Hook API (C++)

一、基本概念：

鈎子(Hook)，是Windows消息處理機制的一個平台,應用程式可以在上面設定子程以監視指定視窗的某種消息，而且

所監視的視窗可以是其他程序所建立的。當消息到達後，在目标視窗處理函數之前處理它。鈎子機制允許應用程式截獲

處理window消息或特定事件。

鈎子實際上是一個處理消息的程式段，通過系統調用，把它挂入系統。每當特定的消息發出，在沒有到達目的視窗

前，鈎子程式就先捕獲該消息，亦即鈎子函數先得到控制權。這時鈎子函數即可以加工處理（改變）該消息，也可以不

作處理而繼續傳遞該消息，還可以強制結束消息的傳遞。

二、運作機制：

1、鈎子連結清單和鈎子子程：

每一個Hook都有一個與之相關聯的指針清單，稱之為鈎子連結清單，由系統來維護。這個清單的指針指向指定的，應用

程式定義的，被Hook子程調用的回調函數，也就是該鈎子的各個處理子程。當與指定的Hook類型關聯的消息發生時，系

統就把這個消息傳遞到Hook子程。一些Hook子程可以隻監視消息，或者修改消息，或者停止消息的前進，避免這些消息

傳遞到下一個Hook子程或者目的視窗。最近安裝的鈎子放在鍊的開始，而最早安裝的鈎子放在最後，也就是後加入的先

獲得控制權。

Windows 并不要求鈎子子程的解除安裝順序一定得和安裝順序相反。每當有一個鈎子被解除安裝，Windows 便釋放其占

用的記憶體，并更新整個Hook連結清單。如果程式安裝了鈎子，但是在尚未解除安裝鈎子之前就結束了，那麼系統會自動為它做卸

載鈎子的操作。

鈎子子程是一個應用程式定義的回調函數(CALLBACK Function),不能定義成某個類的成員函數，隻能定義為普通的C

函數。用以監視系統或某一特定類型的事件，這些事件可以是與某一特定線程關聯的，也可以是系統中所有線程的事

件。

鈎子子程必須按照以下的文法：

LRESULT CALLBACK HookProc

(

int nCode,

WPARAM wParam,

LPARAM lParam

);

HookProc是應用程式定義的名字。

nCode參數是Hook代碼，Hook子程使用這個參數來确定任務。這個參數的值依賴于Hook類型，每一種Hook都有自己的Hook

代碼特征字元集。

wParam和lParam參數的值依賴于Hook代碼，但是它們的典型值是包含了關于發送或者接收消息的資訊。

2、鈎子的安裝與釋放：

使用API函數SetWindowsHookEx()把一個應用程式定義的鈎子子程安裝到鈎子連結清單中。SetWindowsHookEx函數總是在

Hook鍊的開頭安裝Hook子程。當指定類型的Hook監視的事件發生時，系統就調用與這個Hook關聯的Hook鍊的開頭的Hook

子程。每一個Hook鍊中的Hook子程都決定是否把這個事件傳遞到下一個Hook子程。Hook子程傳遞事件到下一個Hook子程

需要調用CallNextHookEx函數。

HHOOK SetWindowsHookEx(

　　　　　int idHook, // 鈎子的類型，即它處理的消息類型

　　　　　HOOKPROC lpfn, // 鈎子子程的位址指針。如果dwThreadId參數為0

// 或是一個由别的程序建立的線程的辨別，

// lpfn必須指向DLL中的鈎子子程。

// 除此以外，lpfn可以指向目前程序的一段鈎子子程代碼。

// 鈎子函數的入口位址，當鈎子鈎到任何消息後便調用這個函數。

　　　　　HINSTANCE hMod, // 應用程式執行個體的句柄。辨別包含lpfn所指的子程的DLL。

// 如果dwThreadId 辨別目前程序建立的一個線程，

// 而且子程代碼位于目前程序，hMod必須為NULL。

// 可以很簡單的設定其為本應用程式的執行個體句柄。

　　　　　DWORD dwThreadId // 與安裝的鈎子子程相關聯的線程的辨別符。

// 如果為0，鈎子子程與所有的線程關聯，即為全局鈎子。

　　　　　 );

