Delphi 资源管理器在CreateProcess挂钩上崩溃
我在explorer.exe中注入了一个DLL来钩住CreateProcess,这样我可以在用户打开一些可执行文件时拦截(我选择这个钩子方法是因为我试图了解更多关于钩子的信息,我知道可以使用WMI或其他方法来完成)。 我用来钩住的库是: 钩子正在工作,我执行的每个应用程序都会弹出我在HookProc中设置的messagebox,但是在messagebox之后,explorer.exe崩溃。 注入DLL的代码工作正常,如果我只注入一个空DLL或一个只有messagebox的DLL,一切正常。所以我相信问题出在钩子的设置上。以下是DLL代码:Delphi 资源管理器在CreateProcess挂钩上崩溃,delphi,hook,Delphi,Hook,我在explorer.exe中注入了一个DLL来钩住CreateProcess,这样我可以在用户打开一些可执行文件时拦截(我选择这个钩子方法是因为我试图了解更多关于钩子的信息,我知道可以使用WMI或其他方法来完成)。 我用来钩住的库是: 钩子正在工作,我执行的每个应用程序都会弹出我在HookProc中设置的messagebox,但是在messagebox之后,explorer.exe崩溃。 注入DLL的代码工作正常,如果我只注入一个空DLL或一个只有messagebox的DLL,一切正常。所以
library DLL;
uses
Windows, DDetours;
{$R *.res}
var
CreateProcessHook: function(var lpApplicationName:String;
lpCommandLine:String;
lpProcessAttributes:IntPtr;
lpThreadAttributes:IntPtr;
bInheritHandles:Boolean;
dwCreationFlags:Int32;
lpEnvironment:IntPtr;
lpCurrentDirectory:IntPtr;
lpStartupInfo:STARTUPINFO;
lpProcessInformation:PROCESS_INFORMATION): Boolean; stdcall = nil;
function InterceptCreateProcess(lpApplicationName:String;
lpCommandLine:String;
lpProcessAttributes:IntPtr;
lpThreadAttributes:IntPtr;
bInheritHandles:Boolean;
dwCreationFlags:Int32;
lpEnvironment:IntPtr;
lpCurrentDirectory:IntPtr;
lpStartupInfo:STARTUPINFO;
lpProcessInformation:PROCESS_INFORMATION): Boolean; stdcall;
begin
MessageBoxA(0, 'Process created :)', 'Hooked', 0);
end;
procedure DLLMain(dwReason: DWORD);
begin
case dwReason of
DLL_PROCESS_ATTACH:
begin
MessageBoxA(0,'Injected', 'Injected', MB_OK);
@CreateProcessHook:= InterceptCreate(@CreateProcess, @InterceptCreateProcess);
end;
end;
end;
begin
DLLProc := @DLLMain;
DLLMain(DLL_PROCESS_ATTACH);
end.
所有内容都是64位的您的
CreateProcessWindowsfunction CreateProcessW(
lpApplicationName: PWideChar;
lpCommandLine: PWideChar;
lpProcessAttributes: PSecurityAttributes;
lpThreadAttributes: PSecurityAttributes;
bInheritHandles: BOOL;
dwCreationFlags: DWORD;
lpEnvironment: Pointer;
lpCurrentDirectory: PWideChar;
const lpStartupInfo: STARTUPINFO;
var lpProcessInformation: PROCESS_INFORMATION
): BOOL; stdcall;
钩子函数与
CreateProcess()library DLL;
uses
Windows, DDetours;
{$R *.res}
var
CreateProcessHook: function(lpApplicationName: PChar;
lpCommandLine: PChar;
lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
bInheritHandles: BOOL;
dwCreationFlags: DWORD;
lpEnvironment: Pointer;
lpCurrentDirectory: PChar;
const lpStartupInfo: STARTUPINFO;
var lpProcessInformation: PROCESS_INFORMATION): BOOL; stdcall = nil;
function InterceptCreateProcess(lpApplicationName: PChar;
lpCommandLine: PChar;
lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
bInheritHandles: BOOL;
dwCreationFlags: DWORD;
lpEnvironment: Pointer;
lpCurrentDirectory: PChar;
const lpStartupInfo: STARTUPINFO;
var lpProcessInformation: PROCESS_INFORMATION): BOOL; stdcall;
begin
Result := CreateProcessHook(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);
MessageBox(0, 'CreateProcess', 'Hooked', 0);
end;
procedure DLLMain(dwReason: DWORD);
begin
case dwReason of
DLL_PROCESS_ATTACH:
begin
@CreateProcessHook := InterceptCreate(@CreateProcess, @InterceptCreateProcess);
MessageBox(0, 'Injected', 'Injected', MB_OK);
end;
DLL_PROCESS_DETACH:
begin
InterceptRemove(@CreateProcessHook);
end;
end;
end;
begin
DLLProc := @DLLMain;
DLLMain(DLL_PROCESS_ATTACH);
end.
是的,我试过了。但仍然崩溃。等等,我再试一次,把签名贴在这里。不完全是。看我的答案,不。你只需要照我在回答中说的去做。使用与Windows单元中完全相同的定义。我回滚了您的编辑,因为它使我的答案无效。好的。没问题。我来检查一下Windows设备。谢谢大家的帮助。与另一个问题相关的评论属于那个问题,而不是这个问题。是的,这很有效。奇怪的是,当我尝试使用与msdn完全相同的签名时(正如我在主要问题中所说的),仍然失败。您使用的签名与msdn中的签名不同。现在,我将
Result:=CreateProcessHook(lpApplicationName…CreateProcess()结果:=CreateProcessHook(PAnsiChar(lpApplicationName)