本文目录一览：

• 1、钩子问题.
• 2、钩子是什么?
• 3、应用层加密相比驱动层加密为什么容易破解，应用层加密是什么意思啊！是怎么做的破解的
• 4、谁比较了解HOOK技术帮一下
• 5、真正懂的进最好是黑客回答真正的黑客！请用理论回答谢谢！烦恼啊！
• 6、天锐绿盾数据防泄密软件加密是在驱动层还是应用层？

钩子问题.

以前做过编程，但现在都忘个差不多了，给你查了一点，看能不能有帮助

HOOK编程与消息处理一2009-06-14 16:02阅读本文需要一定的C++基础和windows编程基础，另外对动态链接库原理和机制也要有一定了解。我尽量讲解得简单明了一些。

因为考试系统项目中要对系统中的键盘消息进行处理，而WEB页面中对系统热键、功能键不能进行有效处理，如（ALT+F4 ALT+TABLE等等），因此需要编写一个WIN32下的客户端程序，内嵌一个WebBrownser实现页面显示(或用CHtmlView对象实现，其实道理都是一样的），这样我可以在客户端程序框架中对键盘消息进行处理。

本文介绍的内容主要是利用动态链接库安装全局进程钩子，实现应用程序的主导控制，因此本文的范畴还是在COM相关领域中。#此前在首页部分显示#

关于Hook编程，以前我总是认为很神秘，因为黑客技术中经常用到HOOK，比如最常见的盗取密码。下面我们来一窥门径。

首先我们来简单了解一下窗口句柄和WINDOWS消息处理机制；

窗口是Windows应用程序中一个非常重要的元素，一个Windows应用程序至少要有一个窗口，称为主窗口。窗口是屏幕上的一块矩形区域，是Windows应用程序与用户进行交互的接口。在windows应用程序中，窗口是通过窗口句柄（HWND）来标识的。我们要对某个窗口进行操作，首先要得到这个窗口的句柄。句柄（HANDLE）是Windows程序中一个重要的概念，使用很频繁。在windows程序中有各种各样的资源（窗口、图标、光标等），系统在创那家这些资源时会为它们分配内存，并返回标识这些资源的标识号，即句柄（图标句柄HICON、光标句柄HCURSOR、画刷句柄HBRUSH）。

Windows程序设计是一种完全不同于DOS方式的程序设计方法。它是一种事件驱动方式的程序设计模式，主要是基于消息的。例如当用户在窗口中画图的时候，按下鼠标左键，操作系统会感知这一事件，并将这一事件包装成一个消息，投递到应用程序消息队列中，然后应用程序通过调用GetMessage函数从消息队列中取出消息，然后调用DispatchMessage函数将这条消息调度给操作系统，操作系统会调用在设计窗口类时指定的应用程序窗口过程（WindowProc）对这一消息进行处理。

在实际应用中，可能要对某个特殊消息进行屏蔽，如在我的考试项目中要对键盘消息进行屏蔽，而鼠标消息不与处理。我们可以给我们的程序安装一个HOOK过程（钩子过程）来实现这一功能。在程序中，我们可以过SetWindowsHookEx函数来安装一个钩子过程。该函数声明如下：

HHOOK SetWindowsHookEx(

int idHook, // type of hook to install

HOOKPROC lpfn, // address of hook procedure

HINSTANCE hMod, // handle to application instance

DWORD dwThreadId // identity of thread to install hook for

);

SetWindowsHookEx函数的作用是安装一个应用程序定义的钩子过程，并将其放到钩子链中。应用程序可以安装多个钩子过程，对我们感兴趣的多个消息进行检查。这样多个钩子过程就形成了钩子链，最后安装的钩子过程总是排在该链的前面。如果调用成功，SetWindowsHookEx函数返回值就是所安装的钩子过程的句柄，否则返回NULL。

各参数的含义各位读者可以看下MSDN，MSDN中的英文也是很好读懂的，各位不要害怕。

第一个参数idHook MSDN中给出的含义是Specifies the type of hook procedure to be installed. 中文意思就是指定将要安装的钩子过程的类型。在我的项目中因为要处理键盘消息，因此本文中我会将其设为WH_KEYBOARD。如果要处理鼠标消息可将其设为WH_MOUSE。

第二个参数lpfn 指向相应钩子过程。如果参数dwThreadId 为0，或者指定了一个其他进程创那家的线程的标识符，那么参数lpfn 必须指向一个位于某动态接库中的钩子过程。否则，参数lpfn 可以指向当前进程相关代码中定义的一个钩子过程。

