为什么带有 WH_JOURRNALRECORD 钩子类型的 SetWindowsHookEx 总是返回 0？

Question

_ProcDlgMain PROC uses ebx edi esi hWnd,wMsg,wParam,lParam

    mov eax,wMsg
    .if eax ==  WM_CLOSE
        invoke  UnhookWindowsHookEx,hHook
        invoke  EndDialog,hWnd,NULL
    .elseif eax ==  WM_INITDIALOG
        push    hWnd
        pop hWinMain
        invoke AddDebugPrivilege
        invoke  SetWindowsHookEx,WH_JOURNALRECORD,addr HookProc,hInstance,NULL
        .if eax
            mov hHook,eax
        .else
            invoke  EndDialog,hWnd,NULL
        .endif
    .else
        mov eax,FALSE
        ret
    .endif
    mov eax,TRUE
    ret
_ProcDlgMain ENDP

start:  
    invoke  GetModuleHandle,NULL
    mov hInstance,eax
    invoke  DialogBoxParam,eax,DLG_MAIN,NULL,offset _ProcDlgMain,NULL
    invoke  ExitProcess,NULL
end start

有人知道为什么SetWindowsHookEx 函数会返回0吗？

Answer 1

根据SetWindowsHookEx documentation：

如果函数失败，则返回值为 NULL。 要获取更多错误信息，请致电GetLastError。

你没有做什么。

但是，它可能会报告ERROR_ACCESS_DENIED，因为在启用了 UAC 的 Vista+ 上，日志挂钩要求应用具有指定“uiaccess=true”权限的 UAC 清单：

SetWindowsHookEx for WH_JOURNALRECORD fails under Vista/Windows 7

但是，看到“uiaccess=true”会带来额外的限制，您的应用可能无法满足这些限制：

• 可执行文件必须经过数字签名。

• 可执行文件必须位于以下“安全”系统文件夹之一中（这可以在 Windows 10+ 上通过 policy setting 禁用）：

  • \Program Files\，包括子目录

  • \Windows\system32\

  • \Program Files (x86)\，包括 64 位版本 Windows 的子目录