　　函數成功則傳回鈎子子程的句柄，失敗傳回NULL。

　　以上所說的鈎子子程與線程相關聯是指在一鈎子連結清單中發給該線程的消息同時發送給鈎子子程，且被鈎子子程先處

理。

在鈎子子程中調用得到控制權的鈎子函數在完成對消息的處理後，如果想要該消息繼續傳遞，那麼它必須調用另外

一個SDK中的API函數CallNextHookEx來傳遞它，以執行鈎子連結清單所指的下一個鈎子子程。這個函數成功時傳回鈎子鍊中

下一個鈎子過程的傳回值，傳回值的類型依賴于鈎子的類型。這個函數的原型如下：

LRESULT CallNextHookEx

第 1 頁

hook.txt

HHOOK hhk;

int nCode;

WPARAM wParam;

LPARAM lParam;

hhk為目前鈎子的句柄，由SetWindowsHookEx()函數傳回。

NCode為傳給鈎子過程的事件代碼。

wParam和lParam 分别是傳給鈎子子程的wParam值，其具體含義與鈎子類型有關。

鈎子函數也可以通過直接傳回TRUE來丢棄該消息，并阻止該消息的傳遞。否則的話，其他安裝了鈎子的應用程式将

不會接收到鈎子的通知而且還有可能産生不正确的結果。

鈎子在使用完之後需要用UnHookWindowsHookEx()解除安裝，否則會造成麻煩。釋放鈎子比較簡單，

UnHookWindowsHookEx()隻有一個參數。函數原型如下：

UnHookWindowsHookEx

函數成功傳回TRUE，否則傳回FALSE。

3、一些運作機制：

在Win16環境中，DLL的全局資料對每個載入它的程序來說都是相同的；而在Win32環境中，情況卻發生了變化，DLL

函數中的代碼所建立的任何對象（包括變量）都歸調用它的線程或程序所有。當程序在載入DLL時，作業系統自動把DLL

位址映射到該程序的私有空間，也就是程序的虛拟位址空間，而且也複制該DLL的全局資料的一份拷貝到該程序空間。也

就是說每個程序所擁有的相同的DLL的全局資料，它們的名稱相同，但其值卻并不一定是相同的，而且是互不幹涉的。

是以，在Win32環境下要想在多個程序中共享資料，就必須進行必要的設定。在通路同一個Dll的各程序之間共

享存儲器是通過存儲器映射檔案技術實作的。也可以把這些需要共享的資料分離出來，放置在一個獨立的資料段裡，并

把該段的屬性設定為共享。必須給這些變量賦初值，否則編譯器會把沒有賦初始值的變量放在一個叫未被初始化的資料

段中。

#pragma data_seg預處理指令用于設定共享資料段。例如：

#pragma data_seg("SharedDataName")

HHOOK hHook=NULL;

#pragma data_seg()

在#pragma data_seg("SharedDataName")和#pragma data_seg()之間的所有變量 将被通路該Dll的所有程序看

到和共享。

當程序隐式或顯式調用一個動态庫裡的函數時，系統都要把這個動态庫映射到這個程序的虛拟位址空間裡(以下簡稱

"位址空間")。這使得DLL成為程序的一部分，以這個程序的身份執行，使用這個程序的堆棧。

4、系統鈎子與線程鈎子：

SetWindowsHookEx()函數的最後一個參數決定了此鈎子是系統鈎子還是線程鈎子。

線程勾子用于監視指定線程的事件消息。線程勾子一般在目前線程或者目前線程派生的線程内。

系統勾子監視系統中的所有線程的事件消息。因為系統勾子會影響系統中所有的應用程式，是以勾子函數必須放在

獨立的動态連結庫(DLL) 中。系統自動将包含"鈎子回調函數"的DLL映射到受鈎子函數影響的所有程序的位址空間中，即

将這個DLL注入了那些程序。

幾點說明：

（1）如果對于同一事件（如滑鼠消息）既安裝了線程勾子又安裝了系統勾子，那麼系統會自動先調用線程勾子，然後

調用系統勾子。

（2）對同一事件消息可安裝多個勾子處理過程，這些勾子處理過程形成了勾子鍊。目前勾子處理結束後應把勾子資訊

傳遞給下一個勾子函數。

（3）勾子特别是系統勾子會消耗消息處理時間，降低系統性能。隻有在必要的時候才安裝勾子，在使用完畢後要及時

解除安裝。

三、鈎子類型

每一種類型的Hook可以使應用程式能夠監視不同類型的系統消息處理機制。下面描述所有可以利用的Hook類型。

1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks

WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以監視發送到視窗過程的消息。系統在消息發送到接收視窗過程