第三个参数hMod 指定lpfn 指向的钩子过程所在DLL的句柄。如果参数dwThreadId 指定的线程由当前进程创建，并且相应的钩子过程定义于当前进程相关的代码中，那么必须将此参数设为NULL。

第四个参数dwThreadId 指定也钩子过程相关的线程标识。如果其值为0，那么安装的钩子过程将与桌面上运行的所有线程都相关。

关于进程内的钩子比较简单，大家参看MSDN中的MouseProc、CallNextHookEx以及上面的SetWindowsHookEx等函数的说明就可以实现。在这里我们要写一个应用全局钩子的应用程序，主要是我想在程序运行时对桌面运行的所有进程的键盘消息都进行屏蔽。好，我们现在建一个空的DLL工程名为HookTest,再建一个C++源文件HookTest.cpp，在源文件中写一个函数SetHook用以安装钩子过程，再写一个函数UnHook用以卸载钩子过程。代码如下：

LRESULT CALLBACK KeyboardProc(

int code, // hook code

WPARAM wParam, // virtual-key code

LPARAM lParam // keystroke-message information)

{

if(VK_F2==wParam)

{

SendMessage(hWnd,WM_CLOSE,0,0);

UnhookWindowsHookEx(hKeyboardHook);

}

return 1;

}

void SetHook(HWND hwnd)

{

hWnd=hwnd;

hKeyboardHook=SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,GetModuleHandle("Hook"),0);

}

void UnHook()

{

if(hKeyboardHook)

{

SendMessage(hWnd,WM_CLOSE,0,0);

UnhookWindowsHookEx(hKeyboardHook);

}

}

钩子是什么?

钩子(Hook)，是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

;SecondIndex=5ContentIndex=231

中文文章汇总/system/showdoc.asp-detail_id=77.htm

应用层加密相比驱动层加密为什么容易破解，应用层加密是什么意思啊！是怎么做的破解的

透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内容的效果。

透明加密有以下特点：

强制加密：安装系统后，所有指定类型文件都是强制加密的；

使用方便：不影响原有操作习惯，不需要限止端口；

于内无碍：内部交流时不需要作任何处理便能交流；

对外受阻：一旦文件离开使用环境，文件将自动失效，从而保护知识产权。

透明加密技术原理

透明加密技术是与windows紧密结合的一种技术，它工作于windows的底层。通过监控应用程序对文件的操作，在打开文件时自动对密文进行解密，在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。

监控windows打开（读）、保存（写）可以在windows操作文件的几个层面上进行。现有的32位CPU定义了4种（0~3）特权级别，或称环（ring），如图1所示。其中0级为特权级，3级是最低级（用户级）。运行在0级的代码又称内核模式，3级的为用户模式。常用的应用程序都是运行在用户模式下，用户级程序无权直接访问内核级的对象，需要通过API函数来访问内核级的代码，从而达到最终操作存储在各种介质上文件的目的。

为了实现透明加密的目的，透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时程序能够识别，而在保存时又要将明文转换成密文。Window 允许编程者在内核级和用户级对文件的读写进行操作。内核级提供了虚拟驱动的方式，用户级提供Hook API的方式。因此，透明加密技术也分为API HOOK广度和VDM（Windows Driver Model）内核设备驱动方式两种技术。API HOOK俗称钩子技术，VDM俗称驱动技术。

“只要安装了透明加密软件，企业图纸办公文档在企业内部即可自动加密，而且对用户完全透明，丝毫不改变用户的工作习惯。在没有授权的情况下，文件即使流传到企业外部，也无法正常应用。就像一个防盗门，装上就能用，而且很管用。”这是2006年透明加密在开辟市场时打出的宣传旗号。

对于当时空白的市场来讲，这一旗号确实打动了不少企业。如今，经过四年多的岁月洗礼，透明加密技术也在不断进步。就目前市面上的透明加密技术来看，主要分为两大类：即应用层透明加密技术和驱动层透明加密技术。本文将重点对两种技术的优缺点进行剖析。

应用层透明加密（钩子透明加密）技术简介

所有Windosw应用程序都是通过windows API函数对文件进行读写的。程序在打开或新建一个文件时，一般要调用windows的CreateFile或OpenFile、ReadFile等Windows API函数；而在向磁盘写文件时要调用WriteFile函数。

同时windows提供了一种叫钩子（Hook）的消息处理机制，允许应用程序将自己安装一个子程序到其它的程序中，以监视指定窗口某种类型的消息。当消息到达后，先处理安装的子程序后再处理原程序。这就是钩子。

