DLL 实践说明 (DllMain的��?

�ȝ�� — Mon, 25 Feb 2008 08:11:00 GMT

DllMain的��用：
DllMain函数是DLL模块的默认入口点。当Windows加蝲DLL模块时调用这一函数。系�l�首先调用全局对象的构造函敎ͼ�然后调用全局函数 DLLMain。DLLMain函数不仅在将DLL链接加蝲到进�E�时被调用，在DLL模块与进�E�分��L��Q�以及其它时候）也被调用。下面是一个框�?DLLMain函数的例子�?br />
如果我们在DllMain中写入下面的代码�Q�在原来的gandll.c中添加下面的代码�Q�：
BOOL APIENTRY DllMain(HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
    printf("hModule.%p lpReserved.%p \n", hModule, lpReserved);

    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
            printf("Process attach. \n");
            break;

        case DLL_PROCESS_DETACH:
            printf("Process detach. \n");
            break;

        case DLL_THREAD_ATTACH:
            printf("Thread attach. \n");
            break;

        case DLL_THREAD_DETACH:
            printf("Thread detach. \n");
            break;
    }

    return (TRUE);
}

同时��dlltest\dlltest.c修改为：
#include
#include "dlltest.h"

int main(int argc, char **argv)
{
    printf("Simple DLL test start. \n");

    printf("Call DLL function: \n");
    printf("Test DLL values: %d \n", add2(1, 2));
    printf("Call DLL function end. \n");

    printf("Simple DLL test end. \n");

    return (0);
}

我简单的��试一下输出结果�ؓ�Q?br />C:\gandll\dlltest>dlltest
hModule.10000000 lpReserved.0012FD30
Process attach.
Simple DLL test start.
Call DLL function:
Test DLL values: 3
Call DLL function end.
Simple DLL test end.
hModule.10000000 lpReserved.00000001
Process detach.
也就是说DLL加蝲和应用程序退出的使用都会调用该函敎ͼ�DllMain�Q�的哦，是应用程序一上来��p��用的�Q�不是用到该函数时才调用的！

好象有个问题�Q?br />下面的话来源�Q?a target="_blank">http://waiguai.blogdriver.com/waiguai/989918.html
采用隐式链接方式�Q�程序员在徏立一个DLL文�g�Ӟ��链接�E�序会自动生成一个与之对应的LIB导入文�g。该文�g包含了每一个DLL导出函数的符号名和可选的标识��P��但是�q�不含有实际的代码。LIB文�g作�ؓDLL的替代文件被�~�译到应用程序项目中。当�E�序员通过静态链接方式编译生成应用程序时�Q�应用程序中的调用函��C��LIB文�g中导出符��L��匚w��Q�这些符��h��标识可��入到生成的EXE文�g中。LIB文�g中也包含了对应的DLL文�g名（但不是完全的路径名）�Q�链接程序将其存储在EXE文�g内部。当应用�E�序�q�行�q�程中需要加载DLL文�g�Ӟ��Windows�Ҏ��q�些信息发现�q�加载DLL�Q�然后通过�W�号名或标识号实现对 DLL函数的动态链接�?br />
我们看他说的“当应用�E�序�q�行�q�程中需要加载DLL文�g时”，我做的实验测试的是，在输�?br />Simple DLL test start.
Call DLL function:
�q�两行应该是不需要DLL的啊�Q?怎么应用�E�序在前面输��Z��Q?br />hModule.10000000 lpReserved.0012FD30
Process attach.
�q�个呢？ �q�就说明其实应用�E�序一上来��p��用了DLL的（�q�有一�U�可能就是他是正��的�Q�由于编译器优化的原因��的该DLL一上来��p��调用了）�?br />到地是�ؓ什么？再查�Q�再查。。。。。�?

