微信扫一扫1.6w+
社区成员
Debug & Release 的 API Hook 问题。
我想hook一个程序的CreateFile函数,用的是'PIMAGE_THUNK_DATA',
在这个程序的Debug版本里,可以看到CreateFile被替换了,可是
当hook相同程序的Release版时,却不能工作,问题好像出在
WriteProcessMemory(GetCurrentProcess(),ppfn,&MyFun,sizeof(MyFun),&n);
上,在Release写失败。hook api 在 debug和release版本有不同吗?
在这个程序的Debug版本里,可以看到CreateFile被替换了,可是
当hook相同程序的Release版时,却不能工作,问题好像出在
WriteProcessMemory(GetCurrentProcess(),ppfn,&MyFun,sizeof(MyFun),&n);
上,在Release写失败。hook api 在 debug和release版本有不同吗?
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
LJN 2002-04-10
我也发现了问题所在,正是qinzm(不归人)和 han012(阿毛)所说的。
- 打赏
- 举报
han012 2002-04-09
请参见
http://www.csdn.net/expert/topic/180/180075.xml?temp=.6268579
我对Windows API拦截技术经典之作Matt Pietrek的<<Windows 95 System Programming Secret>>第十章的研究
... ...
进一步测试,我发现当跟踪的目标程序是Debug版时程序运行正常。但跟踪的目标程序是release版时, 我们的跟踪程序不能拦截目标程序的Win API函数调用,这是一个严重的BUG!经过多次调试,我终于发现原因所在!原来在某些release版程序中,存放函数导入表(IAT) 的“.idata”节和其它节进行了合并,并且合并后数据所在页的页属性为不可写。所以当我们试图改写IAT中函数地址到自己的stub函数时,发生页面访问错误。知道了原因,其实修改很容易。只需将存放函数导入表(IAT) 的“.idata”节所在页的页属性强制该为"可写"即可。在改写完IAT表后再将页属性还原。OK,现在可以跟踪release版目标程序了。
... ...
修改页属性请用 qinzm(不归人) 所说的VirtualProctol()函数
http://www.csdn.net/expert/topic/180/180075.xml?temp=.6268579
我对Windows API拦截技术经典之作Matt Pietrek的<<Windows 95 System Programming Secret>>第十章的研究
... ...
进一步测试,我发现当跟踪的目标程序是Debug版时程序运行正常。但跟踪的目标程序是release版时, 我们的跟踪程序不能拦截目标程序的Win API函数调用,这是一个严重的BUG!经过多次调试,我终于发现原因所在!原来在某些release版程序中,存放函数导入表(IAT) 的“.idata”节和其它节进行了合并,并且合并后数据所在页的页属性为不可写。所以当我们试图改写IAT中函数地址到自己的stub函数时,发生页面访问错误。知道了原因,其实修改很容易。只需将存放函数导入表(IAT) 的“.idata”节所在页的页属性强制该为"可写"即可。在改写完IAT表后再将页属性还原。OK,现在可以跟踪release版目标程序了。
... ...
修改页属性请用 qinzm(不归人) 所说的VirtualProctol()函数
- 打赏
- 举报
qinzm 2002-04-09
VirtualProctol
- 打赏
- 举报
BABIZHU 2002-04-09
不如你先说说你是怎么做的!!!
- 打赏
- 举报
LJN 2002-04-09
gz
- 打赏
- 举报
LJN 2002-04-09
有经验的牛们,不要吝啬,给点提示也好(有建设性的)。
- 打赏
- 举报
LJN 2002-04-09
up
- 打赏
- 举报