“Life finds its way.”——《侏罗纪公园》

　　正如《侏》里的这句话一样，入侵者也在不断寻找他们的新出路，虽然上面我说了这么多BHO的负面事例，但是真正的危机并不是只有BHO的，在一些使用BHO行不通的场合里，入侵者开始投掷他们的钩子。

　　什么是钩子？让我们先看看它的官方定义：

　　钩子（Hook），是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

　　钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

　　可能上面的官方定义对一部分读者理解有点困难，其实，钩子就像是一切程序的“先知”，一个实现了钩子的程序自身虽然也是普通程序，但是它总能在别的程序得到数据之前就已经知道了一切，这是为什么呢？对Windows系统有一定了解的读者应该知道，Windows系统是一个通过“信息处理机制”运作的系统，在这个系统里传递的数据都是通过“消息”（Message）的形式发送的，各个消息都遵循了官方的约定，否则就不能让系统产生回应。而且这个传递步骤是颠倒的，例如我们关闭了某个程序，我们可能会认为是程序自己关闭后通知系统的，其实不然，当用户点击关闭按钮的时候，Windows就会把一个叫做WM_CLOSE的消息传递给这个程序，程序接收到消息后就执行卸载自身例程的操作。理解了这点，就能知道钩子的原理了，所谓钩子程序，就是利用了系统提供的Hook API，让自己比每一个程序都提前接收到系统消息，然后做出处理，如果一个钩子拦截了系统给某个程序的WM_CLOSE消息，那么这个程序就会因为接收不到关闭消息而无法关闭自身。除了消息以外，钩子还可以拦截API，像我们都熟悉的屏幕翻译软件就是Hook了一些文本输出函数如TextOutA而达到了目的。

　　Hook技术让编程人员可以轻松获取其他程序的一些有用数据或传递相关数据，像现在常见的一些游戏外挂，它们就是利用Hook技术钩住了游戏窗体，然后就可以识别游戏里面的行为和模拟发送按键鼠标消息，最终实现电脑自己玩游戏的功能。把这个技术应用到浏览器上面，就成了另一种控制浏览器行为的方法。

　　钩子有两种，本地钩子（Local Hook）和全局钩子（Global Hook），本地钩子只在本进程里起作用，故不属于讨论范围；全局钩子代码必须以DLL形式编写，以便在钩子生效时被其它进程所加载调用，因此我们看到的大部分Hook程序都是DLL形式的。

　　其实之前提到的BHO也可以视为一种针对IE的钩子，它钩的是IE的事件，这就是IE与BHO交互的起点，但是对于再复杂一点的操作，例如判断IE下载的是GIF图片还是JPEG图片，BHO无能为力，因为它仅仅知道IE的事件为DownloadBegin和DownloadComplete，对于具体内容，IE本身是不会告诉它的，否则IE岂不是要忙死了？至少我也没见过哪个领导还需要向秘书汇报中午吃了鸡肉还是鸭肉的吧，BHO可不是IE的老婆，或者说IE没有气管炎。