hook api 下对 startdoc等函数的处理疑问？

显示全部楼层 · 2021-1-27 05:51:10

在发这个帖子之前，我已经对hookapi有了一些研究，并且借鉴《windows高级编程》里面的代码，对打印机的api函数做了自定义处理。

DWORDHook_StartDocW(__inHDChdc,__inCONSTDOCINFOW*lpdi)
{
DWORDhRtn=0;
CStringmesg;
TCHARproName[MAX_PATH]=_T("");
TCHARfileName[MAX_PATH]=_T("");
HANDLEproHandle=GetCurrentProcess();
HMODULEproMoule;
DWORDcbNeeded;
EnumProcessModules(proHandle,&proMoule,sizeof(proMoule),&cbNeeded);
GetModuleFileName(proMoule,proName,MAX_PATH);
lstrcpy(fileName,lpdi->lpszDocName);
mesg+=_T("打印被禁止。\n进程:");
mesg+=proName;
mesg+=_T("\n文件名:");
mesg+=fileName;
chMB(CT2A(mesg));
returnStartDocW(hdc,lpdi);//这里本意是要调用原来的api函数继续完成打印操作。我这里想到是不是这样写其实还是调用
//的当前的处理函数？因为在当前进程中已经对startDoc函数做了函数地址的修改，让其地址
//指向了当前Hook_StartDocW处理函数的地址。那这里要调用系统startDoc函数的话，必须把模块表中的地址在修改
//回来吗？
}

上面是我的理解和疑问，请大家指正。
分 -->

千问 · 2021-1-27 05:51:10

参考WinAPIOverride32源代码相关片断。

千问 · 2021-1-27 05:51:10

BOOLHook_WritePrinter(__inHANDLEhPrinter,__inLPVOIDpBuf,__inDWORDcbBuf,__outLPDWORDpcWritten)
{
BOOLfalg;
CAPIHook::ReplaceIATEntryInAllMods(g_WritePrinter.m_pszCalleeModName,g_WritePrinter.m_pfnHook,g_WritePrinter.m_pfnOrig);
falg=WritePrinter(hPrinter,pBuf,cbBuf,pcWritten);
CAPIHook::ReplaceIATEntryInAllMods(g_WritePrinter.m_pszCalleeModName,g_WritePrinter.m_pfnOrig,g_WritePrinter.m_pfnHook);
returnfalg;
}

引用1楼zhao4zhong1的回复:参考WinAPIOverride32源代码相关片断。
你好，能帮我分析下上面的代码是否有问题吗？是在windows核心编程里面的代码的基础上改的，你肯定非常熟悉了对windows核心编程的这段代码。
处理writePrinter函数时，先替换成真实的系统api函数地址，然后调用writePrinter函数，用完后在替换成自己的api函数地址。
但在实际测试的过程中，没有正常打印，打印被阻止了。

