[求助]inline hook，当全局hook挂钩以后，资源管理器偶尔崩溃-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
fbzok 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	fbzok 2 楼是用Delphi搞的HOOK吗？好像C++的资料要多点吧？应该都是相通的，你可以看看C++方面的做法是怎么样的。做个标记等高手来了好好学习了。。。 2009-7-7 23:05 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 3 楼嗯，我不知道是不是 inline hook的先天不足还是我的程序本身有bug 我hook的是系统调用非常频繁的，如user32.dll中的GetWindowText 2009-7-7 23:13 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 4 楼把主要代码贴出来就知道了 2009-7-8 11:25 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 5 楼 inline的确不好控制。。。。容易出问题 2009-7-8 13:59 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 6 楼召唤达人。。。。 2009-7-8 15:40 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼没看到的inline Hook时的动作，只看到Hook以后的动作，HookCode里面的代码才是重点。但是根据你提供的代码推测，应该是存在问题。你inline Hook以后，没有还原inline Hook掉的几个字节，就直接调OldGetCursorPos，这样最终结果还是调了HookGetCursorPos，也就是递归调用，最终堆栈溢出。当然如果你是根据API函数前几个字节的mov edi, edi来修改，那就另当别论了。至于是不是我推测的原因，你可以自己写一个程序，第一句MessageBox以便钩子注入，第二句GetCursorPos，不出意外程序就挂了。 2009-7-8 17:16 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 8 楼感谢楼上的兄弟，我是抄袭的人家的这个代码，有链接的这个是不需要恢复原有api，不需要inline hook了才恢复api。。。。网上有人说这是多线程版本的APIHOOK，呵呵共同学习下这个代码，挺不错的东西 http://bbs.pediy.com/showthread.php?t=63986 2009-7-8 17:33 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 9 楼如果你的这个apihook会自动拷贝头部的代码，那么或许就不是我想的原因了。不过既然你要调试，那么只要有找出问题的可能性，都可以试试。你可以先写一个MessageBox+GetCursorPos的程序试试会不会挂掉。如果其他程序都没有问题，那么在DllMain里面GetModuleHandle判断一下是否是Explorer.exe，如果是的话，再做apihook，并在你的HookProc第一句写一个DebugBreak或者内联汇编int 3，这样程序会运行出错，然后用的项目去附加调试，继续跟踪下面的代码。能调试总会找出问题所在的，祝你好运！ 2009-7-9 10:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
fbzok 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	fbzok 2 楼是用Delphi搞的HOOK吗？好像C++的资料要多点吧？应该都是相通的，你可以看看C++方面的做法是怎么样的。做个标记等高手来了好好学习了。。。 2009-7-7 23:05 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 3 楼嗯，我不知道是不是 inline hook的先天不足还是我的程序本身有bug 我hook的是系统调用非常频繁的，如user32.dll中的GetWindowText 2009-7-7 23:13 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 4 楼把主要代码贴出来就知道了 2009-7-8 11:25 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 5 楼 inline的确不好控制。。。。容易出问题 2009-7-8 13:59 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 6 楼召唤达人。。。。 2009-7-8 15:40 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼没看到的inline Hook时的动作，只看到Hook以后的动作，HookCode里面的代码才是重点。但是根据你提供的代码推测，应该是存在问题。你inline Hook以后，没有还原inline Hook掉的几个字节，就直接调OldGetCursorPos，这样最终结果还是调了HookGetCursorPos，也就是递归调用，最终堆栈溢出。当然如果你是根据API函数前几个字节的mov edi, edi来修改，那就另当别论了。至于是不是我推测的原因，你可以自己写一个程序，第一句MessageBox以便钩子注入，第二句GetCursorPos，不出意外程序就挂了。 2009-7-8 17:16 0
radarhp 雪币： 220 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 96 粉丝 1 关注私信	radarhp 8 楼感谢楼上的兄弟，我是抄袭的人家的这个代码，有链接的这个是不需要恢复原有api，不需要inline hook了才恢复api。。。。网上有人说这是多线程版本的APIHOOK，呵呵共同学习下这个代码，挺不错的东西 http://bbs.pediy.com/showthread.php?t=63986 2009-7-8 17:33 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 9 楼如果你的这个apihook会自动拷贝头部的代码，那么或许就不是我想的原因了。不过既然你要调试，那么只要有找出问题的可能性，都可以试试。你可以先写一个MessageBox+GetCursorPos的程序试试会不会挂掉。如果其他程序都没有问题，那么在DllMain里面GetModuleHandle判断一下是否是Explorer.exe，如果是的话，再做apihook，并在你的HookProc第一句写一个DebugBreak或者内联汇编int 3，这样程序会运行出错，然后用的项目去附加调试，继续跟踪下面的代码。能调试总会找出问题所在的，祝你好运！ 2009-7-9 10:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复