我有一个供应商 DLL,它在 HKLM 注册表分支中查找一个值以更改 DLL 的行为。对于传递给 API 的简单布尔标志,这是一个糟糕的替代方案。有没有办法让 DLL 从运行时设置的变量的“本地”版本中读取?
问问题
412 次
1 回答
1
您可以通过第三方 dll 的导入表修补来挂钩注册表 API。您将需要修补RegCreateKey(Ex)/RegOpenKey(ex)和RegGetValue,并且每次调用第一个时,您都需要查看路径是否是您正在寻找的路径。如果是这样 - 保存生成的 HKEY 并检查以下 RegGetValue 调用以查看是否将 tat HKEY 传递给它。如果是,并且值的名称与您要查找的名称匹配 - 只需将结果替换为您需要的任何内容。
http://www.codeproject.com/Articles/2082/API-hooking-revealed http://www.codeproject.com/Articles/6265/Process-wide-API-spying-an-ultimate-hack
于 2012-04-16T17:50:45.933 回答