应用层透明加密技术俗称钩子透明加密技术。这种技术就是将上述两种技术（应用层API和Hook）组合而成的。通过windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存中的明文加密后再写入到磁盘中。

应用层透明加密（钩子透明加密）技术与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

目前不少应用程序为了限止黑客入侵设置了反钩子技术，这类程序在启动时，一旦发现有钩子入侵，将会自动停止运行，所以应用层加密很容易通过反钩子来避开绕过。

驱动层透明加密技术简介

驱动加密技术是基于windows的文件系统（过滤）驱动（IFS）技术，工作在windows的内核层。我们在安装计算机硬件时，经常要安装其驱动，如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时，文件驱动会监控到程序的操作，并改变其操作方式，从而达到透明加密的效果。

驱动加密技术与应用程序无关，他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时，系统自动将文件解密；当进入写操作时，自动将明文进行加密。由于工作在受windows保护的内核层，运行速度更快，加解密操作更稳定。

但是，驱动加密要达到文件保密的目的，还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序，哪些程序是非法的程序。

驱动层透明加密技术工作在内核层。

驱动加密技术虽然有诸多的优点，但由于涉及到windows底层的诸多处理，开发难度很大。如果处理不好与其它驱动的冲突，应用程序白名单等问题，将难以成为一个好的透明加密产品。因此，目前市面上也只有天津优盾科技等少数几家公司有成熟的产品。

应用层透明加密技术（钩子透明加密技术）与驱动层透明加密技术优缺点比较

两种加密技术由于工作在不同的层面，从应用效果、开发难度上各有特点。综上所述，应用层透明加密技术（钩子透明加密技术）开发容易，但存在技术缺陷，而且容易被反Hook所破解。正如杀毒软件技术从Hook技术最终走向驱动技术一样，相信透明加密技术也终将归于越来越成熟应用的驱动技术，为广大用户开发出稳定、可靠的透明加密产品来。

谁比较了解HOOK技术帮一下

Hook解释

Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制，中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后，一旦发生已hook事件，对该事件进行hook的程序就会受到系统的通知，这时程序就能在第一时间对该事件做出响应。

另一解释：

钩子(Hook)，是Windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。

钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

Hook原理

每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。

Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载，Windows 便释放其占用的内存，并更新整个Hook链表。如果程序安装了钩子，但是在尚未卸载钩子之前就结束了，那么系统会自动为它做卸载钩子的操作。

钩子子程是一个应用程序定义的回调函数(CALLBACK Function)，不能定义成某个类的成员函数，只能定义为普通的C函数。用以监视系统或某一特定类型的事件，这些事件可以是与某一特定线程关联的，也可以是系统中所有线程的事件。

系统钩子与线程钩子

SetWindowsHookEx()函数的最后一个参数决定了此钩子是系统钩子还是线程钩子。

线程勾子用于监视指定线程的事件消息。线程勾子一般在当前线程或者当前线程派生的线程内。

系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL) 中。系统自动将包含“钩子回调函数”的DLL映射到受钩子函数影响的所有进程的地址空间中，即将这个DLL注入了那些进程。

几点说明：

（1）如果对于同一事件（如鼠标消息）既安装了线程勾子又安装了系统勾子，那么系统会自动先调用线程勾子，然后调用系统勾子。

（2）对同一事件消息可安装多个勾子处理过程，这些勾子处理过程形成了勾子链。当前勾子处理结束后应把勾子信息传递给下一个勾子函数。

（3）勾子特别是系统勾子会消耗消息处理时间，降低系统性能。只有在必要的时候才安装勾子，在使用完毕后要及时卸载。

Hook的应用模式

观察模式

最为常用，像Windows提供的SetWindowHook就是典型地为这类应用准备的。而且这也是最普遍的用法。

这个模式的特点是，在事情发生的时候，发出一个通知信息。观察者只可以查看过程中的信息，根据自己关心的内容处理自己的业务，但是不可以更改原来的流程。

如全局钩子中，经常使用的鼠标消息、键盘消息的监视等应用。金山词霸屏幕取词的功能是一个典型的应用（具体技术可以参考此类文章）。

注入模式

这个模式和观察模式最大的不一样的地方在于，注入的代码是为了扩展原始代码的功能业务。插件模式是此类模式的典型案例。

不管瘦核心的插件系统（如Eclipse）还是胖核心的插件系统（如Delphi、Visual Studio等IDE环境），其对外提供的插件接口都是为了扩展本身系统的功能的。

