SetWindowsHookEx注册非低级全局钩子(如WH_KEYBOARD)必须使用位数匹配的独立DLL,而WH_KEYBOARD_LL/WH_MOUSE_LL可直接在EXE中实现;低级钩子回调中严禁阻塞操作,需轻量处理并异步投递消息,且必须正确管理钩子生命周期。
SetWindowsHookEx 需要 DLL 且必须是 32/64 位匹配的进程
直接在 EXE 进程里调用 SetWindowsHookEx 注册 WH_KEYBOARD_LL 或 WH_MOUSE_LL 是可行的,但注册 WH_KEYBOARD、WH_MOUSE 等全局钩子时,回调函数必须位于 **独立 DLL 中**,且该 DLL 的位数(x86/x64)必须与目标被注入进程一致。系统会把 DLL 映射进每个目标进程地址空间,如果位数不匹配(比如用 x64 EXE 加载 x86 DLL),SetWindowsHookEx 返回 NULL,GetLastError() 通常是 ERROR_INVALID_PARAMETER 或 ERROR_ACCESS_DENIED。
- 低级钩子(
WH_KEYBOARD_LL/WH_MOUSE_LL)可直接在 EXE 中实现,无需 DLL —— 它们由系统在自身线程中调用,不跨进程注入 - 非低级全局钩子(如
WH_KEYBOARD)强制要求 DLL,否则钩子无法被其他进程执行 - 使用
LoadLibrary手动加载 DLL 后再调用SetWindowsHookEx是无效的;必须确保 DLL 已被系统自动映射(即路径在搜索路径中,且由系统完成注入)
键盘钩子回调里不能阻塞或弹窗,否则 UI 线程卡死
LowLevelKeyboardProc 回调运行在系统关键线程中,任何耗时操作(如 MessageBox、文件 I/O、网络请求)都会导致整个桌面输入冻结。常见现象是:按下一个键后键盘“失灵”几秒,鼠标也无响应。
- 只做轻量判断:检查
wParam是否为WM_KEYDOWN,读取lParam指向的KBDLLHOOKSTRUCT中的vkCode和flags - 避免调用
SendMessage到窗口句柄(尤其是跨线程窗口),改用PostMessage异步投递 - 如需记录日志,用无锁环形缓冲区 + 独立线程刷盘,不要在钩子函数里 fopen/fwrite
extern "C" LRESULT CALLBACK LowLevelKeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) {
if (nCode == HC_ACTION) {
PKBDLLHOOKSTRUCT p = (PKBDLLHOOKSTRUCT)lParam;
if (wParam == WM_KEYDOWN && p->vkCode == VK_ESCAPE) {
// ✅ 安全:仅设置标志
g_exit_requested = true;
// ❌ 危险:PostThreadMessage 可行,但 MessageBox 会导致卡死
}
}
return CallNextHookEx(NULL, nCode, wParam, lParam);
}
钩子生命周期管理不当会导致内存泄漏或崩溃
钩子句柄 HHOOK 是内核对象,必须配对调用 UnhookWindowsHookEx。若进程异常退出(如崩溃、TerminateProcess)、或忘记调用卸载,系统虽会自动清理,但 DLL 若含全局对象析构逻辑(如静态 std::thread、未关闭的 HANDLE),可能触发访问违规。
- DLL 的
DllMain中禁止调用UnhookWindowsHookEx(DLL_PROCESS_DETACH 时钩子可能已被系统提前移除,再调用会失败甚至 crash) - 应在主程序收到退出信号(如 Ctrl+C、主窗口关闭)后,主动调用
UnhookWindowsHookEx,再清理自身资源 - 使用
SetThreadDesktop或切换会话(如锁屏)可能导致钩子失效,此时CallNextHookEx返回值可能异常,应检查返回值是否为 0 并及时重装
WH_MOUSE_LL 获取鼠标位置不准?别信 GetCursorPos
在 LowLevelMouseProc 回调中调用 GetCursorPos 返回的位置,常与实际点击点偏差几个像素——因为消息到达钩子时,光标可能已移动,且 GetCursorPos 返回的是屏幕坐标,而 lParam 中的 MOUSEHOOKSTRUCT 包含的是更精确的原始设备坐标(pt 字段已是屏幕坐标,但经过去抖和加速处理)。
立即学习“C++免费学习笔记(深入)”;
- 优先使用
((PMOUSEHOOKSTRUCT)lParam)->pt,它与当前消息严格对应 - 若需窗口客户区坐标,用
ScreenToClient转换,但必须确保目标窗口句柄有效且属于当前线程(跨线程需同步) - 避免在钩子中频繁调用
WindowFromPoint—— 它可能返回错误窗口(因窗口 Z 序变化快),建议缓存最近一次有效窗口句柄并加超时
WH_KEYBOARD_LL 仍工作,但某些企业策略会禁用),都可能让钩子静默失效。最稳的做法:始终检查 SetWindowsHookEx 返回值,用 GetLastError 辅助诊断,并在日志里记录钩子存活时长与消息吞吐量。 