之前調用WH_CALLWNDPROC Hook子程，并且在視窗過程處理完消息之後調用WH_CALLWNDPROCRET Hook子程。

WH_CALLWNDPROCRET Hook傳遞指針到CWPRETSTRUCT結構，再傳遞到Hook子程。CWPRETSTRUCT結構包含了來自處理消

息的視窗過程的傳回值，同樣也包括了與這個消息關聯的消息參數。

第 2 頁

2、WH_CBT Hook

在以下事件之前，系統都會調用WH_CBT Hook子程，這些事件包括：

1. 激活，建立，銷毀，最小化，最大化，移動，改變尺寸等視窗事件；

2. 完成系統指令；

3. 來自系統消息隊列中的移動滑鼠，鍵盤事件；

4. 設定輸入焦點事件；

5. 同步系統消息隊列事件。

Hook子程的傳回值确定系統是否允許或者防止這些操作中的一個。

3、WH_DEBUG Hook

在系統調用系統中與其他Hook關聯的Hook子程之前，系統會調用WH_DEBUG Hook子程。你可以使用這個Hook來決定是

否允許系統調用與其他Hook關聯的Hook子程。

4、WH_FOREGROUNDIDLE Hook

當應用程式的前台線程處于空閑狀态時，可以使用WH_FOREGROUNDIDLE Hook執行低優先級的任務。當應用程式的前

台線程大概要變成空閑狀态時，系統就會調用WH_FOREGROUNDIDLE Hook子程。

5、WH_GETMESSAGE Hook

應用程式使用WH_GETMESSAGE Hook來監視從GetMessage or PeekMessage函數傳回的消息。你可以使用

WH_GETMESSAGE Hook去監視滑鼠和鍵盤輸入，以及其他發送到消息隊列中的消息。

6、WH_JOURNALPLAYBACK Hook

WH_JOURNALPLAYBACK Hook使應用程式可以插入消息到系統消息隊列。可以使用這個Hook回放通過使用

WH_JOURNALRECORD Hook記錄下來的連續的滑鼠和鍵盤事件。隻要WH_JOURNALPLAYBACK Hook已經安裝，正常的滑鼠和鍵

盤事件就是無效的。WH_JOURNALPLAYBACK Hook是全局Hook，它不能象線程特定Hook一樣使用。WH_JOURNALPLAYBACK

Hook傳回逾時值，這個值告訴系統在處理來自回放Hook目前消息之前需要等待多長時間（毫秒）。這就使Hook可以控制

實時事件的回放。WH_JOURNALPLAYBACK是system-wide local hooks，它們不會被注射到任何行程位址空間。

7、WH_JOURNALRECORD Hook

WH_JOURNALRECORD Hook用來監視和記錄輸入事件。典型的，可以使用這個Hook記錄連續的滑鼠和鍵盤事件，然後通

過使用WH_JOURNALPLAYBACK Hook來回放。WH_JOURNALRECORD Hook是全局Hook，它不能象線程特定Hook一樣使用。

WH_JOURNALRECORD是system-wide local hooks，它們不會被注射到任何行程位址空間。

8、WH_KEYBOARD Hook

在應用程式中，WH_KEYBOARD Hook用來監視WM_KEYDOWN and WM_KEYUP消息，這些消息通過GetMessage or

PeekMessage function傳回。可以使用這個Hook來監視輸入到消息隊列中的鍵盤消息。

9、WH_KEYBOARD_LL Hook

WH_KEYBOARD_LL Hook監視輸入到線程消息隊列中的鍵盤消息。

10、WH_MOUSE Hook

WH_MOUSE Hook監視從GetMessage 或者 PeekMessage 函數傳回的滑鼠消息。使用這個Hook監視輸入到消息隊列中的

滑鼠消息。

11、WH_MOUSE_LL Hook

WH_MOUSE_LL Hook監視輸入到線程消息隊列中的滑鼠消息。

12、WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以監視菜單，滾動條，消息框，對話框消息并且發現使用者使用

