沉默的木馬AND鍵盤記錄器

1、 沉默的木馬 AND 鍵盤記錄器 PB10210105 姜俊超 木馬簡(jiǎn)歷簡(jiǎn)介功能成長(zhǎng)史潛伏 何為木馬木馬（Trojan）這個(gè)名字來(lái)源于古希臘傳說(shuō)(荷馬史詩(shī)中木馬計(jì)的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計(jì)的故事)。一段特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端，即控制端，另一個(gè)是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開，使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無(wú)

2、保障了！ 木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。 性格獨(dú)特的“病毒”“木馬”程序是目前比較流行的病毒文件，但與一般的病毒不同木馬它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過(guò)將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。 即病毒中沉默的“情報(bào)員”。 發(fā)展歷史最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對(duì)

3、簡(jiǎn)單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來(lái)執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。 而后隨著WINDOWS平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬，相對(duì)的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對(duì)服務(wù)端的破壞也更大了。 所以木馬發(fā)展到今天，已經(jīng)無(wú)所不用其極，一旦被木馬控制，電腦將毫無(wú)秘密可言。 基本特征【1】隱蔽性是其首要的特征，如其它所有的病毒一樣，木馬也是一種病毒它必需隱藏在系統(tǒng)之中。它的隱蔽性主要體現(xiàn)在以下兩個(gè)方面:a、不

4、產(chǎn)生圖標(biāo) 它雖然在你系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)運(yùn)行，但它不會(huì)在“任務(wù)欄”中產(chǎn)生一個(gè)圖標(biāo)，這是容易理解的，不然的話，憑你的火眼金睛你一定會(huì)發(fā)現(xiàn)它的。我們知道要想在任務(wù)欄中隱藏圖標(biāo)，只需要在木馬程序開發(fā)時(shí)把“Form”的“Visible ”屬性設(shè)置為“False”、把“ShowintaskBar”屬性設(shè)置為“Flase”即可； b、木馬程序自動(dòng)在任務(wù)管理器中隱藏，并以“系統(tǒng)服務(wù)”的方式欺騙操作系統(tǒng)?！?】它具有自動(dòng)運(yùn)行性 它是一個(gè)當(dāng)你系統(tǒng)啟動(dòng)時(shí)即自動(dòng)運(yùn)行的程序，所以它必需潛入在你的啟動(dòng)配置文件中，如win.ini、system.ini、winstart.bat以及啟動(dòng)組等文件之中。 【3】木馬程序具有欺騙性

5、 木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防被你發(fā)現(xiàn)，它經(jīng)常使用的是常見的文件名或擴(kuò)展名，如“dllwinsysexplorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如字母“l(fā)”與數(shù)字“1”、字母“o”與數(shù)字“0”，常修改基本個(gè)文件中的這些難以分辨的字符，更有甚者干脆就借用系統(tǒng)文件中已有的文件名，只不過(guò)它保存在不同路徑之中。還有的木馬程序?yàn)榱穗[藏自己，也常把自己設(shè)置成一個(gè)ZIP文件式圖標(biāo)，當(dāng)你一不小心打開它時(shí)，它就馬上運(yùn)行。等等這些手段那些編制木馬程序的人還在不斷地研究、發(fā)掘，總之是越來(lái)越隱蔽，越來(lái)越專業(yè)，所以有人稱木馬程序?yàn)椤膀_子程序”。 【4】具備自動(dòng)恢復(fù)功能 現(xiàn)

6、在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。 【5】能自動(dòng)打開特別的端口 木馬程序潛入人的電腦之中的目的不主要為了破壞你的系統(tǒng)，更是為了獲取你的系統(tǒng)中有用的信息，這樣就必需當(dāng)你上網(wǎng)時(shí)能與遠(yuǎn)端客戶進(jìn)行通訊，這樣木馬程序就會(huì)用服務(wù)器/客戶端的通訊手段把信息告訴黑客們，以便黑客們控制你的機(jī)器，或?qū)嵤└舆M(jìn)一步入侵企圖。【6】 功能的特殊性 通常的木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器人的IP地址、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功能。 木馬功能1、遠(yuǎn)程監(jiān)控 可以控制對(duì)方的鼠

