csharp hook 简介

对于csharp的hook程序，基于manage的性质，不是hook自身进程内消息，就是hook全局windows消息。

一般我们hook都是native dll将它放入第三方进程的内存空间里去。

csharp里的几种hook方式

1. 在win32，winform或wpf的窗口内添加消息hook，这样接受的是只在该窗口上产生的消息。

2。SetWindowsHookEx。功能最齐全的钩子程序，尝试过后可以在自身应用线程窗口内插入钩子，也可以设置应用全局钩子，但是想给第三方程序注入时提示access deniny，想定可能是manage的原因，也可能不是native的原因，或者必须是同架构dll的形式？

3. SetWinEventHook，该钩子即可以指定全局，也可以指定针对某一进程与其UI thread，设置钩子时也需注意必须在自身的带消息循环的Thread上设置（如窗口应用的主线程），该api提供两组flag，一，是否上下文，二，排除跳过自身线程或进程。 根据manage特性，我感觉是.net是无法设置InContext的。

SetWinEventHook是简化后的钩子，提供了众多消息WinEvent，从0x00000001-0x7FFFFFFF？

https://learn.microsoft.com/zh-cn/windows/win32/winauto/event-constants

由系统发出的事件 EVENT_SYSTEM_，比如前台窗口变化的事件，也可以监控用户按下和释放alt tab。

针对 window handle 命名开头 EVENT_OBJECT_，0x8000开始。提供众多事件，如窗口位置改变，标题名称改变，收到可输入的键盘焦点，窗口的创建销毁等等。

EVENT_CONSOLE 控制台相关

SetWindowsHookEx 提供以下挂钩

-1 至 14 个，关于这些msdn都有 https://learn.microsoft.com/zh-cn/windows/win32/api/winuser/nf-winuser-setwindowshookexa

只介绍一下自己感兴趣的，以及关于.net下的表现。

一，鼠标键盘钩子

WH_KEYBOARD WH_KEYBOARD_LL WH_MOUSE WH_MOUSE_LL

不知道为什么这些钩子序号这么乱，对于鼠标和键盘的钩子，LL是low layer，并且只能设置为全局挂钩。普通的键盘和鼠标挂钩对自身程序窗口hook没问题，但是无法对除自身以外的其他窗口。这样看SetWinEventHook是更具优势的，他是将别窗口消息回调上来了，也不需要incontext嵌入到别的程序空间内。而SetWindowsHookEx更像是需要注入代码，所以net下只能全局或自身hook用。

二，窗口消息事件

4 WH_CALLWNDPROC 安装一个挂钩过程，该过程在系统将消息发送到目标窗口过程之前对其进行监视。CallWindowProc。听起来更像是拦截消息用的

12 WH_CALLWNDPROCRET  安装挂钩过程，该挂钩过程在目标窗口过程处理消息后对其进行监视。 HOOKPROC

这俩者便是给win32窗口winform和wpf里安转钩子类似的WndProc的方法了，他们处理一个WH_CALLWNDPROCRET结构体

其他 

3 WH_GETMESSAGE  安装用于监视发布到消息队列的消息的挂钩过程。  GetMsgProc。专门用来监视？ GetMessage 或 PeekMessage

WH_CBT 缩写，说是给computer-based training 应用用的，更与窗口的移动变化状态最大最小这些有关，和WinEvents相关。

-1 WH_MSGFILTER 与 6 WH_SYSMSGFILTER 安装一个挂钩过程，用于监视由于对话框、消息框、菜单或滚动条中的输入事件而生成的消息。 MessageProc

听上去这个很适合搞逆向断点做一些事儿。。也许只是想天然。

更详细的官方介绍 https://learn.microsoft.com/zh-cn/windows/win32/winmsg/about-hooks