�ȝ�� 2008-02-25 16:11 发表评论

HOOK专题

�ȝ�� — Wed, 24 Oct 2007 05:31:00 GMT

HOOK专题

基本概念
�q�行机制
钩子�c�d��
作�?/li>

基本概念

钩子(Hook)�Q�是Windows消息处理机制的一个��^�?应用�E�序可以在上面设�|�子�E�以监视指定�H�口的某�U�消息，而且所监视的窗口可以是其他�q�程所创徏的。当消息到达后，在目标窗口处理函��C��前处理它。钩子机制允许应用程序截获处理window消息或特定事件�?/div>

钩子实际上是一个处理消息的�E�序�D�，通过�pȝ��调用�Q�把它挂入系�l�。每当特定的消息发出�Q�在没有到达目的�H�口前，钩子�E�序��先捕获该消息，亦即钩子函数先得到控

制权。这旉��子函数即可以加工处理�Q�改变）该消息，也可以不作处理而��l�传递该消息�Q�还可以强制�l�束消息的传递�?/div>

�q�行机制

1、钩子链表和钩子子程�Q?/div>

每一个Hook都有一个与之相兌��的指针列表，�U�C��为钩子链表，��q��l�来�l�护。这个列表的指针指向指定的，应用�E�序定义的，被Hook子程调用的回调函敎ͼ�也就是该钩子的各个处理子�E�。当与指定的Hook�c�d��兌��的消息发生时�Q�系�l�就把这个消息传递到Hook子程。一些Hook子程可以只监视消息，或者修�Ҏ��息，或者停止消息的前进�Q�避免这些消息传递到下一个Hook子程或者目的窗口。最�q�安装的钩子攑֜�铄��开始，而最早安装的钩子攑֜�最后，也就是后加入的先获得控制权�?/div>

Windows �q�不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸蝲�Q�Windows 侉K��攑օ�占用的内存，�q�更新整个Hook链表。如果程序安装了钩子�Q�但是在��未卸蝲钩子之前��q��束了�Q�那么系�l�会自动为它做卸载钩子的操作�?/div>

钩子子程是一个应用程序定义的回调函数(CALLBACK Function),不能定义成某个类的成员函敎ͼ�只能定义为普通的C函数。用以监视系�l�或某一特定�c�d��的事�Ӟ��q�些事�g可以是与某一特定�U�程兌��的，也可以是�pȝ��中所有线�E�的事�g�?/div>

钩子子程必须按照以下的语法：

LRESULT CALLBACK HookProc
(
 	int nCode, 
     	WPARAM wParam, 
     	LPARAM lParam
);

HookProc是应用程序定义的名字�?/div>

nCode参数是Hook代码�Q�Hook子程使用�q�个参数来确定�Q务。这个参数的��g��赖于Hook�c�d��Q�每一�U�Hook都有自己的Hook代码特征字符集�?/div>

wParam和lParam参数的��g��赖于Hook代码�Q�但是它们的典型值是包含了关于发送或者接收消息的信息�?/div>

2、钩子的安装与释放：

使用API函数SetWindowsHookEx()把一个应用程序定义的钩子子程安装到钩子链表中。SetWindowsHookEx函数��L��在Hook铄��开头安装Hook子程。当指定�c�d��的Hook监视的事件发生时�Q�系�l�就调用与这个Hook兌��的Hook铄��开头的Hook子程。每一个Hook链中的Hook子程都决定是否把�q�个事�g传递到下一个Hook子程。Hook子程传递事件到下一个Hook子程需要调用CallNextHookEx函数�?/div>

HHOOK SetWindowsHookEx( 
　　　　　int idHook,      // 钩子的类型，卛_��处理的消息类�?
　　　　　HOOKPROC lpfn,   // 钩子子程的地址指针。如果dwThreadId参数�?
			   // 或是一个由别的�q�程创徏的线�E�的标识�Q?
			   // lpfn必须指向DLL中的钩子子程�?
			   // 除此以外�Q�lpfn可以指向当前�q�程的一�D�钩子子�E�代码�?
			   // 钩子函数的入口地址�Q�当钩子钩到��M��消息后便调用�q�个函数�?
　　　　　HINSTANCE hMod,  // 应用�E�序实例的句柄。标识包含lpfn所指的子程�?
DLL�?
			   // 如果dwThreadId 标识当前�q�程创徏的一个线�E�，
			   // 而且子程代码位于当前�q�程�Q�hMod必须为NULL�?
			   // 可以很简单的讑֮�其�ؓ本应用程序的实例句柄�?
　　　　　DWORD dwThreadId // 与安装的钩子子程相关联的�U�程的标识符�?
			   // 如果�?�Q�钩子子�E�与所有的�U�程兌����Q�即为全局钩子�?
　　　　　            );

