单进程机器码hook_HOOK技术的一些简单总结

好久没写博客了， 一个月一篇还是要尽量保证，今天谈下Hook技术。

在Window平台上开发任何稍微底层一点的东西，基本上都是Hook满天飞， 普通应用程序如此，安全软件更是如此， 这里简单记录一些常用的Hook技术。

基本上做Windows开发都知道这个API， 它给我们提供了一个拦截系统事件和消息的机会， 并且它可以将我们的DLL注入到其他进程。

但是随着64位时代的到来和Vista之后的UAC机制开启，这个API很多时候不能正常工作了：

首先，32位DLL没法直接注入到64位的应用程序里面， 因为他们的地址空间完全不一样的。当然尽管没法直接注入，但是在权限范围内，系统会尽量以消息的方式让你能收到64位程序的消息事件。

其次，UAC打开的情况下低权限程序没法Hook高权限程序， 实际上低权限程序以高权限程序窗口为Owner创建窗口也会失败， 低权限程序在高权限程序窗口上模拟鼠标键盘也会失败。

有人说我们可以关闭UAC， Win7下你确实可以，但是Win8下微软已经不支持真正关闭UAC， 从这里我们也可以看到微软技术过渡的方式， 中间会提供一个选项来让你慢慢适应，最后再把这个选项关掉， UAC和Aero模式都是如此。

那么我们如何解决这些问题？

对于64位问题 ， 解决方法是提供2个DLL，分别可以Hook32和64位程序。

对于权限问题， 解决方法是提升权限， 通过注册系统服务， 由服务程序创建我们的工作进程。这里为什么要创建一个其他进程而不直接在服务进程里干活？ 因为Vista后我们有了Session隔离机制࿰