ALT+TAB or ALT+ESC 組合鍵切換視窗。WH_MSGFILTER Hook隻能監視傳遞到菜單，滾動條，消息框的消息，以及傳遞到

通過安裝了Hook子程的應用程式建立的對話框的消息。WH_SYSMSGFILTER Hook監視所有應用程式消息。

WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以在模式循環期間過濾消息，這等價于在主消息循環中過濾消

息。

通過調用CallMsgFilter function可以直接的調用WH_MSGFILTER Hook。通過使用這個函數，應用程式能夠在模式循環期

間使用相同的代碼去過濾消息，如同在主消息循環裡一樣。

13、WH_SHELL Hook

外殼應用程式可以使用WH_SHELL Hook去接收重要的通知。當外殼應用程式是激活的并且當頂層視窗建立或者銷毀

時，系統調用WH_SHELL Hook子程。

第 3 頁

WH_SHELL 共有５鐘情況：

1. 隻要有個top-level、unowned 視窗被産生、起作用、或是被摧毀；

2. 當Taskbar需要重畫某個按鈕；

3. 當系統需要顯示關于Taskbar的一個程式的最小化形式；

4. 當目前的鍵盤布局狀态改變；

5. 當使用者按Ctrl+Esc去執行Task Manager（或相同級别的程式）。

按照慣例，外殼應用程式都不接收WH_SHELL消息。是以，在應用程式能夠接收WH_SHELL消息之前，應用程式必須調

用SystemParametersInfo function注冊它自己。

APIHOOK執行個體剖析

關于APIHOOK的基礎知識有很多，如dll的相關知識、Hook的相關知識、系統程序與線程之間的聯系等。具體可

以看我的另兩篇文章："我的Dll(動态連結庫)學習筆記" 和 "我的Hook學習筆記"。：）下面進入這篇文章的重點，根據

APIHook源碼進行APIHook的剖析。

一、APIHOOK之dll部分

APIHook_Dll.cpp

// rivershan寫于2002.9.23 //

/

#include "stdafx.h"

#include "APIHook_Dll.h"

#include <ImageHlp.h>

#include <tlhelp32.h>

#pragma comment(lib,"ImageHlp") //定義全局共享資料段

#pragma data_seg("Shared")

HMODULE hmodDll=NULL;

#pragma comment(linker,"/Section:Shared,rws") //設定全局共享資料段的屬性

/ DllMain 函數 /

//dll的入口點

BOOL APIENTRY DllMain( HMODULE hModule,

DWORD ul_reason_for_call,

LPVOID lpReserved

)

{

switch(ul_reason_for_call)

case DLL_PROCESS_ATTACH:

//if(sHook)

case DLL_PROCESS_DETACH:

UnInstallHook();

break;

}

hmodDll=hModule;

return TRUE;

/ HookOneAPI 函數 /

//進行IAT轉換的關鍵函數，其參數含義：

//pszCalleeModuleName：需要hook的子產品名

//pfnOriginApiAddress：要替換的自己API函數的位址

//pfnDummyFuncAddress：需要hook的子產品名的位址

//hModCallerModule：我們要查找的子產品名稱，如果沒有被指派，

// 将會被指派為枚舉的程式所有調用的子產品

void WINAPI HookOneAPI(LPCTSTR pszCalleeModuleName,PROC pfnOriginApiAddress,

PROC pfnDummyFuncAddress,HMODULE hModCallerModule)

ULONG size;

//擷取指向PE檔案中的Import中IMAGE_DIRECTORY_DESCRIPTOR數組的指針

PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)

第 4 頁

ImageDirectoryEntryToData(hModCallerModule,TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT,&size);

if (pImportDesc == NULL)

return;

//查找記錄,看看有沒有我們想要的DLL

for (;pImportDesc->Name;pImportDesc++)

LPSTR pszDllName = (LPSTR)((PBYTE)hModCallerModule+pImportDesc->Name);

if (lstrcmpiA(pszDllName,pszCalleeModuleName) == 0)

if (pImportDesc->Name == NULL)

//尋找我們想要的函數

PIMAGE_THUNK_DATA pThunk =

(PIMAGE_THUNK_DATA)((PBYTE)hModCallerModule+pImportDesc->FirstThunk);//IAT

for (;pThunk->u1.Function;pThunk++)

//ppfn記錄了與IAT表項相應的函數的位址

PROC * ppfn= (PROC *)&pThunk->u1.Function;

if (*ppfn == pfnOriginApiAddress)

