全局setWindowShookex如何设法将DLL注入所有线程？

Question

我在主机应用程序中创建了2个钩子。第一是wh_mouse专门为任务栏的线程设置。 2nd是全局wh_keyboard_ll钩子（dwthreadid设置为0）。

正如您在Process Explorer中看到的那样，“本地”挂钩实际上将我的DLL注入了特定的Explorer.exe线程。但是，没有迹象表明我的第二个全球挂钩被注入了其他任何过程，但它仍然可以很好地工作...此外，即使设置了钩子，它也适用于我开始的所有新过程！ setWindowShookex如何管理？

我读到它仅适用于加载user32.dll的进程。我的怀疑是，在全球挂钩的情况下，Windows以某种方式将我的自定义DLL代码注入user32.dll“钩链”。然后，当启动加载user32.dll的新进程时，它会自动加载我的钩子？这是正确的还是在起作用的其他机制？

Answer 1

_ll（低级）挂钩在任何地方都没有注入，win32k（窗口管理器的内核部分）直接调用钩回调函数。这就是为什么该线程需要消息循环的原因。低级挂钩始终是“全球”。

MSDN说：

请注意，在安装钩子的线程上，将wh_mouse，wh_keyboard，wh_journal*，wh_shell和wh_shell和低级挂钩可以可以调用在安装挂钩的线程上调用而不是螺纹处理挂钩。

。

您应该将钩子视为具有3种模式的钩子：

• 低级（仅键盘和鼠标）
• 线程特定的
• 所有线程

最后两个可能需要Windows注入.dll。