SetWindowsHookEx 函数总是在 Hook 链的开头安装 Hook 子程。当指定类型的 Hook 监视的事件发生时,系统就调用与这个 Hook 关联的 Hook 链的开头的 Hook 子程。每一个 Hook 链中的 Hook 子程都决定是否把
5、这个事件传递到下一个 Hook 子程。Hook 子程传递事件到下一个 Hook 子程需要调用 CallNextHookEx 函数。HHOOK SetWindowsHookEx( int idHook, / 钩子的类型,即它处理的消息类型HOOKPROC lpfn, / 钩子子程的地址指针。如果 dwThreadId 参数为 0/ 或是一个由别的进程创建的线程的标识,/ lpfn 必须指向 DLL 中的钩子子程。/ 除此以外,lpfn 可以指向当前进程的一段钩子子程代码。/ 钩子函数的入口地址,当钩子钩到任何消息后便调用这个函数。HINSTANCE hMod, / 应用程序实例的句柄。标识包含
6、lpfn 所指的子程的DLL。/ 如果 dwThreadId 标识当前进程创建的一个线程,/ 而且子程代码位于当前进程,hMod 必须为 NULL。/ 可以很简单的设定其为本应用程序的实例句柄。DWORD dwThreadId / 与安装的钩子子程相关联的线程的标识符。/ 如果为 0,钩子子程与所有的线程关联,即为全局钩子。); 函数成功则返回钩子子程的句柄,失败返回 NULL。以上所说的钩子子程与线程相关联是指在一钩子链表中发给该线程的消息同时发送给钩子子程,且被钩子子程先处理。在钩子子程中调用得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另外一个 SDK
7、中的 API 函数 CallNextHookEx 来传递它,以执行钩子链表所指的下一个钩子子程。这个函数成功时返回钩子链中下一个钩子过程的返回值, 返回值的类型依赖于钩子的类型。这个函数的原型如下:LRESULT CallNextHookEx(HHOOK hhk;int nCode;WPARAM wParam;LPARAM lParam;);hhk 为当前钩子的句柄,由 SetWindowsHookEx()函数返回。NCode 为传给钩子过程的事件代码。wParam 和 lParam 分别是传给钩子子程的 wParam 值,其具体含义与钩子类型有关。钩子函数也可以通过直接返回 TRUE 来丢弃
8、该消息,并阻止该消息的传递。否则的话,其他安装了钩子的应用程序将不会接收到钩子的通知而且还有可能产生不正确的结果。钩子在使用完之后需要用 UnHookWindowsHookEx()卸载,否则会造成麻烦。释放钩子比较简单,UnHookWindowsHookEx()只有一个参数。函数原型如下:UnHookWindowsHookEx(HHOOK hhk;);函数成功返回 TRUE,否则返回 FALSE。3、一些运行机制:在 Win16 环境中,DLL 的全局数据对每个载入它的进程来说都是相同的;而在 Win32 环境中,情况却发生了变化,DLL 函数中的代码所创建的任何对象(包括变量)都归调用它的线
9、程或进程所有。当进程在载入 DLL 时,操作系统自动把 DLL 地址映射到该进程的私有空间,也就是进程的虚拟地址空间,而且也复制该 DLL 的全局数据的一份拷贝到该进程空间。也就是说每个进程所拥有的相同的 DLL 的全局数据,它们的名称相同,但其值却并不一定是相同的,而且是互不干涉的。因此,在 Win32 环境下要想在多个进程中共享数据,就必须进行必要的设置。在访问同一个 Dll 的各进程 之间共享存储器是通过存储器映射文件技术实现的。也可以把这些需要共享的数据分离出来,放置在一个独立的数据段里,并把该段的属性设置为共享。必须给这些 变量赋初值,否则编译器会把没有赋初始值的变量放在一个叫未被初
10、始化的数据段中。#pragma data_seg 预处理指令用于设置共享数据段。例如:#pragma data_seg(“SharedDataName“)HHOOK hHook=NULL;#pragma data_seg()在#pragma data_seg(“SharedDataName“)和#pragma data_seg()之间的所有变量将被访问该 Dll 的所有进程看到和共享。再加上一条指令#pragma comment(linker,“/section:.SharedDataName,rws“),那么这个数据节中的数据可以在所有 DLL 的实例之间共 享。所有对这些数据的操作都针对同
11、一个实例的,而不是在每个进程的地址空间中都有一份。当进程隐式或显式调用一个动态库里的函数时,系统都要把这个动态库映射到这个进程的虚拟地址空间里(以下简称“ 地址空间“) 。这使得DLL 成为进程的一部分,以这个进程的身份执行,使用这个进程的堆栈。4、系统钩子与线程钩子:SetWindowsHookEx()函数的最后一个参数决定了此钩子是系统钩子还是线程钩子。线程勾子用于监视指定线程的事件消息。线程勾子一般在当前线程或者当前线程派生的线程内。系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序,所以勾子函数必须放在独立的动态链接库(DLL) 中。系统自动将包含“钩子回调
12、函数“的 DLL 映射到受钩子函数影响的所有进程的地址空间中,即将这个 DLL 注入了那些进程。几点说明:(1)如果对于同一事件(如鼠标消息)既安装了线程勾子又安装了系统勾子,那么系统会自动先调用线程勾子,然后调用系统勾子。 (2)对同一事件消息可安装多个勾子处理过程,这些勾子处理过程形成了勾子链。当前勾子处理结束后应把勾子信息传递给下一个勾子函数。 (3)勾子特别是系统勾子会消耗消息处理时间,降低系统性能。只有在必要的时候才安装勾子,在使用完毕后要及时卸载文章转自 CSDN 博客C#键盘勾子(Hook)拦截器,屏蔽键盘活动源代码 :(易学原创代码)如转载请标明出处 using System;
13、using System.Collections.Generic;using System.ComponentModel;using System.Data;using System.Drawing;using System.Text;using System.Windows.Forms;using System.Runtime.InteropServices;using System.Reflection;using System.Diagnostics;using Microsoft.Win32;namespace Vjsdn.Tech.KeyboardHookpublic partial
14、 class frmKeyboardHook : Form/勾子管理类 private KeyboardHookLib _keyboardHook = null;public frmKeyboardHook()InitializeComponent();private void button1_Click(object sender, EventArgs e)/安装勾子 _keyboardHook = new KeyboardHookLib();_keyboardHook.InstallHook(this.OnKeyPress);private void button2_Click(objec
15、t sender, EventArgs e)/取消勾子 if (_keyboardHook != null) _keyboardHook.UninstallHook();/ / 客户端键盘捕捉事件 . / / 由 Hook 程序发送的按键信息 / 是否拦截 public void OnKeyPress(KeyboardHookLib.HookStruct hookStruct, out bool handle)handle = false; /预设不拦截任何键 if (hookStruct.vkCode = 91) / 截获左 win(开始菜单键)handle = true;if (hookS
16、truct.vkCode = 92)/ 截获右 winhandle = true;/截获 Ctrl+Esc if (hookStruct.vkCode = (int)Keys.Escape /截获 alt+f4 if (hookStruct.vkCode = (int)Keys.F4 /截获 alt+tab if (hookStruct.vkCode = (int)Keys.Tab /截获 F1 if (hookStruct.vkCode = (int)Keys.F1)handle = true;/截获 Ctrl+Alt+Delete if (int)Control.ModifierKeys = (int)Keys.Control + (int)Keys.Alt + (int)Keys.Delete)handle = true;