//如果位址相同，也就是找到了我們想要的函數，進行改寫，将其指向我們所定義的函數

WriteProcessMemory(GetCurrentProcess(),ppfn,&(pfnDummyFuncAddress),

sizeof(pfnDummyFuncAddress),NULL);

//查找所挂鈎的程序所應用的dll子產品的

BOOL WINAPI HookAllAPI(LPCTSTR pszCalleeModuleName,PROC pfnOriginApiAddress,

if (pszCalleeModuleName == NULL)

return FALSE;

if (pfnOriginApiAddress == NULL)

//如果沒傳進來要挂鈎的子產品名稱，枚舉被挂鈎程序的所有引用的子產品，

//并對這些子產品進行傳進來的相應函數名稱的查找

if (hModCallerModule == NULL)

MEMORY_BASIC_INFORMATION mInfo;

HMODULE hModHookDLL;

HANDLE hSnapshot;

MODULEENTRY32 me = {sizeof(MODULEENTRY32)};

//MODULEENTRY32:描述了一個被指定程序所應用的子產品的struct

VirtualQuery(HookOneAPI,&mInfo,sizeof(mInfo));

hModHookDLL=(HMODULE)mInfo.AllocationBase;

hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,0);

BOOL bOk = Module32First(hSnapshot,&me);

while (bOk)

if (me.hModule != hModHookDLL)

hModCallerModule = me.hModule;//指派

//me.hModule:指向目前被挂鈎程序的每一個子產品

HookOneAPI(pszCalleeModuleName,pfnOriginApiAddress,

第 5 頁

pfnDummyFuncAddress,hModCallerModule);

bOk = Module32Next(hSnapshot,&me);

//如果傳進來了，進行查找

else

UnhookAllAPIHooks 函數 /

//通過使pfnDummyFuncAddress與pfnOriginApiAddress相等的方法，取消對IAT的修改

BOOL WINAPI UnhookAllAPIHooks(LPCTSTR pszCalleeModuleName,PROC pfnOriginApiAddress,

PROC temp;

temp = pfnOriginApiAddress;

pfnOriginApiAddress = pfnDummyFuncAddress;

pfnDummyFuncAddress = temp;

return HookAllAPI(pszCalleeModuleName,pfnOriginApiAddress,

// GetMsgProc 函數

//鈎子子程。與其它鈎子子程不大相同，沒做什麼有意義的事情，繼續調用下一個鈎子子程，形成循環

LRESULT CALLBACK GetMsgProc(int code,WPARAM wParam,LPARAM lParam)

return CallNextHookEx(hHook,code,wParam,lParam);

InstallHook 函數 /

//安裝或解除安裝鈎子，BOOL IsHook參數是标志位

//對要鈎哪個API函數進行初始化

//我們這裡裝的鈎子類型是WH_GETMESSAGE

void __declspec(dllexport) WINAPI InstallHook(BOOL IsHook,DWORD dwThreadId)

if(IsHook)

hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)GetMsgProc,hmodDll,dwThreadId);

//GetProcAddress(GetModuleHandle("GDI32.dll"),"ExtTextOutA")：取得要鈎的函數在所在dll中的位址

HookAllAPI("GDI32.dll",GetProcAddress(GetModuleHandle("GDI32.dll"),

"TextOutW"),(PROC)&H_TextOutW,NULL);

"TextOutA"),(PROC)&H_TextOutA,NULL);

UnhookAllAPIHooks("GDI32.dll",GetProcAddress(GetModuleHandle("GDI32.dll"),

/ UnInstallHook 函數

//解除安裝鈎子

BOOL WINAPI UnInstallHook()

UnhookWindowsHookEx(hHook);

/ H_TextOutA 函數 /

//我們的替換函數，可以在裡面實作我們所要做的功能

//這裡我做的是顯示一個對話框，指明是替換了哪個函數

BOOL WINAPI H_TextOutA(HDC hdc,int nXStart,int nYStart,LPCSTR lpString,int cbString)

第 6 頁

MessageBox(NULL,"TextOutA","APIHook_Dll ---rivershan",MB_OK);

TextOutA(hdc,nXStart,nYStart,lpString,cbString);//傳回原來的函數，以顯示字元

/ H_TextOutW 函數 /

//同上

BOOL WINAPI H_TextOutW(HDC hdc,int nXStart,int nYStart,LPCWSTR lpString,int cbString)

