-
-
[求助](Inline Hook) 少部分API导致进程未加载完成,就直接退出的问题
-
发表于:
2012-11-29 11:20
5843
-
[求助](Inline Hook) 少部分API导致进程未加载完成,就直接退出的问题
小弟目前在学习Ring3的Inline Hook。
目前Hook了130个API左右,以挂起启动的方式启动待注入的EXE,远程注入后ResumeThread,记录数据并用共享内存的方式与主进程进行通信。
大部分的API,被挂起启动的EXE都能正常运行。 但是有部分API导致待注入EXE未加载完成直接退出(退出时EXE没任何提示,且已经产生一两百条数据并与主进程成功通信)
导致此问题的API如下:
FindResourceExA/W、LoadResource、SizeofResource、GetSystemDirectoryA/W、ReadFile、ReadFileEx
Hook的这些API,有些是导致所有EXE都会出现这个问题,有些是导致部分EXE出现此问题。
CreateFileW有极小的可能性会出现此问题。
另外,如果Hook了VirtualProtectEx这个API,会直接导致EXE加载中断,无法显示界面,但不会退出。
如果是进程运行后(不是挂起启动)再进行Hook的话,就没有上述问题。 也就是,这些API影响了进程的加载。
那么,是否有一种解决方案,可以让EXE启动后停在EP处(就像OD一样,此时进程已加载完成,但没做任何操作),然后再注入,这个问题似乎也就解决了。
小弟不知描述清楚了没有,求高人解答,有遇到此类问题的朋友也可讨论讨论。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课