这种扩展的应用方式的典型特点，就是新的扩展代码和原来的代码会协调处理同类业务。

替换模式

如果针对应用目的不同，可以叫修复模式或破解模式。前者是为了修改系统中的BUG，后者是为了破解原有系统的限制。

很多黑客使用此种模式，将访问加密锁的DLL中的导出表，替换成自己的函数，这样跳过对软件的控制代码。这类应用的难点是，找出函数的参数。

这类模式的特点是，原有的代码会被新的代码所替换。

前面三个是基本模式，还有很多和实际应用相关的模式。

集权模式

此类模式的出现，大都是为了在全部系统中，统一处理某类事情。它的特点不在于注入的方式，而在于处理的模式。

这个模式，大都应用到某类服务上，比如键盘服务，鼠标服务，打印机服务等等特定服务上。通过统一接管此类服务的访问，限制或者协调对服务的访问。

比如键盘锁功能的实现，就是暂时关闭键盘的所有应用。

这类模式的特点主要会和特点服务有关联。

修复模式

替换模式的一种，这里强调的是其应用的目的是为了修复或扩展原有系统的功能。

破解模式

替换模式的一种，这里强调的是其应用的目的是为了跳过原有系统的一部分代码。如加密检测代码，网络检测代码等等。

插件模式

注入模式的一种，在系统的内部直接依靠HOOK机制进行扩展业务功能。

共享模式

这类应用中，经常是为了获取对方的数据。必然我希望获取对方系统中，所有字符串的值。可以通过替换对方的内存管理器，导出所有字符串。

这个应用比较特殊。不过其特点在于，目的是达到系统之间的数据共享。

其实现，可能是观察模式，也可能是替换模式。

VB中的Hook技术应用

一、Hook简介

Hook这个东西有时令人又爱又怕，Hook是用来拦截系统某些讯息之用，例如说，我们想

让系统不管在什么地方只要按个Ctl-B便执行NotePad，或许您会使用Form的KeyPreview

，设定为True，但在其他Process中按Ctl-B呢？那就没有用，这是就得设一个Keyboard

Hook来拦截所有Key in的键；再如：MouseMove的Event只在该Form或Control上有效，如果希望在Form的外面也能得知Mouse Move的讯息，那只好使用Mouse Hook来栏截Mouse

的讯息。再如：您想记录方才使用者的所有键盘动作或Mosue动作，以便录巨集，那就

使用JournalRecordHook，如果想停止所有Mosue键盘的动作，而放(执行)巨集，那就

使用JournalPlayBack Hook；Hook呢，可以是整个系统为范围(Remote Hook)，即其他

Process的动作您也可以拦截，也可以是LocalHook，它的拦截范围只有Process本身。

Remote Hook的Hook Function要在.Dll之中，Local Hook则在.Bas中。

在VB如何设定Hook呢？使用SetWindowsHookEx()

Declare Function SetWindowsHookEx Lib 'user32' Alias 'SetWindowsHookExA' _

(ByVal idHook As Long， _

ByVal lpfn As Long， _

ByVal hmod As Long， _

ByVal dwThreadId As Long) As Long

idHook代表是何种Hook，有以下几种

Public Const WH_CALLWNDPROC = 4

Public Const WH_CALLWNDPROCRET = 12

Public Const WH_CBT = 5

Public Const WH_DEBUG = 9

Public Const WH_FOREGROUNDIDLE = 11

Public Const WH_GETMESSAGE = 3

Public Const WH_HARDWARE = 8

Public Const WH_JOURNALPLAYBACK = 1

Public Const WH_JOURNALRECORD = 0

Public Const WH_KEYBOARD = 2

Public Const WH_MOUSE = 7

Public Const WH_MSGFILTER = (-1)

