16,551
社区成员
发帖
与我相关
我的任务
分享Debug & Release 的 API Hook 问题。
我想hook一个程序的CreateFile函数,用的是'PIMAGE_THUNK_DATA',
在这个程序的Debug版本里,可以看到CreateFile被替换了,可是
当hook相同程序的Release版时,却不能工作,问题好像出在
WriteProcessMemory(GetCurrentProcess(),ppfn,&MyFun,sizeof(MyFun),&n);
上,在Release写失败。hook api 在 debug和release版本有不同吗?
在这个程序的Debug版本里,可以看到CreateFile被替换了,可是
当hook相同程序的Release版时,却不能工作,问题好像出在
WriteProcessMemory(GetCurrentProcess(),ppfn,&MyFun,sizeof(MyFun),&n);
上,在Release写失败。hook api 在 debug和release版本有不同吗?
...全文
请发表友善的回复…
发表回复
LJN 2002-04-10
- 打赏
- 举报
我也发现了问题所在,正是qinzm(不归人)和 han012(阿毛)所说的。
han012 2002-04-09
- 打赏
- 举报
请参见
http://www.csdn.net/expert/topic/180/180075.xml?temp=.6268579
我对Windows API拦截技术经典之作Matt Pietrek的<<Windows 95 System Programming Secret>>第十章的研究
... ...
进一步测试,我发现当跟踪的目标程序是Debug版时程序运行正常。但跟踪的目标程序是release版时, 我们的跟踪程序不能拦截目标程序的Win API函数调用,这是一个严重的BUG!经过多次调试,我终于发现原因所在!原来在某些release版程序中,存放函数导入表(IAT) 的“.idata”节和其它节进行了合并,并且合并后数据所在页的页属性为不可写。所以当我们试图改写IAT中函数地址到自己的stub函数时,发生页面访问错误。知道了原因,其实修改很容易。只需将存放函数导入表(IAT) 的“.idata”节所在页的页属性强制该为"可写"即可。在改写完IAT表后再将页属性还原。OK,现在可以跟踪release版目标程序了。
... ...
修改页属性请用 qinzm(不归人) 所说的VirtualProctol()函数
http://www.csdn.net/expert/topic/180/180075.xml?temp=.6268579
我对Windows API拦截技术经典之作Matt Pietrek的<<Windows 95 System Programming Secret>>第十章的研究
... ...
进一步测试,我发现当跟踪的目标程序是Debug版时程序运行正常。但跟踪的目标程序是release版时, 我们的跟踪程序不能拦截目标程序的Win API函数调用,这是一个严重的BUG!经过多次调试,我终于发现原因所在!原来在某些release版程序中,存放函数导入表(IAT) 的“.idata”节和其它节进行了合并,并且合并后数据所在页的页属性为不可写。所以当我们试图改写IAT中函数地址到自己的stub函数时,发生页面访问错误。知道了原因,其实修改很容易。只需将存放函数导入表(IAT) 的“.idata”节所在页的页属性强制该为"可写"即可。在改写完IAT表后再将页属性还原。OK,现在可以跟踪release版目标程序了。
... ...
修改页属性请用 qinzm(不归人) 所说的VirtualProctol()函数
qinzm 2002-04-09
- 打赏
- 举报
VirtualProctol
BABIZHU 2002-04-09
- 打赏
- 举报
不如你先说说你是怎么做的!!!
LJN 2002-04-09
- 打赏
- 举报
gz
LJN 2002-04-09
- 打赏
- 举报
有经验的牛们,不要吝啬,给点提示也好(有建设性的)。
LJN 2002-04-09
- 打赏
- 举报
up