　　函数成功则返回钩子子�E�的句柄�Q�失败返回NULL�?/div>

　　以上所说的钩子子程与线�E�相兌��是指在一钩子链表中发�l�该�U�程的消息同时发送给钩子子程�Q�且被钩子子�E�先处理�?/div>

在钩子子�E�中调用得到控制权的钩子函数在完成对消息的处理后�Q�如果想要该消息�l�箋传递，那么它必��调用另外一个SDK中的API函数CallNextHookEx来传递它�Q�以执行钩子链表所指的下一个钩子子�E�。这个函数成功时�q�回钩子链中下一个钩子过�E�的�q�回��|��q�回值的�c�d��依赖于钩子的�c�d��。这个函数的原型如下�Q?/div>

LRESULT CallNextHookEx
			(
				HHOOK hhk;
				int nCode;
				WPARAM wParam;
				LPARAM lParam;
			 );

hhk为当前钩子的句柄�Q�由SetWindowsHookEx()函数�q�回�?/div>

NCode��Z��l�钩子过�E�的事�g代码�?/div>

wParam和lParam 分别是传�l�钩子子�E�的wParam��|��其具体含义与钩子�c�d��有关�?/div>

钩子函数也可以通过直接�q�回TRUE来丢弃该消息�Q��ƈ��L��该消息的传递。否则的话，其他安装了钩子的应用�E�序��不会接收到钩子的通知而且�q�有可能产生不正��的�l�果�?/div>

钩子在��用完之后需要用UnHookWindowsHookEx()卸蝲�Q�否则会造成�ȝ��。释��N��子比较简单，UnHookWindowsHookEx()只有一个参数。函数原型如下：

UnHookWindowsHookEx
(
	HHOOK hhk;
);

函数成功�q�回TRUE�Q�否则返回FALSE�?/div>

3、一些运行机�Ӟ��

在Win16环境中，DLL的全局数据�Ҏ��个蝲入它的进�E�来说都是相同的�Q�而在Win32环境中，情况却发生了变化�Q�DLL函数中的代码所创徏的�Q何对象（包括变量�Q�都归调用它的线�E�或�q�程所有。当�q�程在蝲入DLL�Ӟ��操作�pȝ��自动把DLL地址映射到该�q�程的私有空��_��也就是进�E�的虚拟地址�I�间�Q�而且也复制该DLL的全局数据的一份拷贝到该进�E�空间。也��是说每个进�E�所拥有的相同的DLL的全局数据�Q�它们的名称相同�Q�但其值却�q�不一定是相同的，而且是互不干涉的�?/div>

因此�Q�在Win32环境下要惛_��多个�q�程中共享数据，��必��进行必要的讄��。在讉K��同一个Dll的各�q�程之间�׃�n存储器是通过存储器映��文件技术实现的。也可以把这些需要共享的数据分离出来�Q�放�|�在一个独立的数据�D�里�Q��ƈ把该�D늚�属性设�|��ؓ�׃�n。必��ȝ��q�些变量赋初��|��否则�~�译器会把没有赋初始值的变量攑֜�一个叫未被初始化的数据�D�中�?/div>

#pragma data_seg预处理指令用于设�|�共享数据段。例如：

#pragma data_seg("SharedDataName")
HHOOK hHook=NULL;
#pragma data_seg()

�?pragma data_seg("SharedDataName")�?pragma data_seg()之间的所有变量将被访问该Dll的所有进�E�看到和�׃�n。再加上一条指�?pragma comment(linker,"/section:.SharedDataName,rws"),那么�q�个数据节中的数据可以在所有DLL的实例之间共享。所有对�q�些数据的操作都针对同一个实例的�Q�而不是在每个�q�程的地址�I�间中都有一份�?/div>

当进�E�隐式或昑ּ�调用一个动态库里的函数�Ӟ��pȝ��都要把这个动态库映射到这个进�E�的虚拟地址�I�间�?以下��U?地址�I�间")。这使得DLL成�ؓ�q�程的一部分�Q�以�q�个�q�程的��n份执行，使用�q�个�q�程的堆栈�?/div>

