所以我有一个钩子函数winspool.drv!WritePrinter,它被远程注入到 spoolsv.exe 的非托管 C++ 成功钩子。
目前,钩子似乎要么替换原始函数,要么以无法检测的方式破坏堆栈:钩子后,WritePrinter 调用导致钩子外没有打印机活动。
我发现至少有一种方法可以调用原始函数,即所谓的LhGetOldProc. 但是,使用它会导致崩溃,不确定这是与 easyhook 相关的错误还是只是错误的转换。
那么,如何在 Easyhook 非托管版本中正确调用原始函数?
挂钩回调LhGetOldProc:
UCHAR *uc = NULL;
LhGetOldProc(hhW, &uc);
typedef BOOL (*wp)(_In_ HANDLE, _In_ LPVOID, _In_ DWORD cbBuf, _Out_ LPDWORD);
wp my_wp = reinterpret_cast<wp>(reinterpret_cast<long>(uc)); // http://stackoverflow.com/questions/1096341/function-pointers-casting-in-c
BOOL res ;
if (my_wp == 0x0) {
return -1;
} else {
res = my_wp(hPrinter, pBuf, cbBuf, pcWritten); // crash
}
挂钩代码:
HMODULE hSpoolsv = LoadLibraryA("winspool.drv");
TRACED_HOOK_HANDLE hHook = new HOOK_TRACE_INFO();
NTSTATUS NtStatus;
UNICODE_STRING* NameBuffer = NULL;
HANDLE hRemoteThread;
FORCE(LhInstallHook(GetProcAddress(hSpoolsv, "WritePrinter"), WritePrinterHookA, 0x0, hHook));
ULONG ACLEntries[1] = { (ULONG) - 1 };
FORCE(LhSetExclusiveACL(ACLEntries, 1, hHook));
hhW = hHook;
TIL:在 2013 年,CodePlex(EasyHook 讨论列表所在的位置)在使用 Microsoft 帐户注册时不接受电子邮件的三级域。不会使用 Firebug 绕过表单。