场景如下:
假设我有这个依赖于这个库“library.dll”的应用程序“App”。我想知道“App”在运行时调用的函数。假设我无权访问“App”或“library.dll”的源代码,但我知道存在的每个函数的名称和参数都是“library.dll”。有什么办法可以找出“App”正在调用“library.dll”中的哪些函数?
我在stackoverflow中看到了类似的问题: How to intercept dll method calls?
我的 Ates Goral 先生的回答让我很感兴趣,他提到编写一个 wrapperDLL 将函数调用转发到真正的 DLL。我希望有人可以为我提供一些关于如何实现这一点的见解,或者指出我可以在哪里获得有关此事的信息。
我最感兴趣的两部分是让我的应用程序加载我的 .dll 以及如何将函数实际转发到原始的“library.dll”
谢谢你
包装 DLL 完美运行 - 以下是它的工作原理:
让我们假设,library.dll导出int somefunct(int i, void* o)- 您现在创建自己的 DLL,类似于
#include <windows.h>
//Declare this for every function prototype
typedef int (*int_f_int_pvoid)(int,void*);
//Declare this for every function
int_f_int_pvoid lib_somefunct
//this snipplet goes into dllmain
...
HINSTANCE hlibdll = LoadLibrary("X:\PATH\TO\renamed_library.dll");
//For every function
lib_somefunct=(int_f_int_pvoid)GetProcAddress(hlibdll,"somefunct");
...
//Again for every function
int somefunct(int i, void* o)
{
//Log the function call and parameters
//...
//Call library.dll
int result=lib_somefunct(i, o);
//Log the result
//...
return result;
}
导出您的函数,library.dll在将原始文件重命名为后命名生成的 DLLrenamed_library.dll
现在目标 EXE 将加载 (your) library.dll,而后者又将加载(原始的,但已重命名)renamed_library.dll- 每当目标程序调用一个函数时,它都会运行您的登录代码。
警告:您的 traget EXE 可能是多线程的,因此请准备好拥有线程安全的日志记录机制。
我已成功使用此方法调试了一个奇怪的 MAPI 问题。