“QQ尾巴”病毒是如何制作的

核心提示： void CQQTailDlg::OnTimer(UINT nIDEvent){PasteText(hRich);}这的确是一种解决的手段，然而它也存在着极大的局限性——计时器的间隔如何设置？也许中毒者正在打字，“QQ尾巴”病毒是如何制作的(2)，尾巴文本&ldqu

void CQQTailDlg::OnTimer(UINT nIDEvent)
{
PasteText(hRich);
}

这的确是一种解决的手段，然而它也存在着极大的局限性——计时器的间隔如何设置？也许中毒者正在打字，尾巴文本“唰”的出现了……

然而病毒本身却不是这样子，它能够准确地在你单击“发送”或按下Ctrl+Enter键的时候将文本粘贴上。2003年1月份我的一台P2曾经中过毒，由于系统速度较慢，所以可以很清楚地看见文本粘贴的时机。

讲到这里，我所陈述的这些事实一定会让身为读者的你说：钩子！——对，就是钩子，下面我所说的正是用钩子来真实地再现“QQ尾巴病毒”的这一技术。

首先我对钩子做一个简要的介绍，已经熟悉钩子的朋友们可以跳过这一段。所谓Win32钩子（hook）并不是铁钩船长那只人工再现的手臂，而是一段子程序，它可以用来监视、检测系统中的特定消息，并完成一些特定的功能。打个比方来说，你的程序是皇帝，Windows系统充当各省的巡抚；至于钩子，则可以算是皇上的一个钦差。譬如皇帝下旨在全国收税，然后派了一个钦差找到山西巡抚说：“皇上有旨，山西除正常赋税外，加收杏花村酒十坛。”（-_-#……）正如皇帝可以用这种方法来特殊对待特定的巡抚一样，程序员也可以用钩子来捕获处理Windows系统中特定的消息。

问题具体到了“QQ尾巴病毒”上边，就是我们需要一个钩子，在用户单击了“发送”按钮之后，粘贴我们的文本。我所实现的这段钩子过程为（至于如何挂接这个钩子，我会在稍后说明）：

// 钩子过程，监视“发送”的命令消息
LRESULT CALLBACK CallWndProc(int nCode, WPARAM wParam, LPARAM lParam)
{
********* ** = (********* *)******;
// 捕获“发送”按钮
if (p-＞message == WM_COMMAND && LOWORD(p-＞wParam) == 1)
PasteText(g_hRich);
return CallNextHookEx(g_hProc, nCode, wParam, lParam);
}　　在此我对这个回调过程说明几点：

1、lParam是一个指向CWPSTRUCT结构的指针，这个结构的描述如下：