WINDOWS键盘事件的挂钩监控原理及其应用技术

WINDOWS键盘事件的挂钩监控原理及其应用技术2008-01-05WINDOW的消息处理机制为了能在应用程序中监控系统的各种事件消息，提供了挂接各种反调函数（HOOK）的功能。这种挂钩函数（HOOK）类似扩充中断驱动程序，挂钩上可以挂接多个反调函数构成一个挂接函数链。系统产生的各种消息首先被送到各种挂接函数，挂接函数根据各自的功能对消息进行监视、修改和控制等，然后交还控制权或将消息传递给下一个挂接函数以致最终达到窗口函数。WINDOW系统的这种反调函数挂接方法虽然会略加影响到的运行效率，但在很多场合下是非常有用的，通过合理有效地利用键盘事件的挂钩函数监控机制可以达到预想不到的良好效果。

一、在WINDOWS键盘事件上挂接监控函数的方法

WINDOW下可进行挂接的过滤函数包括11种：

WH_CALLWNDPROC 窗口函数的过滤函数

WH_CBT 计算机培训过滤函数

WH_DEBUG 调试过滤函数

WH_GETMESSAGE 获取消息过滤函数

WH_HARDWARE 硬件消息过滤函数

WH_JOURNALPLAYBACK 消息重放过滤函数

WH_JOURNALRECORD 消息记录过滤函数

WH_MOUSE 鼠标过滤函数

WH_MSGFILTER 消息过滤函数

WH_SYSMSGFILTER 系统消息过滤函数

WH_KEYBOARD 键盘过滤函数

其中键盘过滤函数是最常用最有用的过滤函数类型，不管是哪一种类型的过滤函数，其挂接的基本方法都是相同的。

WINDOW调用挂接的反调函数时总是先调用挂接链首的那个函数，因此必须将键盘挂钩函数利用函数SetWindowsHookEx（）将其挂接在函数链首。至于消息是否传递给函数链的下一个函数是由每个具体函数功能确定的，如果消息需要传统给下一个函数，可调用API函数的CallNextHookEx（）来实现，如果不传递直接返回即可。挂接函数可以是用来监控所有线程消息的全局性函数，也可以是单独监控某一线程的局部性函数。如果挂接函数是局部函数，可以将它放到一个.DLL动态链接库中，也可以放在一个局部模块中；如果挂接函数是全局的，那么必须将其放在一个.DLL动态链接库中。挂接函数必须严格按照下述格式进行声明，以键盘挂钩函数为例：