4、系�l�钩子与�U�程钩子�Q?/div>

SetWindowsHookEx()函数的最后一个参数决定了此钩子是�pȝ��钩子�q�是�U�程钩子�?/div>

�U�程勑֭�用于监视指定�U�程的事件消息。线�E�勾子一般在当前�U�程或者当前线�E�派生的�U�程内�?/div>

�pȝ��勑֭�监视�pȝ��中的所有线�E�的事�g消息。因为系�l�勾子会影响�pȝ��中所有的应用�E�序�Q�所以勾子函数必��L��在独立的动态链接库(DLL) 中。系�l�自动将包含"钩子回调函数"的DLL映射到受钩子函数影响的所有进�E�的地址�I�间中，卛_��q�个DLL注入了那些进�E��?/div>

几点说明�Q?/div>

�Q?�Q�如果对于同一事�g�Q�如鼠标消息�Q�既安装了线�E�勾子又安装了系�l�勾子，那么�pȝ��会自动先调用�U�程勑֭��Q�然后调用系�l�勾子�?

�Q?�Q�对同一事�g消息可安装多个勾子处理过�E�，�q�些勑֭�处理�q�程形成了勾子链。当前勾子处理结束后应把勑֭�信息传递给下一个勾子函数�?

�Q?�Q�勾子特别是�pȝ��勑֭�会消耗消息处理时��_��降低�pȝ��性能。只有在必要的时候才安装勑֭��Q�在使用完毕后要及时卸蝲�?/div>

钩子�c�d��

每一�U�类型的Hook可以使应用程序能够监视不同类型的�pȝ��消息处理机制。下面描�q�所有可以利用的Hook�c�d��?/div>

1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks

WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到�H�口�q�程的消息。系�l�在消息发送到接收�H�口�q�程之前调用WH_CALLWNDPROC Hook子程�Q��ƈ且在�H�口�q�程处理完消息之后调用WH_CALLWNDPROCRET Hook子程�?/div>

WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT�l�构�Q�再传递到Hook子程�?/div>

CWPRETSTRUCT�l�构包含了来自处理消息的�H�口�q�程的返回��|��同样也包括了与这个消息关联的消息参数�?/div>

2、WH_CBT Hook

在以下事件之前，�pȝ��都会调用WH_CBT Hook子程�Q�这些事件包括：

1. �Ȁ�z�，建立�Q�销毁，最��化�Q�最大化�Q�移动，改变��寸�{�窗口事�Ӟ��

2. 完成�pȝ��指��o�Q?/div>

3. 来自�pȝ��消息队列中的�U�d��鼠标�Q�键盘事�Ӟ��

4. 讄��输入焦点事�g�Q?/div>

5. 同步�pȝ��消息队列事�g�?/div>

Hook子程的返回值确定系�l�是否允许或者防止这些操作中的一个�?/div>

3、WH_DEBUG Hook

在系�l�调用系�l�中与其他Hook兌��的Hook子程之前�Q�系�l�会调用WH_DEBUG Hook子程。你可以使用�q�个Hook来决定是否允许系�l�调用与其他Hook兌��的Hook子程�?/div>

4、WH_FOREGROUNDIDLE Hook

当应用程序的前台�U�程处于�I�闲状态时�Q�可以��用WH_FOREGROUNDIDLE Hook执行低优先��的�Q务。当应用�E�序的前台线�E�大概要变成�I�闲状态时�Q�系�l�就会调用WH_FOREGROUNDIDLE Hook子程�?/div>

5、WH_GETMESSAGE Hook

应用�E�序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数�q�回的消息。你可以使用WH_GETMESSAGE Hook�ȝ��视鼠标和键盘输入�Q�以及其他发送到消息队列中的消息�?/div>

6、WH_JOURNALPLAYBACK Hook

WH_JOURNALPLAYBACK Hook使应用程序可以插入消息到�pȝ��消息队列。可以��用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连�l�的鼠标和键盘事件。只要WH_JOURNALPLAYBACK Hook已经安装�Q�正常的鼠标和键盘事件就是无效的�?/div>