7、標(biāo)、鍵盤和監(jiān)視對(duì)方屏幕。 2、記錄密碼 3、取得電腦主機(jī)的信息資料 4、遠(yuǎn)程控制 5、發(fā)送信息 常見木馬種類網(wǎng)絡(luò)游戲木馬 隨著網(wǎng)絡(luò)在線游戲的普及和升溫，中國(guó)擁有規(guī)模龐大的網(wǎng)游玩家。網(wǎng)絡(luò)游戲中的金錢、裝備等虛擬財(cái)富與現(xiàn)實(shí)財(cái)富之間的界限越來(lái)越模糊。與此同時(shí)，以盜取網(wǎng)游帳號(hào)密碼為目的的木馬病毒也隨之發(fā)展泛濫起來(lái)。網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進(jìn)程API函數(shù)等方法獲取用戶的密碼和帳號(hào)。竊取到的信息一般通過(guò)發(fā)送電子郵件或向遠(yuǎn)程腳本程序提交的方式發(fā)送給木馬作者。2. 網(wǎng)銀木馬 網(wǎng)銀木馬是針對(duì)網(wǎng)上交易系統(tǒng)編寫的木馬病毒，其目的是盜取用戶的卡號(hào)、密碼，甚至安全證書。此類木馬種類數(shù)量雖然比不

8、上網(wǎng)游木馬，但它的危害更加直接，受害用戶的損失更加慘重。 網(wǎng)銀木馬通常針對(duì)性較強(qiáng)，木馬作者可能首先對(duì)某銀行的網(wǎng)上交易系統(tǒng)進(jìn)行仔細(xì)分析，然后針對(duì)安全薄弱環(huán)節(jié)編寫病毒程序。如2004年的“網(wǎng)銀大盜”病毒，在用戶進(jìn)入工行網(wǎng)銀登錄頁(yè)面時(shí)，會(huì)自動(dòng)把頁(yè)面換成安全性能較差、但依然能夠運(yùn)轉(zhuǎn)的老版頁(yè)面，然后記錄用戶在此頁(yè)面上填寫的卡號(hào)和密碼；“網(wǎng)銀大盜3”利用招行網(wǎng)銀專業(yè)版的備份安全證書功能，可以盜取安全證書；2005年的“新網(wǎng)銀大盜”，采用API Hook等技術(shù)干擾網(wǎng)銀登錄安全控件的運(yùn)行。 3.即時(shí)通訊軟件木馬 國(guó)內(nèi)即時(shí)通訊軟件百花齊放。QQ、新浪UC、網(wǎng)易泡泡、盛大圈圈網(wǎng)上聊天的用戶群十分龐大。常見的即時(shí)通

9、訊類木馬一般有3種： 一、發(fā)送消息型。通過(guò)即時(shí)通訊軟件自動(dòng)發(fā)送含有惡意網(wǎng)址的消息，目的在于讓收到消息的用戶點(diǎn)擊網(wǎng)址中毒，用戶中毒后又會(huì)向更多好友發(fā)送病毒消息。此類病毒常用技術(shù)是搜索聊天窗口，進(jìn)而控制該窗口自動(dòng)發(fā)送文本內(nèi)容。二、盜號(hào)型。主要目標(biāo)在于即時(shí)通訊軟件的登錄帳號(hào)和密碼。工作原理和網(wǎng)游木馬類似。病毒作者盜得他人帳號(hào)后，可能偷窺聊天記錄等隱私內(nèi)容，或?qū)ぬ?hào)賣掉。 三、傳播自身型。4. 網(wǎng)頁(yè)點(diǎn)擊類木馬 網(wǎng)頁(yè)點(diǎn)擊類木馬會(huì)惡意模擬用戶點(diǎn)擊廣告等動(dòng)作，在短時(shí)間內(nèi)可以產(chǎn)生數(shù)以萬(wàn)計(jì)的點(diǎn)擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費(fèi)用。此類病毒的技術(shù)簡(jiǎn)單，一般只是向服務(wù)器發(fā)送HTTP GET請(qǐng)求。

