IAT/EAT 挂钩“gethostbyname”

Question

我编写了这段代码，通过更改 IAT 和 EAT 中的地址来挂钩 API 函数： http://pastebin.com/7d9N1J2c

当我想挂接“recv”或“connect”时，这工作得很好。然而，由于某种未知的原因，当尝试挂钩“gethostbyname”时，我的挂钩函数从未被调用。

我试图通过获取 wsock32.dll 模块的基址 + 0x375e 在调试器中找到“gethostbyname”，这就是我的 wsock32.dll 的序数 52 显示为偏移量的内容。但这只会让我最终陷入一些随机的 asm 代码，而不是函数的开头。 然而，相同的方法对于尝试找到“recv”入口点来说效果很好。

有人看到我可能做错了什么吗？

Answer 1

我推荐这个工具：
http://www.moduleanalyzer.com/

它们的作用完全相同，并显示与之连接的 url API。
问题是有多个 API 可以将 url 转换为地址。您正在挂钩的应用程序可能正在使用您未拦截的另一个版本的 API。

Answer 2

运行一些像 IDA 这样的反汇编程序，并在挂接此函数后附加到您的进程，ida 在附加和播放进程上应用更改并检查有什么问题。

换句话说，您有许多库可以与蹦床挂钩，例如 Microsoft Detours、NCodeHook 等。