Добрый день


Встала проблема гарантированного или почти гарантированного перехвата какйлибо API функции.Для примера взял вышеназванную ( так как перехват MessageBox просто лепет какойто) функцию и пытаюсь подхватить её в IEXPLORE.exe.


ТАк вот. Напрямую эта функция не входит в импорты IEXPLORE.exe.
Но один из модулей загружает ее. Проблема в том как мне обойти все модули когда они уже загружены и подправить таблицу импортов у каждого модуля? Неужели единственным способ являеться постановка хука на LoadLibrary? И можно (нужно) ли при этоп ставить хук на GetProcAddress?

На текущий момент едиственный гарантированный работающий способ это переписывать начало процедуры джампом в свой обработчик но у этого метода существенные недостатки.!.Он не универсален.2.Он не позволяет следить за моментом выхода из пропатченной функции.

Буду очень рад обсудить идеи особенно от авторов столь замечательных статей по АПИ хукингу которие я нашёл на этом сайте.


Просьба не переносить эту тему в соекеты и т.п. так как она больше относиться к этому форуму чем к сокетам.