MessageBox(NULL,"TextOutW","APIHook_Dll ---rivershan",MB_OK);

TextOutW(hdc,nXStart,nYStart,lpString,cbString);//傳回原來的函數，以顯示字元

*******************************************************************************

APIHook_Dll.h

//dll頭檔案，用于聲明函數

void __declspec(dllexport) WINAPI InstallHook(BOOL,DWORD);

BOOL WINAPI UnInstallHook();

LRESULT CALLBACK GetMsgProC(int code,WPARAM wParam,LPARAM lParam);

PROC pfnDummyFuncAddress,HMODULE hModCallerModule);

BOOL WINAPI H_TextOutA(HDC, int, int, LPCSTR, int);

BOOL WINAPI H_TextOutW(HDC, int, int, LPCWSTR, int);

BOOL WINAPI H_ExtTextOutA(HDC, int, int, UINT, CONST RECT *,LPCSTR, UINT, CONST INT *);

BOOL WINAPI H_ExtTextOutW(HDC, int, int, UINT, CONST RECT *,LPCWSTR, UINT, CONST INT *);

;APIHook_Dll之def檔案

LIBRARY APIHook_Dll.dll

EXPORT

InstallHook

二、APIHOOK之exe部分

APIHook_EXEDlg.cpp /

#include "APIHook_EXE.h"

#include "APIHook_EXEDlg.h"

#ifdef _DEBUG

#define new DEBUG_NEW

#undef THIS_FILE

static char THIS_FILE[] = __FILE__;

#endif

// CAPIHook_EXEDlg dialog

CAPIHook_EXEDlg::CAPIHook_EXEDlg(CWnd* pParent /*=NULL*/)

: CDialog(CAPIHook_EXEDlg::IDD, pParent)

//{{AFX_DATA_INIT(CAPIHook_EXEDlg)

// NOTE: the ClassWizard will add member initialization here

//}}AFX_DATA_INIT

// Note that LoadIcon does not require a subsequent DestroyIcon in Win32

m_hIcon = AfxGetApp()->LoadIcon(IDR_MAINFRAME);

第 7 頁

void CAPIHook_EXEDlg::DoDataExchange(CDataExchange* pDX)

CDialog::DoDataExchange(pDX);

//{{AFX_DATA_MAP(CAPIHook_EXEDlg)

// DDX_Control(pDX, IDC_EDIT1, m_Edit);

//}}AFX_DATA_MAP

BEGIN_MESSAGE_MAP(CAPIHook_EXEDlg, CDialog)

//{{AFX_MSG_MAP(CAPIHook_EXEDlg)

ON_WM_PAINT()

ON_WM_QUERYDRAGICON()

ON_BN_CLICKED(IDC_BUTTON_OUT, OnButtonOut)

ON_BN_CLICKED(IDC_BUTTON_BEGIN, OnButtonBegin)

ON_BN_CLICKED(IDC_BUTTON_STOP, OnButtonStop)

//}}AFX_MSG_MAP

END_MESSAGE_MAP()

// CAPIHook_EXEDlg message handlers

BOOL CAPIHook_EXEDlg::OnInitDialog()

CDialog::OnInitDialog();

// Set the icon for this dialog. The framework does this automatically

// when the application's main window is not a dialog

SetIcon(m_hIcon, TRUE); // Set big icon

SetIcon(m_hIcon, FALSE); // Set small icon

// TODO: Add extra initialization here

return TRUE; // return TRUE unless you set the focus to a control

// If you add a minimize button to your dialog, you will need the code below

// to draw the icon. For MFC applications using the document/view model,

// this is automatically done for you by the framework.

void CAPIHook_EXEDlg::OnPaint()

if (IsIconic())

CPaintDC dc(this); // device context for painting

SendMessage(WM_ICONERASEBKGND, (WPARAM) dc.GetSafeHdc(), 0);

// Center icon in client rectangle

int cxIcon = GetSystemMetrics(SM_CXICON);

int cyIcon = GetSystemMetrics(SM_CYICON);

CRect rect;

GetClientRect(&rect);

int x = (rect.Width() - cxIcon + 1) / 2;

int y = (rect.Height() - cyIcon + 1) / 2;

// Draw the icon

dc.DrawIcon(x, y, m_hIcon);

CDialog::OnPaint();

// The system calls this to obtain the cursor to display while the user drags

// the minimized window.