Public Const WH_SHELL = 10

Public Const WH_SYSMSGFILTER = 6

lpfn代表Hook Function所在的Address，这是一个CallBack Fucnction，当挂上某个

Hook时，我们便得定义一个Function来当作某个讯息产生时，来处理它的Function

，这个Hook Function有一定的叁数格式

Private Function HookFunc(ByVal ncode As Long， _

ByVal wParam As Long， _

ByVal lParam As Long) As Long

nCode 代表是什么请况之下所产生的Hook，随Hook的不同而有不同组的可能值

wParam lParam 传回值则随Hook的种类和nCode的值之不同而不同。

因这个叁数是一个 Function的Address所以我们固定将Hook Function放在.Bas中，

并以AddressOf HookFunc传入。至于Hook Function的名称我们可以任意给定，不一

定叫 HookFunc

hmod 代表.DLL的hInstance，如果是Local Hook，该值可以是Null(VB中可传0进去)，

而如果是Remote Hook，则可以使用GetModuleHandle('.dll名称')来传入。

dwThreadId 代表执行这个Hook的ThreadId，如果不设定是那个Thread来做，则传0(所以

一般来说，Remote Hook传0进去)，而VB的Local Hook一般可传App.ThreadId进去

值回值如果SetWindowsHookEx()成功，它会传回一个值，代表目前的Hook的Handle，

这个值要记录下来。

因为A程式可以有一个System Hook(Remote Hook)，如KeyBoard Hook，而B程式也来设一

个Remote的KeyBoard Hook，那么到底KeyBoard的讯息谁所拦截？答案是，最后的那一个

所拦截，也就是说A先做keyboard Hook，而后B才做，那讯息被B拦截，那A呢？就看B的

Hook Function如何做。如果B想让A的Hook Function也得这个讯息，那B就得呼叫

CallNextHookEx()将这讯息Pass给A，于是产生Hook的一个连线。如果B中不想Pass这讯息

给A，那就不要呼叫CallNextHookEx()。

Declare Function CallNextHookEx Lib 'user32' _

(ByVal hHook As Long， _

ByVal ncode As Long， _

ByVal wParam As Long， _

lParam As Any) As Long

hHook值是SetWindowsHookEx()的传回值，nCode， wParam， lParam则是Hook Procedure

中的三个叁数。

最后是将这Hook去除掉，请呼叫UnHookWindowHookEx()

Declare Function UnhookWindowsHookEx Lib 'user32' (ByVal hHook As Long) As Long

hHook便是SetWindowsHookEx()的传回值。此时，以上例来说，B程式结束Hook，则换A可

以直接拦截讯息。

KeyBoard Hook的范例

Hook Function的三个叁数

nCode wParam lParam 传回值

HC_ACTION 表按键Virtual Key 与WM_KEYDOWN同 若讯息要被处理传0

或 反之传1

HC_NOREMOVE

Public hHook As Long

Public Sub UnHookKBD()

If hnexthookproc lt；gt； 0 Then

UnhookWindowsHookEx hHook

hHook = 0

End If

End Sub

Public Function EnableKBDHook()

If hHook lt；gt； 0 Then

Exit Function

End If

hHook = SetWindowsHookEx(WH_KEYBOARD， AddressOf MyKBHFunc， App.hInstance， App.ThreadID)

End Function

Public Function MyKBHFunc(ByVal iCode As Long， ByVal wParam As Long， ByVal lParam As Long) As Long

MyKBHFunc = 0 '表示要处理这个讯息

If wParam = vbKeySnapshot Then '侦测 有没有按到PrintScreen键

MyKBHFunc = 1 '在这个Hook便吃掉这个讯息

End If

Call CallNextHookEx(hHook， iCode， wParam， lParam) '传给下一个Hook

End Function

只要将上面代码放在VB的模块中，用标准VB程序就可以了，当运行该程序后，就能拦截所有键盘操作。

真正懂的进最好是黑客回答真正的黑客！请用理论回答谢谢！烦恼啊！

无论你是用软键盘和打乱顺序输的都是没有用的。真正的密码最终还是会出现在那个方框中。只要你输入是正确的密码，最终都会被盗。好点的盗号软件都是利用API HOOK 钩子技术，也就是截取方框里的密码。所以说无论你是用软键盘和打乱顺序输的都是没有用的。

还有就是到那个动态密保卡的问题，并不是他会破解你的密保卡密码，而是利用游戏BUG进入游戏，绕过了输动态密保卡的这一关。所以你的动态密保卡是没用的。当然拥有这种软件或者技术的人很少，所以一般只要提高防范意识就可以了。最好少用外挂，无论是免费的还是花钱买的，里面都不可或缺的有后门，这是通用的软件制作者的通用手段，为自己留下后路！！！

天锐绿盾数据防泄密软件加密是在驱动层还是应用层？

驱动层。驱动层透明加密技术工作在windows的内核层，他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时，系统自动将文件解密；当进入写操作时，自动将明文进行加密。由于工作在受windows保护的内核层，运行速度更快，加解密操作更稳定，但开发难度大。

应用层加密通过windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存中的明文加密后再写入到磁盘中。与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

应用程序为了防止黑客入侵设置了反钩子技术，这类程序在启动时，一旦发现有钩子入侵，将会自动停止运行，所以应用层加密很容易通过反钩子来避开绕过。

应用层透明加密技术（钩子透明加密技术）开发容易，但存在技术缺陷，应用程序版本变更容易产生不兼容，而且容易被反Hook所破解。