你可知道，Win32全局钩子这项技术，它诞生于VC5时代，直至如今，它依旧是理解Windows底层机制的关键所在。它有这样的能力，能够让你的程序“看见”系统里的每一个键盘敲击动作，以及每一次鼠标移动情况。但是，在这种强大的监控能力背后，隐藏着无数开发者曾经踩入过的坑，还有Windows系统的核心秘密。

DLL注入的宿命选择

全局钩子是需要放置在DLL当中的，这并非是微软随意确定的规则。在你运用SetWindowsHookEx来注册钩子之际，系统会将你的DLL映射至所有目标进程的地址空间。在1997年发布的VC5环境里，开发者要去新建一个专门针对DLL的工程，借助__declspec(dllexport)来导出钩子函数。

在这里，好多新手都栽了跟头。VC5默认的多线程DLL运行时库，会致使C运行时库初始化出现问题，要是在钩子函数里使用了sprintf或者strcat这类函数，并且没有调用_CRT_INIT，那么目标进程随时都有可能崩溃。有一个监控程序就因为这个，导致Excel异常退出，使得用户丢失了三小时的工作数据。

全局不等于全部进程

众多人对“全局”这个词汇存有误解，在Windows 9x与NT双平台时期，诸如WH_KEYBOARD_LL这般的低级钩子仅在NT系统里生效 ，并且无需DLL注入，VC5开发者实际常用的是WH_KEYBOARD以及WH_MESSAGE这类传统钩子，它们依赖于DLL注入机制。

当你于SetWindowsHookEx这儿的最后一个参数传进0时，系统会将DLL映射至当前桌面之下每一个GUI线程的地址空间，这表明你的DLL有可能同时被资源管理器、记事本、浏览器加载，任何一个线程出现问题，整个桌面消息循环都有阻塞的可能，1999年某安全软件公司就因这个致使大量用户系统假死，不得不紧急发布补丁。

线程局部存储的救赎

存在多个进程，它们共同分享同一个DLL，其中全局变量在各个进程之间是相互不通的。在这种情形下，若想要统计每一个进程的键盘输入次数，普通变量是无法达成的。VC5给出了TlsAlloc和TlsSetValue这一套线程局部存储API，可以让每一个线程拥有独立的数据副本。

实现具体情况时，要先于DLL入口点运用TlsAlloc去分配索引，在钩子函数当中，借助TlsGetValue来获取当前线程的内存块。有一个日志程序是以这种方式，来为每个线程维持独立的键盘缓冲区的，既防止了数据混淆，又不会因为加锁致使性能降低。这套代码直至如今还在一些UI自动化测试工具里继续使用。

跨进程通信的多种方案

等到钩子把数据抓到之后，要怎样传递给主监控程序呢，直接单纯采用写文件的方式速度太慢了，要是运用窗口消息的话又担心接收方窗口并不存在，VC5这类时代的开发者想出了各种各样的招数，有通过共享内存配合CreateFileMapping的，有用命名管道来实现双向通信的，还有利用内存映射文件构建环形缓冲区的这一种。

INDEX、NET、ML这些存在于压缩包里的文件名，曾经有着暗示当年所独具的设计智慧的作用。我曾见识过一个证券监控系统，这个系统当中所采取的方式利用共享内存去维护一个按键日志的循环队列，主程序会按照每100毫秒一次的频率进行读取。通过这种方式做到了在确保实时性得以保证的同样的情况下，在不会因为出现频繁的IPC调用而使得系统遭受拖慢的目的达成。如今的现状看来这样的一种设计依旧堪称经典。

稳定性是第一生命线

VC5编译器不存在现代那具备的GS保护、DEP检查这种那安全机制，钩子函数当中一个野指针方能致使explorer.exe崩溃情形严甚至直接蓝屏，全部所有代码均势必开展防御性编程等，禁止因其FPU状态在诸多不同不同线程会表现不一致，不能用使用浮点运算之；须回避由于当TRY CATCH的情况下尤其表现得是DLL注入那一个过程时尤为不能够特别做到可靠就应该弃异常处理，至于涉及每个各种那返回值的API都务必得要进行校验。

2001年，某输入法厂商的全局钩子致使Outlook频繁崩溃，经过三天排查，发现是在钩子函数内调用了Sleep(10)，恰好碰到某个窗口处理消息超时，进而引发连锁反应，使得整个消息队列阻塞。最终的解决方案是，将所有可能阻塞的操作移至独立线程，钩子函数仅进行最简单的数据收集。

资源释放的最后关卡

卸载钩子之际调用UnhookWindowsHookEx，这不过是第一步。DLL需要响应DLL_PROCESS_DETACH notification，进而释放TLS索引以及共享内存句柄才行。好多人都把这事儿给忘了啊，以至于系统内部积攒起好几十个无从释放的共享内存块，非得重启才能彻底清除，可不是嘛？

存在一款网络监控软件，恰因其卸载不彻底，于运行一周之后，致使共享内存被耗尽，而整个系统的网络连接遂告失败。嗣后，于DLL入口点增添了尽善尽美的资源清理逻辑，每一个TLS索引皆记录引用计数，借以确保仅在最后一个进程进行卸载之际，方方可真正释放底层资源。

要是你所编写的那个程序 utilize 了全局钩子，究竟可敢确保它能够始终如一地持续运行长达 30 天而不会出现崩溃的状况呢？