10、 5. 下載類木馬這種木馬程序的體積一般很小，其功能是從網(wǎng)絡(luò)上下載其他病毒程序或安裝廣告軟件。由于體積很小，下載類木馬更容易傳播，傳播速度也更快。通常功能強(qiáng)大、體積也很大的后門類病毒，如“灰鴿子”、“黑洞”等，傳播時(shí)都單獨(dú)編寫一個(gè)小巧的下載型木馬，用戶中毒后會(huì)把后門主程序下載到本機(jī)運(yùn)行。 6. 代理類木馬 用戶感染代理類木馬后，會(huì)在本機(jī)開啟HTTP、SOCKS等代理服務(wù)功能。黑客把受感染計(jì)算機(jī)作為跳板，以被感染用戶的身份進(jìn)行黑客活動(dòng)，達(dá)到隱藏自己的目的。 常見偽裝方式1、修改圖標(biāo) 當(dāng)在E-MAIL的附件中看到文本圖標(biāo)時(shí),是否會(huì)認(rèn)為這是個(gè)文本文件呢?其實(shí)這也有可能是個(gè)木馬程序,現(xiàn)在已經(jīng)有木馬可以

11、將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP等各種文件的圖標(biāo),這有相當(dāng)大的迷惑性,但是目前提供這種功能的木馬還不多見,并且這種偽裝也不是無(wú)懈可擊的。 2、捆綁文件 這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上,當(dāng)安裝程序運(yùn)行時(shí),木馬在用戶毫無(wú)察覺的 情況下 ,偷偷的進(jìn)入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。3、出錯(cuò)顯示 有一定木馬知識(shí)的人都知道,如果打開一個(gè)文件,沒有任何反應(yīng),這很可能就是個(gè)木馬程序, 木馬的設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷,所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù) 端用戶打開木馬程序時(shí),會(huì)彈出一個(gè)錯(cuò)誤提示框(這當(dāng)然是假的),錯(cuò)誤內(nèi)容可自

12、由 定義,大多會(huì)定制成一些諸如“文件已破壞，無(wú)法打開的！”之類的信息，當(dāng)服務(wù)端用戶信以為真時(shí),木馬卻悄悄侵入了系統(tǒng)。4、定制端口 很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來(lái)了方便,只要查一下特定的 端口就知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024-65535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口)，這樣就給判斷 所感染木馬類型帶來(lái)了麻煩。 5、自我銷毀 這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSS

13、YSTEM目錄下)，一般來(lái)說(shuō) 原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬 的朋友只要在近來(lái)收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng) 文件夾找相同大小的文件, 判斷一下哪個(gè)是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來(lái)源，在沒有查殺木馬的工 具幫助下，就很難刪除木馬了。6、木馬更名安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章,按 圖索驥在系統(tǒng)文件夾查找特定的文件,就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控 制端用戶自由定制安裝后

14、的木馬文件名，這樣很難判斷所感染的木馬類型了。 潛伏區(qū)1、集成到程序中 其實(shí)木馬也是一個(gè)服務(wù)器-客戶端程序，它為了不讓用戶能輕易地把它刪除，就常常集成到程序里，一旦用戶激活木馬程序，那么木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。綁定到某一應(yīng)用程序中，如綁定到系統(tǒng)文件，那么每一次Windows啟動(dòng)均會(huì)啟動(dòng)木馬。 2、隱藏在配置文件中 利用配置文件的特殊作用，木馬很容易就能在大家的計(jì)算機(jī)中運(yùn)行、發(fā)作，從而偷窺或者監(jiān)視大家。不過(guò)，現(xiàn)在這種方式不是很隱蔽，容易被發(fā)現(xiàn)，所以在Autoexec.bat和Confi

