以前用过APIHOOK,但用的是madshi的库,具体原理还不是太清楚。
有几个问题:
1、用修改函数开头代码的方法,一般是修改开头5个字节,但也有修改8个字节的。有什么差别呢?
2、还是修改函数开头代码的方法,XP下和2K下是不是修改的字节数不相同?
有几个问题:
1、用修改函数开头代码的方法,一般是修改开头5个字节,但也有修改8个字节的。有什么差别呢?
2、还是修改函数开头代码的方法,XP下和2K下是不是修改的字节数不相同?
2k和xp一般API函数地址进去开头都是一个 jmp 指令,这样做是为了方便做 hotfix,不过也就更容易被api hook,一般情况下只要修改 jmp 地址就可以了
也有修改IAT导入地址表来做的,当然作用更有限
其实 detour 和 windows debug api 都是开源的了