挂钩从 DLL 调用的 WinAPI 函数

Question

我有一个 DLL 文件 library.dll，其中包含一个函数 foo。函数 foo 调用 WinAPI 函数 goo。我编写了一个从 library.dll 调用 foo 的应用程序。问题是我想用我自己在应用程序中（而不是在 DLL 中）声明的函数 hoo 覆盖对 goo 函数的调用。

如何挂钩对 goo 函数的调用？我不是在寻找全局挂钩，我只是想覆盖我编写的应用程序所做的调用。

Answer 1

修补 library.dll 导入地址表中 goo 的导入描述符。 IAT 修补是一种众所周知的挂钩技术，用于拦截两个 PE 模块之间的函数调用。

Answer 2

微软研究院提供了一个名为 Detours 的库： http://research.microsoft.com/ en-us/projects/detours/。您可以使用它来重新路由 Windows 中的任何 API 调用。

它完全按照您所描述的方式进行操作，而不是调用 Win32 API，而是调用您的函数。在该函数中，您可以自由地执行您想要的操作，例如，您可以再次调用原始 Win32 函数，或者您可以立即返回失败代码或任何您喜欢的内容。

Detours 的 Express 版本是免费的，但仅限于 x86 架构上的非商业用途。