API HOOK, Unicode or non-Unicode?

阿呆_ 2014-10-18 01:04:20

Sorry my Chinese IME suddenly not working and I don't want to restart (loooooong time downloading running).

So, the question is:
If I want to hook an API to capture all caller from current application, should I hook the (W)version or (A)version or both or it's depending on seperate API ?

...全文

328 10 打赏收藏转发到动态举报

写回复

用AI写文章

10 条回复

切换为时间正序

请发表友善的回复…

发表回复

qq_22612329 2014-10-27

打赏
举报

有人帮我下载个东西行吗，谢谢http://download.csdn.net/detail/dickcowcsdn/1626070 邮箱350728419@qq.com

Henzox 2014-10-20

打赏
举报

Usually, The W version is your best choice.

zwfgdlc 2014-10-20

打赏
举报

引用 8 楼 Idle_ 的回复:

看来用笨办法比较保险，A和W都hook，幸亏需要hook的分版本函数不多。另外一个小问题： GetDC(), GetWindowDC(), GetDCEx()在用户层有没有一个统一的入口可以hook? 现在是用笨办法同时hook了这三个API，总觉得不爽。

有,但都是没有导出的

阿呆_ 2014-10-20

打赏
举报

看来用笨办法比较保险，A和W都hook，幸亏需要hook的分版本函数不多。另外一个小问题： GetDC(), GetWindowDC(), GetDCEx()在用户层有没有一个统一的入口可以hook? 现在是用笨办法同时hook了这三个API，总觉得不爽。

oyljerry 2014-10-20

打赏
举报

最好的是直接hook NTDLL中的

阿呆_ 2014-10-19

打赏
举报

引用 2 楼 zzz3265 的回复:

根据不同函数可能情况不一样一般的API, 系统实现的方式是Unicode按W, A的只是转换一下然后再调用W 有些系统实现的可能是A, 比如HTTP协议本身是A, 还有些两者都有的具体情况要看你Hook的是哪个API, 可以自己分析下

谁知道user32下Get/SetWindowLong(Ptr)A/W 是(A)调用(W)还是(W)调用(A)还是互不相关的两个？

zwfgdlc 2014-10-19

打赏
举报

看了下,SetWindowLongA/W最终都是要调用USER32!GetClassNameW+0x2d这个函数,可以试下HOOK这个


USER32!SetWindowLongA:
75a26110 8bff            mov     edi,edi
75a26112 55              push    ebp
75a26113 8bec            mov     ebp,esp
75a26115 6a01            push    1
75a26117 ff7510          push    dword ptr [ebp+10h]
75a2611a ff750c          push    dword ptr [ebp+0Ch]
75a2611d ff7508          push    dword ptr [ebp+8]
75a26120 e8b121ffff      call    USER32!GetClassNameW+0x2d (75a182d6)
0:002> u setwindowlongw
USER32!SetWindowLongW:
75a18332 8bff            mov     edi,edi
75a18334 55              push    ebp
75a18335 8bec            mov     ebp,esp
75a18337 6a00            push    0
75a18339 ff7510          push    dword ptr [ebp+10h]
75a1833c ff750c          push    dword ptr [ebp+0Ch]
75a1833f ff7508          push    dword ptr [ebp+8]
75a18342 e88fffffff      call    USER32!GetClassNameW+0x2d (75a182d6)
0:002> u 0x75a182d6
USER32!GetClassNameW+0x2d:
75a182d6 8bff            mov     edi,edi
75a182d8 55              push    ebp
75a182d9 8bec            mov     ebp,esp
75a182db 51              push    ecx
75a182dc 51              push    ecx
75a182dd 8b4d08          mov     ecx,dword ptr [ebp+8]
75a182e0 56              push    esi
75a182e1 e89ddeffff      call    USER32!gapfnScSendMessage+0x1bb (75a16183)

Yofoo 2014-10-19

打赏
举报

这两个函数最终调用是NtUserSetWindowLong, 在驱动里面 LONG NtUserSetWindowLong(HWND hWnd, DWORD Index, LONG NewValue, BOOL Ansi) BOOL Ansi 这个参数根据W,A用不同参数 Ring3如果要Hook, 这两个函数都要, 或者Hook两个函数的中间函数 Win7如下 SetWindowLongW-> _SetWindowLong -> NtUserSetWindowLong SetWindowLongA-> _SetWindowLong -> NtUserSetWindowLong 中间的这个函数非导出的, Hook这个, 不同版本是不好确定函数地址, 方式

Yofoo 2014-10-18