c++如何编写Windows钩子函数_c++ SetWindowsHookEx键盘鼠标监控【实战】

SetWindowsHookEx注册非低级全局钩子（如WH_KEYBOARD）必须使用位数匹配的独立DLL，而WH_KEYBOARD_LL/WH_MOUSE_LL可直接在EXE中实现；低级钩子回调中严禁阻塞操作，需轻量处理并异步投递消息，且必须正确管理钩子生命周期。

SetWindowsHookEx 需要 DLL 且必须是 32/64 位匹配的进程

直接在 EXE 进程里调用 SetWindowsHookEx 注册 WH_KEYBOARD_LL 或 WH_MOUSE_LL 是可行的，但注册 WH_KEYBOARD、WH_MOUSE 等全局钩子时，回调函数必须位于 **独立 DLL 中**，且该 DLL 的位数（x86/x64）必须与目标被注入进程一致。系统会把 DLL 映射进每个目标进程地址空间，如果位数不匹配（比如用 x64 EXE 加载 x86 DLL），SetWindowsHookEx 返回 NULL，GetLastError() 通常是 ERROR_INVALID_PARAMETER 或 ERROR_ACCESS_DENIED。

• 低级钩子（WH_KEYBOARD_LL / WH_MOUSE_LL）可直接在 EXE 中实现，无需 DLL —— 它们由系统在自身线程中调用，不跨进程注入
• 非低级全局钩子（如 WH_KEYBOARD）强制要求 DLL，否则钩子无法被其他进程执行
• 使用 LoadLibrary 手动加载 DLL 后再调用 SetWindowsHookEx 是无效的；必须确保 DLL 已被系统自动映射（即路径在搜索路径中，且由系统完成注入）

键盘钩子回调里不能阻塞或弹窗，否则 UI 线程卡死

LowLevelKeyboardProc 回调运行在系统关键线程中，任何耗时操作（如 MessageBox、文件 I/O、网络请求）都会导致整个桌面输入冻结。常见现象是：按下一个键后键盘“失灵”几秒，鼠标也无响应。

• 只做轻量判断：检查 wParam 是否为 WM_KEYDOWN，读取 lParam 指向的 KBDLLHOOKSTRUCT 中的 vkCode 和 flags
• 避免调用 SendMessage 到窗口句柄（尤其是跨线程窗口），改用 PostMessage 异步投递
• 如需记录日志，用无锁环形缓冲区 + 独立线程刷盘，不要在钩子函数里 fopen/fwrite

extern "C" LRESULT CALLBACK LowLevelKeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) {
    if (nCode == HC_ACTION) {
        PKBDLLHOOKSTRUCT p = (PKBDLLHOOKSTRUCT)lParam;
        if (wParam == WM_KEYDOWN && p->vkCode == VK_ESCAPE) {
            // ✅ 安全：仅设置标志
            g_exit_requested = true;
            // ❌ 危险：PostThreadMessage 可行，但 MessageBox 会导致卡死
        }
    }
    return CallNextHookEx(NULL, nCode, wParam, lParam);
}

钩子生命周期管理不当会导致内存泄漏或崩溃

钩子句柄 HHOOK 是内核对象，必须配对调用 UnhookWindowsHookEx。若进程异常退出（如崩溃、TerminateProcess）、或忘记调用卸载，系统虽会自动清理，但 DLL 若含全局对象析构逻辑（如静态 std::thread、未关闭的 HANDLE），可能触发访问违规。

• DLL 的 DllMain 中禁止调用 UnhookWindowsHookEx（DLL_PROCESS_DETACH 时钩子可能已被系统提前移除，再调用会失败甚至 crash）
• 应在主程序收到退出信号（如 Ctrl+C、主窗口关闭）后，主动调用 UnhookWindowsHookEx，再清理自身资源
• 使用 SetThreadDesktop 或切换会话（如锁屏）可能导致钩子失效，此时 CallNextHookEx 返回值可能异常，应检查返回值是否为 0 并及时重装

WH_MOUSE_LL 获取鼠标位置不准？别信 GetCursorPos

在 LowLevelMouseProc 回调中调用 GetCursorPos 返回的位置，常与实际点击点偏差几个像素——因为消息到达钩子时，光标可能已移动，且 GetCursorPos 返回的是屏幕坐标，而 lParam 中的 MOUSEHOOKSTRUCT 包含的是更精确的原始设备坐标（pt 字段已是屏幕坐标，但经过去抖和加速处理）。

• 优先使用 ((PMOUSEHOOKSTRUCT)lParam)->pt，它与当前消息严格对应
• 若需窗口客户区坐标，用 ScreenToClient 转换，但必须确保目标窗口句柄有效且属于当前线程（跨线程需同步）
• 避免在钩子中频繁调用 WindowFromPoint —— 它可能返回错误窗口（因窗口 Z 序变化快），建议缓存最近一次有效窗口句柄并加超时

钩子不是万能监听器。系统策略（如 UAC 提权进程隔离）、安全软件拦截、以及 Windows 10/11 对后台输入的限制（例如锁屏后 WH_KEYBOARD_LL 仍工作，但某些企业策略会禁用），都可能让钩子静默失效。最稳的做法：始终检查 SetWindowsHookEx 返回值，用 GetLastError 辅助诊断，并在日志里记录钩子存活时长与消息吞吐量。