Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2006.05.28;
Скачать: CL | DM;

Вниз

Не работает перехват win api функции   Найти похожие ветки 

 
Dmitrij_K   (2006-03-07 15:13) [0]

Процедура замены
procedure ReplaceIATEntryInOneMod(const OldProc,
 NewProc: FARPROC);
var
 Size: DWORD;
 ImportEntry: PImageImportDescriptor;
 Thunk: PImageThunkData;
 Protect, newProtect: DWORD;
 DOSHeader: PImageDosHeader;
 NTHeader: PImageNtHeaders;
begin
 if OldProc = nil then Exit;
 if NewProc = nil then Exit;

  // Можно искать вот так
 ImportEntry := ImageDirectoryEntryToData(Pointer(hInstance), BOOL(1),
   IMAGE_DIRECTORY_ENTRY_IMPORT, Size);
 if ImportEntry <> nil then
 begin
   while ImportEntry^.Name <> 0 do
   begin
       Thunk := PImageThunkData(DWORD(hInstance) +
         DWORD(ImportEntry^.FirstThunk));
       while Thunk^._function <> nil do
       begin
         if (Thunk^._function = OldProc) then
         begin
           if not IsBadWritePtr(@Thunk^._function, sizeof(DWORD)) then
             Thunk^._function := NewProc
           else
           begin

             if VirtualProtect(@Thunk^._function, SizeOf(DWORD),
               PAGE_EXECUTE_READWRITE, Protect) then
             begin
               Thunk^._function := NewProc;
               newProtect := Protect;
               VirtualProtect(@Thunk^._function, SizeOf(DWORD),
                 newProtect, Protect);
             end;
           end;
           //Exit;
         end
         else
           Inc(PChar(Thunk), SizeOf(TImageThunkData32));
       end;
     ImportEntry := Pointer(Integer(ImportEntry) + SizeOf(TImageImportDescriptor));
   end;
 end;
end;


procedure SetAPIHook;
begin
 OldMessageBox :=
   GetProcAddress(GetModuleHandle("User32.dll"), "MessageBoxA");
 CurrentMessageBox := @HookMessageBox;
 ReplaceIATEntryInOneMod(OldMessageBox, CurrentMessageBox);
end;


С MessageBoxA работает нормально
а с GetProcAddress(GetModuleHandle(kernel32), "TerminateProcess")
не работает
те пе проходит устовие if (Thunk^._function = OldProc) then

 
Сергей М. ©   (2006-03-07 16:27) [1]

Т.входа в какую конкретно ф-цию перехватываешь-то ?

 
Dmitrij_K   (2006-03-07 16:41) [2]

Пытаюсь перехватить TerminateProcess из kernel32.dll

 
Dmitrij_K   (2006-03-08 15:25) [3]

Так и не нашел почему не работает.
Но зато нашел модулек madCodeHook www.madshi.net.

 
Сергей М. ©   (2006-03-09 08:27) [4]


> с GetProcAddress(GetModuleHandle(kernel32), "TerminateProcess")
> не работает


Все правильно. И не будет работать. Потому что ты модифицируешь IAT, а GetProcAddress() с IAT не работает - эта ф-ция получает интересующую т.входа из EAT


Страницы: 1 вся ветка

Текущий архив: 2006.05.28;
Скачать: CL | DM;

Наверх




Память: 0.48 MB
Время: 0.027 c
15-1146556510
Untermensch
2006-05-02 11:55
2006.05.28
Подскажите, какую нить библиотечку попроще, для MsSQL2005

15-1146103050
3DNow!
2006-04-27 05:57
2006.05.28
Что можно почитать про 3DNow! ?

3-1144128557
WellSlava
2006-04-04 09:29
2006.05.28
Oracle+DOA

1-1145334556
Layner
2006-04-18 08:29
2006.05.28
TChart > Axis > Scales > Automatic, но как показать график чуть

2-1147256877
Alex_C
2006-05-10 14:27
2006.05.28
Как заставить появиться Hint?