3

我正在开发一个资源泄漏检测工具来监控我的应用程序中句柄的生命周期。对于句柄,我的意思是窗口句柄、画笔句柄、图标句柄、事件句柄等。

我通过挂钩 api 函数来做到这一点。例如,为了监视文件句柄,我通过在导入表中查找它们的地址来挂钩 CreateFileW 和 CloseHandle 函数,并将它们替换为我自己函数的地址。我自己的 CreateFileW 函数调用原始函数并将句柄存储在列表中。我自己的 CloseHandle 函数调用原始函数并从列表中删除句柄。

通过这种方式,我可以检测到泄漏或被破坏两次的句柄。

我还想挂钩 SHGetStockIconInfo 函数,因为它可以返回一个图标的句柄,该句柄必须由 DestroyIcon 函数销毁。问题是,由于某种原因,SHGetStockIconInfo 函数没有出现在导入表中。请注意,我在内存导入表中进行搜索。该函数由 shell32.dll 导出。我能找到的仅有的两个 sheel32 函数是 SHGetFileInfoW 和 Shell_NotifyIconW。

请注意,此函数实际上是在可执行文件中使用的。调用该函数就可以了。该函数由 WinAPI.ShellAPI Delphi 单元(作为外部)导入。

现在是我的问题。我的可执行文件的内存导入表中怎么可能不存在 SHGetStockIconInfo?不应该在此表中列出所有导入的函数吗?

顺便说一句,我用的是Delphi XE2,但是C或C++的例子都没有问题!

我的目标平台是 Windows 7。

4

1 回答 1

3

这有几个可能的原因。

1.你没有调用函数

Delphi 只会包含您在导入表中实际引用的函数。因此,将对该函数的调用添加到您的代码中。您可以安排代码从不执行,但您需要确保智能链接器不会优化它。

可能最简单的方法是获取函数的地址。因此,您可以将此代码添加到initialization您的一个单元的部分:

procedure Noop(const Value);
begin
end;

initialization
  Noop(@SHGetStockIconInfo);

2.函数延迟加载,或者显式加载

在上面的部分中,我假设您正在使用SHGetStockIconInfo使用external关键字的声明。如果您使用调用链接它GetProcAddress,那么显然不会将它放在您的导入表中。

SHGetStockIconInfo查看XE2单元中的声明,ShellAPI我可以看到它是延迟加载的。这意味着即使您调用它,它也不会出现在您的导入表中。要将函数强制到导入表中,您需要在不使用延迟加载的情况下重新声明它:

function SHGetStockIconInfo(siid: SHSTOCKICONID; uFlags: UINT; 
  var psii: TSHStockIconInfo): HResult; stdcall; external shell32;

由于上述原因,您必须确保包含对该替代声明的调用。

当然,这样做意味着您的程序将无法在 XP 上启动,因为该功能不存在。请记住,如果您坚持将此功能强制到您的导入表中,那么它只能在实现该功能的 Windows 版本上运行。

如果我是你,我会考虑以不同的方式挂钩函数,使用不依赖于通过导入表导入的函数的挂钩方法。

于 2013-06-20T14:31:29.470 回答