HCURSOR CAPIHook_EXEDlg::OnQueryDragIcon()

return (HCURSOR) m_hIcon;

/ OnButtonOut 函數 //

//使用TextOut函數

void CAPIHook_EXEDlg::OnButtonOut()

第 8 頁

// TODO: Add your control notification handler code here

HDC hdc = ::GetDC(GetSafeHwnd());

::TextOutA(hdc,0,0,"APIHOOK_EXE ---rivershan",30);

UpdateWindow();

/ OnButtonBegin 函數

//開始挂鈎，這裡我們挂的是自身這個APIHook_EXE這個程式

void CAPIHook_EXEDlg::OnButtonBegin()

DWORD dwThreadId = GetWindowThreadProcessId(m_hWnd,NULL);//獲得自身程序ID

InstallHook(TRUE,dwThreadId);

/ OnButtonStop 函數

//取消挂鈎

void CAPIHook_EXEDlg::OnButtonStop()

InstallHook(FALSE,0);

三、APIHOOK之內建

1. 用 VC++建立一個 Win32 Dynamic-Link Library 程式，命名為 APIHook_Dll。接下來選擇第二項 A Simple DLL

Project；

2. 建立一頭檔案，命名為 APIHook_Dll.h。删除工程中 APIHook_Dll.cpp檔案中原來的内容，然後把上面的

APIHook_Dll.cpp 和 APIHook_Dll.h檔案的内容全部複制到建立的這個工程的 .cpp及 .h檔案中來；

3. 建立一 Text檔案，命名為 APIHook_Dll.def。複制上面的def檔案内容。

4. 編譯；

5. 建立一 MFC APPWizard(exe)程式，命名為 APIHook_EXE。接着選擇第三項，基于對話框的程式，其它預設；

6. 删除原來對話框上的控件，然後建立三個按鈕ID分别為：IDC_BUTTON_BEGIN、IDC_BUTTON_STOP、IDC_BUTTON_OUT，

Caption分别為：Bigin Hook、Stop Hook、Text Out。不要讓這三個按鈕出于對話框客戶區的最上面就行；

7. 拷貝 APIHook_Dll.h檔案到 APIHook_EXE程式目錄下，然後加到 APIHook_EXE的頭檔案夾中。

8. 删除工程中 APIHook_EXE.cpp檔案中原來的内容，然後把上面的 APIHook_EXE.cpp檔案的内容全部複制到建立的這個

工程的 .cpp檔案中來；

9. 打開 Project->Setting菜單，選擇第四項link，在 Object/library moduls裡添加我們的dll的lib檔案的路徑：

../APIHook_Dll/Debug/APIHook_Dll.lib；

10. 編譯；

11. 把 APIHook_Dll.dll檔案放在 APIHook_Dll.exe程式的同一個檔案夾内；

12. 運作程式，點選 Bigin Hook按鈕，開始挂鈎。再點選 Text Out按鈕會跳出對話框并且會在程式中顯示所要顯示的

字。點選 Stop Hook然後在點選 Text Out按鈕就沒有對話框出現了。

四、一些說明

1、我這個 HookAPI是使用了 Jeffrey Richter的改寫程式的 IAT來實作的，也可以用跳轉函數入口點的方法來實作，這

個我沒做研究。：）

2、我的一些心得：

所謂 HookAPI，就是改寫程式的 IAT，再調用我自己寫的用于替換原API函數的函數。在我們自己寫的API函數

中，我們可以進行我們想要的工作。之後呢，可以把原來的函數傳回去，也可以不傳回去，隻要你設計好了就行。

而所謂調用自己的函數,就是把原函數參數都傳給我的替換函數。我們就可以利用這些參數去幹我們想做的事。

而系統呢，我想由于微軟設定的這個鈎子的目的（我這麼認為的），是以不會去檢查替換函數是否就是原函數，隻要參

數、傳回值符合條件就行，要不會出錯。替換函數的傳回值最好是原函數，否則有可能會出錯

HookAPI時，exe程式起到的作用就是進行Hook，把dll注入到要Hook的程式，并且傳回要挂接的程序的ID或者全

局鈎子，以便查詢所要挂接的子產品的IAT。如果不注入進去，系統不會讓你去查詢IAT的。DLL做的事情是确定要挂接哪個

函數和這個函數在哪個DLL中等。