WH_JOURNALPLAYBACK Hook是全局Hook�Q�它不能象线�E�特定Hook一样��用�?/div>

WH_JOURNALPLAYBACK Hook�q�回��时��|��q�个值告诉系�l�在处理来自回放Hook当前消息之前需要等待多长时��_��毫秒�Q�。这��׃��Hook可以控制实时事�g的回放�?/div>

WH_JOURNALPLAYBACK是system-wide local hooks�Q�它們不會被注射��C�Q何行�E�位址�I�間�?/div>

7、WH_JOURNALRECORD Hook

WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的�Q�可以��用这个Hook记录�q�箋的鼠标和键盘事�g�Q�然后通过使用WH_JOURNALPLAYBACK Hook来回放�?/div>

WH_JOURNALRECORD Hook是全局Hook�Q�它不能象线�E�特定Hook一样��用�?/div>

WH_JOURNALRECORD是system-wide local hooks�Q�它們不會被注射��C�Q何行�E�位址�I�間�?/div>

8、WH_KEYBOARD Hook

在应用程序中�Q�WH_KEYBOARD Hook用来监视WM_KEYDOWN and WM_KEYUP消息�Q�这些消息通过GetMessage or PeekMessage function�q�回。可以��用这个Hook来监视输入到消息队列中的键盘消息�?/div>

9、WH_KEYBOARD_LL Hook

WH_KEYBOARD_LL Hook监视输入到线�E�消息队列中的键盘消息�?/div>

10、WH_MOUSE Hook

WH_MOUSE Hook监视从GetMessage 或�?PeekMessage 函数�q�回的鼠标消息。��用这个Hook监视输入到消息队列中的鼠标消息�?/div>

11、WH_MOUSE_LL Hook

WH_MOUSE_LL Hook监视输入到线�E�消息队列中的鼠标消息�?/div>

12、WH_MSGFILTER �?WH_SYSMSGFILTER Hooks

WH_MSGFILTER �?WH_SYSMSGFILTER Hooks使我们可以监视菜单，滚动条，消息框，对话框消息�ƈ且发现用户��用ALT+TAB or ALT+ESC �l�合键切换窗口。WH_MSGFILTER Hook只能监视传递到菜单�Q�滚动条�Q�消息框的消息，以及传递到通过安装了Hook子程的应用程序徏立的对话框的消息。WH_SYSMSGFILTER Hook监视所有应用程序消息�?/div>

WH_MSGFILTER �?WH_SYSMSGFILTER Hooks使我们可以在模式循环期间�q��o消息�Q�这�{��h于在��L��息��@环中�q��o消息�?/div>

通过调用CallMsgFilter function可以直接的调用WH_MSGFILTER Hook。通过使用�q�个函数�Q�应用程序能够在模式循环期间使用相同的代码去�q��o消息�Q�如同在��L��息��@环里一栗��?/div>

13、WH_SHELL Hook

外壳应用�E�序可以使用WH_SHELL Hook��L��攉��要的通知。当外壳应用�E�序是激�zȝ��q�且当顶层窗口徏立或者销毁时�Q�系�l�调用WH_SHELL Hook子程�?/div>

WH_SHELL 共有�Q�钟情況�Q?/div>

1. 只要有个top-level、unowned �H�口被��生、�v作用、或是被摧毁�Q?/div>

2. 当Taskbar需要重��L��个按钮；

3. 当系�l�需要显�C�关于Taskbar的一个程序的最��化形式�Q?/div>

4. 当目前的键盘布局状态改变；

5. 当��用者按Ctrl+Esc��L��行Task Manager�Q�或相同�U�别的程序）�?/div>

按照惯例�Q�外壛_��用程序都不接收WH_SHELL消息。所以，在应用程序能够接收WH_SHELL消息之前�Q�应用程序必��调用SystemParametersInfo function注册它自己�?/div>

�ȝ�� 2007-10-24 13:31 发表评论

久久青草免费,欧美一级在线视频,久久国产精品高清一区二区三区

DLL 实践说明 (DllMain的���?

HOOK专题

DLL 实践说明 (DllMain的��?