1

我使用EasyHook已经有一段时间了,并且在使用静态链接的 DLL 方面非常成功。现在,我尝试使用与静态链接 DLL 相同的方法从主机应用程序动态加载的 DLL 中挂钩一个函数。

在这种情况下,挂钩无法工作。尝试创建钩子时出现以下异常:

System.DllNotFoundException: The given library is not loaded into the current process.

异常表示库尚未加载是非常正确的,但是主机/挂钩进程将在启动后的几 ns/ms 内加载它(这完全没关系)。

我在 Internet 上搜索的教程和结果仅涉及挂钩静态链接的 DLL。我还没有找到有关动态加载的 DLL 的任何信息。想到的一种解决方案:挂钩LoadLibraryGetProcAddress等待正确的 winapi 调用以进行所需的替换。

有没有其他/更简单的方法可以从动态加载的 DLL 中挂钩函数?

有一个限制:不能将外部程序更改为以静态方式使用 DLL。

为了促进可能的解决方案,这里有一些片段显示了我想要挂钩的内容:

AddIntegers首先,这是我要替换的函数的 DLL (代码在 Delphi 中)

library Calculate;

function AddIntegers(_a, _b: integer): integer; stdcall;
begin
  Result := _a + _b;
end;

exports
   AddIntegers;

begin
end.

其次,这是使用上述DLL的程序使用导出的AddIntegers函数。

program HostConsole;
{$APPTYPE CONSOLE}

uses
  Winapi.Windows, System.SysUtils;

var
  n1, n2, sum: Int32;

  // Variables for DLL Loading
  h: HMODULE;
  AddIntegers: function(_a, _b: integer): integer; stdcall;

begin
  try
    // Load Library
    h := LoadLibrary('Calculate.dll');
    if h = 0 then
    begin;
      raise Exception.Create('Cannot load DLL');
    end;

    // Load function
    AddIntegers := GetProcAddress(h, 'AddIntegers');

    if not Assigned(AddIntegers) then
    begin
      raise Exception.Create('Cannot find function');
    end;

    Write('Enter first number: ');
    Readln(n1);

    Write('Enter second number: ');
    Readln(n2);

    // To the calculation
    sum := AddIntegers(n1, n2);

    Writeln('The sum is ', sum);
  except
    on E: Exception do
      Writeln(E.ClassName, ': ', E.Message);
  end;

  // Unload Library
  FreeLibrary(h);

  Readln;

end.
4

1 回答 1

2

我花了一些时间,但我终于弄明白了:只有当它存在时,你才能钩住它。只要一个模块没有被加载,你就没有办法钩住它。

模块是如何加载的?

从问题中的代码LoadLibrary()使模块可用。这意味着,为了获得模块可用的第一个时间点,您需要挂钩LoadLibrary()

挂钩LoadLibrary()

如果有人正在寻找调用函数的方法,这是一种可能的方法:

[UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode, SetLastError = true)]
delegate IntPtr LoadLibrary_Delegate(string lpFileName);


[DllImport("kernel32", CharSet = CharSet.Unicode, SetLastError = true)]
internal static extern IntPtr LoadLibrary(string lpFileName);

IntPtr LoadLibrary_Hook(string lpFileName)
{
    IntPtr result = LoadLibrary(lpFileName);

    if (lpFileName == "<FILENAME HERE>")
    {
        // Apply hook
    }
    return result;
}

现在您知道何时加载库,您可以挂钩它的函数。您现在还可以挂钩与检查库一起静态加载的任何函数。

提示:在我的实际用例中,它.dll在启动后立即加载,一旦应用程序终止就会被释放。如果库被多次加载和卸载,您应该检查内存泄漏。是的,EasyHook 可能不知道已卸载挂钩库。

于 2018-06-21T18:39:16.903 回答