千问 · 2021-1-27 05:51:10

虽然我没一次真正Hook过某个API，但我知道要想调通HookAPI这种程序，需要查看对应的汇编指令，需要关注调用约定、堆栈平衡、32位/64位、线程上下文、写日志调试、……
dll导出函数名的那些事
关键字：　VC++　DLL导出函数　
经常使用VC6的Dependency查看DLL导出函数的名字，会发现有DLL导出函数的名字有时大不相同，导致不同的原因大多是和编译DLL时候指定DLL导出函数的界定符有关系。
VC++支持两种语言：即C/C++，这也是造成DLL导出函数差异的根源
我们用VS2008新建个DLL工程，工程名为"TestDLL"
把默认的源文件后缀.CPP改为.C（C文件）
输入测试代码如下：
01int_stdcallMyFunction(intiVariant)
02{
03return0;
04}
为了导出上面这个函数，我们有以下几个方法：
1.使用传统的模块定义文件(.def)
新建一个后缀为.def的文本文件(这里建一个TestDll.Def)，文件内容为：
LIBRARYTestDll
EXPORTS
MyFunction
在Link时指定输入依赖文件：/DEF:"TestDll.Def"
2.VisualC++提供的方便方法
在01行的int前加入__declspec(dllexport)关键字
通过以上两种方法，我们就可以导出MyFunction函数。
我们用Dependency查看导出的函数：
第一种方法导出的函数为：
MyFunction
第二种方法导出的函数为：
_MyFunction@4
__stdcall会使导出函数名字前面加一个下划线，后面加一个@再加上参数的字节数，比如_MyFunction@4的参数（intiVariant）就是4个字节
__fastcall与__stdcall类似，不过前面没有下划线，而是一个@，比如@MyFunction@4
__cdecl则是始函数名。
小结：如果要导出C文件中的函数，并且不让编译器改动函数名，用def文件导出函数。
下面我们来看一下C++文件
我们用VS2008新建个DLL工程，工程名为"TestDLL"
默认的源文件后缀为.CPP（即C++文件）。
输入测试代码如下：
01int_stdcallMyFunction(intiVariant)
02{
03return0;
04}
为了导出上面这个函数，我们有以下几个方法：
3.使用传统的模块定义文件(.def)
新建一个后缀为.def的文本文件(这里建一个TestDll.Def)，文件内容为：
LIBRARYTestDll
EXPORTS
MyFunction
在Link时指定输入依赖文件：/DEF:"TestDll.Def"
4.VisualC++提供的方便方法
在01行的int前加入__declspec(dllexport)关键字
通过以上两种方法，我们就可以导出MyFunction函数。
我们用Dependency查看导出的函数：
第一种方法导出的函数为：
MyFunction
第二种方法导出的函数为：
?MyFunction@@YGHH@Z
可以看到第二种方法得到的导出函数名并不是我们想要的，如果在exe中用显示方法（LoadLibrary、GetProcAddress）调用MyFunction肯定会失败。
但是用引入库(*.LIB)的方式调用，则编译器自动处理转换函数名，所以总是没有问题。
解决这个问题的方法是：
用VC提供的预处理指示符"#pragma"来指定链接选项。
如下：
#pragmacomment(linker,"/EXPORT:MyFunction=?MyFunction@@YGHH@Z")
这时，就会发现导出的函数名字表中已经有了我们想要的MyFunction。但我们发现原来的那个?MyFunction@@YGHH@Z函数还在，这时就可以把__declspec()修饰去掉，只需要pragma指令即可。
而且还可以使如下形式：
#pragmacomment(linker,"/EXPORT:MyFunction=_MyFunction@4,PRIVATE")
PRIVATE的作用与其在def文件中的作用一样。更多的#pragram请查看MSDN。
小结：如果要导出C++文件中的函数，并且不让编译器改动函数名，用def文件导出函数。
同时可以用#pragma指令（C中也可以用）。
总结：
C++编译器在生成DLL时，会对导出的函数进行名字改编，并且不同的编译器使用的改编规则不一样，因此改编后的名字也是不同的（一般涉及到C++中的重载等）。
如果利用不同编译器分别生成DLL和访问DLL的exe程序，后者在访问该DLL的导出函数时就会出现问题。如上例中函数MyFunction在C++编译器改编后的名字是?MyFunction@@YGHH@Z。我们希望编译后的名字不发生改变，这里有几种方法。
第一种方法是通过一个称为模块定义文件DEF来解决。
LIBRARYTestDll
EXPORTS
MyFunction
LIBRARY用来指定动态链接库内部名称。该名称与生成的动态链接库名一定要匹配，这句代码不是必须的。
EXPORTS说明了DLL将要导出的函数，以及为这些导出函数指定的符号名。
第二种是定义导出函数时加上限定符：extern"C"
如：#defineDLLEXPORT_APIextern"C"_declspec(dllexport)
但extern"C"只解决了C和C++语方之间调用的问题(extern"C"是告诉编译器，让它按C的方式编译)，它只能用于导出全局函数这种情况而不能导出一个类的成员函数。
同时如果导出函数的调用约定发生改变，即使使用extern"C"，编译后的函数名还是会发生改变。例如上面我们加入_stdcall关键字说明调用约定（标准调用约定，也就是WINAPI调用约定）。
#defineDLLEXPORT_APIextern"C"_declspec(dllexport)
01DLLEXPORT_APIint_stdcallMyFunction(intiVariant)
02{
03return0;
04}
编译后函数名MyFunction改编成了_MyFunction@4
通过第一种方法模块定义文件的方式DLL编译后导出函数名不会发生改变。
DLL(动态库)导出函数名乱码含义
C++编译时函数名修饰约定规则：
__stdcall调用约定：
1、以"?"标识函数名的开始，后跟函数名；
2、函数名后面以"@@YG"标识参数表的开始，后跟参数表；
3、参数表以代号表示：
X--void
D--char
E--unsignedchar
F--short
H--int
I--unsignedint
J--long
K--unsignedlong
M--float
N--double
_N--bool
....
PA--表示指针，后面的代号表明指针类型，如果相同类型的指针连续出现，以"0"代替，一个"0"代表一次重复；
4、参数表的第一项为该函数的返回值类型，其后依次为参数的数据类型,指针标识在其所指数据类型前；
5、参数表后以"@Z"标识整个名字的结束，如果该函数无参数，则以"Z"标识结束。
其格式为"?functionname@@YG*****@Z"或"?functionname@@YG*XZ"，例如
intTest1(char*var1,unsignedlong)-----"?Test1@@YGHPADK@Z"voidTest2()-----"?Test2@@YGXXZ"
__cdecl调用约定：
规则同上面的_stdcall调用约定，只是参数表的开始标识由上面的"@@YG"变为"@@YA"。
__fastcall调用约定：
规则同上面的_stdcall调用约定，只是参数表的开始标识由上面的"@@YG"变为"@@YI"。
如果要用DEF文件输出一个"C++"类，则把要输出的数据和成员的修饰名都写入.def模块定义文件
所以...通过def文件来导出C++类是很麻烦的,并且这个修饰名是不可避免的

调用约定https://msdn.microsoft.com/zh-cn/magazine/9b372w95.aspx

千问 · 2021-1-27 05:51:10

该图摘自WinAPIOverride联机帮助：