15、g.sys中加載木馬程序的并不多見，但也不能因此而掉以輕心。3、潛伏在Win.ini中 木馬要想達(dá)到控制或者監(jiān)視計(jì)算機(jī)的目的，必須要運(yùn)行，然而沒有人會(huì)傻到自己在自己的計(jì)算機(jī)中運(yùn)行這個(gè)該死的木馬。當(dāng)然，木馬也早有心理準(zhǔn)備，知道人類是高智商的動(dòng)物，不會(huì)幫助它工作的，因此它必須找一個(gè)既安全又能在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行的地方，于是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來(lái)看看，在它的windows字段中有啟動(dòng)命令“l(fā)oad=”和“run=”，在一般情況下“”后面是空白的，如果有后跟程序，比方說(shuō)是這個(gè)樣子：run=c:windowsfile.exe load=c:windo

16、wsfile.exe，這個(gè)file.exe很可能是木馬。 4、偽裝在普通文件中 這個(gè)方法出現(xiàn)的比較晚，不過(guò)現(xiàn)在很流行，對(duì)于不熟練的windows操作者，很容易上當(dāng)。具體方法是把可執(zhí)行文件偽裝成圖片或文本-在程序中把圖標(biāo)改成Windows的默認(rèn)圖片圖標(biāo), 再把文件名改為*.jpg.exe, 由于Win98默認(rèn)設(shè)置是不顯示已知的文件后綴名,文件將會(huì)顯示為*.jpg, 不注意的人一點(diǎn)這個(gè)圖標(biāo)就中木馬了。5、內(nèi)置到注冊(cè)表中 上面的方法讓木馬著實(shí)舒服了一陣，既沒有人能找到它，又能自動(dòng)運(yùn)行，真是快哉！然而好景不長(zhǎng)，人類很快就把它的馬腳揪了出來(lái)，并對(duì)它進(jìn)行了嚴(yán)厲的懲罰！但是它還心有不甘，總結(jié)了失敗教訓(xùn)后，認(rèn)

17、為上面的藏身之處很容易找，現(xiàn)在必須躲在不容易被人發(fā)現(xiàn)的地方，于是它想到了注冊(cè)表！的確注冊(cè)表由于比較復(fù)雜，木馬常常喜歡藏在這里快活，趕快檢查一下，有什么程序在其下，睜大眼睛仔細(xì)看了，別放過(guò)木馬哦：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“r

18、un”開頭的鍵值。 6、在System.ini中藏身 Windows安裝目錄下的System.ini是木馬喜歡隱蔽的地方。在該文件的boot字段中，是不是有這樣的內(nèi)容，那就是shell=Explorer.exe file.exe，如果確實(shí)有這樣的內(nèi)容，那你就不幸了，因?yàn)檫@里的file.exe就是木馬服務(wù)端程序！另外，在System.ini中的386Enh字段，要注意檢查在此段內(nèi)的“driver=路徑程序名”，這里也有可能被木馬所利用。再有，在System.ini中的mic、drivers、drivers32這三個(gè)字段，這些段也是起到加載驅(qū)動(dòng)程序的作用，但也是增添木馬程序的好場(chǎng)所，現(xiàn)在你該知道也

19、要注意這里。 7、隱形于啟動(dòng)組中 有時(shí)木馬并不在乎自己的行蹤，它更注意的是能否自動(dòng)加載到系統(tǒng)中，因?yàn)橐坏┠抉R加載到系統(tǒng)中，任你用什么方法你都無(wú)法將它趕跑(哎，這木馬臉皮也真是太厚)，因此按照這個(gè)邏輯，啟動(dòng)組也是木馬可以藏身的好地方，因?yàn)檫@里的確是自動(dòng)加載運(yùn)行的好場(chǎng)所。動(dòng)組對(duì)應(yīng)的文件夾為：C:windowsstart menuprogramsstartup，在注冊(cè)表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerShellFolders Startup=“C:windowsstart menuprogram

20、sstartup”。（要注意經(jīng)常檢查啟動(dòng)組！ ）被加載運(yùn)行，危險(xiǎn)由此而來(lái)。8、隱蔽在Winstart.bat中 凡是利于木馬能自動(dòng)加載的地方，木馬都喜歡呆。Winstart.bat也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件，它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成，在執(zhí)行了W并加載了多數(shù)驅(qū)動(dòng)程序之后開始執(zhí)行(這一點(diǎn)可通過(guò)啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行，危險(xiǎn)由此而來(lái)。9、捆綁在啟動(dòng)文件中 即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文

