只不过发现每次钩子都会导致其他进程挂,比如桌面,QQ2010,WerFault等.后来发现似乎是GetProcAddress的问题。不过LoadLibrary只是用来解决延迟加载DLL的问题,于是遍历每个每个CAPIHOOK元素,如果原函数为空,即在构造函数里GetProcAddress没有得到的话,这里会重新挂接。代码:
void CApiHook::FixupNewlyLoadedModule(PCSTR pszModPath, HMODULE hmod, DWORD dwFlags)
{
if ((hmod != NULL) &&
(hmod != ModuleFromAddress(FixupNewlyLoadedModule)) &&
((dwFlags & LOAD_LIBRARY_AS_DATAFILE) == 0) &&
((dwFlags & LOAD_LIBRARY_AS_DATAFILE_EXCLUSIVE) == 0) &&
((dwFlags & LOAD_LIBRARY_AS_IMAGE_RESOURCE) == 0)
)
{
for (CApiHook* p = sm_pHead; p != NULL; p = p->m_pNext)
{
// 如果某个对象的原函数地址为NULL,可能是延迟加载等原因导致原来DLL不在内存中而引起的
// 因此在这里根据模块名获得函数现在的地址
if (p->m_pfnOrig == NULL)
{
// OutputDebugStringW(L"p->m_pfnOrig == NULL : m_pszCalleeModName,pszModPath\n");
OutputDebugStringA(p->m_pszCalleeModName);
OutputDebugStringA(pszModPath);
if (lstrcmpiA(p->m_pszCalleeModName, pszModPath) == 0)
{
p->m_hMod = hmod;
p->m_pfnOrig = p->GetProcAddressRaw(hmod, p->m_pszFuncName);
}
}
if (p->m_pfnOrig != NULL)
{
ReplaceIATEntryInAllMods(p->m_pszCalleeModName, p->m_pfnOrig, p->m_pfnHook);
}
}
}
}
而GetProcAdderss_Hook也只是遍历元素,如果需要被挂接函数地址和当前要加载函数地址一样的话,则返回已经被挂接的函数
FARPROC WINAPI CApiHook::GetProcAddress_Hook(HMODULE hmod, PCSTR pszProcName)
{ OutputDebugStringA("GetProcAddress_Hook : ");
OutputDebugStringA(pszProcName ? pszProcName : "error pszProcName");
OutputDebugStringA("\n");
FARPROC pfn = GetProcAddressRaw(hmod, pszProcName);
return pfn;
CApiHook * p = sm_pHead;
for (; (pfn != NULL) && (p != NULL); p = p->m_pNext)
{
if (pfn == p->m_pfnOrig)
{
pfn = p->m_pfnHook;
break;
}
}
return pfn;
}
事实上,不挂接这个函数一切运行就OK了。。。
不知道有没有人对这个有分析过?
