DLLの動作を変更するためにHKLMレジストリブランチで値を検索するベンダーDLLがあります。これは、APIに渡される単純なブールフラグのひどい代替手段です。実行時に設定される変数の「ローカル」バージョンからDLLを読み取る方法はありますか?
質問する
412 次
1 に答える
1
サードパーティのdllのインポートテーブルパッチを介してレジストリAPIをフックできます。パッチをRegCreateKey(Ex)/RegOpenKey(ex)適用する必要がありRegGetValueます。最初のパスが呼び出されるたびに、パスが探しているパスであるかどうかを確認する必要があります。その場合-結果のHKEYを保存し、次のRegGetValue呼び出しをチェックして、tatHKEYが渡されるかどうかを確認します。そうであり、値の名前が探しているものと一致する場合は、結果を必要なものに置き換えるだけです。
http://www.codeproject.com/Articles/2082/API-hooking-revealed http://www.codeproject.com/Articles/6265/Process-wide-API-spying-an-ultimate-hack
于 2012-04-16T17:50:45.933 に答える