21、件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了。 10、設(shè)置在超級(jí)連接中 木馬的主人在網(wǎng)頁(yè)上放置惡意代碼，引誘用戶點(diǎn)擊，用戶點(diǎn)擊的結(jié)果不言而喻：開門揖盜！奉勸不要隨便點(diǎn)擊網(wǎng)頁(yè)上的鏈接。 危害危害本機(jī)信息安全：木馬程序多數(shù)有惡意企圖，例如盜取QQ帳號(hào)、游戲帳號(hào)甚至銀行帳號(hào)，將本機(jī)作為工具來(lái)攻擊其他設(shè)備等；占用系統(tǒng)資源，降低電腦效能。如今我們的生活和網(wǎng)絡(luò)越來(lái)越緊密，木馬無(wú)疑是沉默大盜。 我們能做些什么木馬查殺基本能防御大部分木馬，但是現(xiàn)在的軟件都不是萬(wàn)能的，還要學(xué)點(diǎn)專業(yè)知識(shí)，有了這些，你的電腦就安全多了。現(xiàn)在高手也很多，只要你不隨

22、便訪問(wèn)來(lái)歷不明的網(wǎng)站，使用來(lái)歷不明的軟件（很多盜版或破解軟件都帶木馬，這個(gè)看你自己經(jīng)驗(yàn)去區(qū)分），如果你都做到了，木馬，病毒。就不容易進(jìn)入你的電腦了。禁用系統(tǒng)還原（Windows Me/XP） 如果您運(yùn)行的是 Windows Me 或 Windows XP，建議您暫時(shí)關(guān)閉“系統(tǒng)還原”。此功能默認(rèn)情況下是啟用的，一旦計(jì)算機(jī)中的文件被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計(jì)算機(jī)，則系統(tǒng)還原功能會(huì)在該計(jì)算機(jī)上備份病毒、蠕蟲或特洛伊木馬。Windows 禁止包括防病毒程序在內(nèi)的外部程序修改系統(tǒng)還原。因此，防病毒程序或工具無(wú)法刪除 System Restore 文件夾

23、中的威脅。這樣，系統(tǒng)還原就可能將受感染文件還原到計(jì)算機(jī)上，即使您已經(jīng)清除了所有其他位置的受感染文件。 鍵盤記錄器實(shí)踐鍵盤記錄是很流行的木馬功能，可以記錄特定程序窗口如QQ的輸入賬戶密碼等，我接下來(lái)嘗試的是利用全局鉤子函數(shù)來(lái)實(shí)現(xiàn)全局鍵盤監(jiān)控記錄：【1】什么是鉤子呢？鉤子概述：微軟的windowsX操作系統(tǒng)是建立在事件驅(qū)動(dòng)的機(jī)制上的，也就是通過(guò)消息傳遞來(lái)實(shí)現(xiàn)。而鉤子在windows操作系統(tǒng)中，是一種能在事件（比如：消息、鼠標(biāo)激活、鍵盤響應(yīng)）到達(dá)應(yīng)用程序前中途接獲事件的機(jī)制。而且，鉤子函數(shù)還可以通過(guò)修改、丟棄等手段來(lái)對(duì)事件起作用。Windows 有兩種鉤子，一種是特定線程鉤子（Thread specific hooks），一種是全局系統(tǒng)鉤子(Systemwide hooks)。特定線程鉤子只是監(jiān)視指定的線程，而全局系統(tǒng)鉤子則可以監(jiān)視系統(tǒng)中所有的線程。無(wú)論是特定線程鉤子，還是全局系統(tǒng)鉤子，都是通過(guò)SetWindowsHookEx ()來(lái)設(shè)置鉤子的。對(duì)于特定線程鉤子，鉤子的函數(shù)既可以是包含在一個(gè).exe也可以是一個(gè).dll。但是對(duì)于一個(gè)全局系統(tǒng)鉤子，鉤子函數(shù)必須包含在獨(dú)立的dll中，因此，當(dāng)我們要捕捉鍵盤響應(yīng)時(shí)，我