检测是否已从注入的 dll 调用函数
Detect if a function has been called from an injected dll
目前,我正在努力找出我的可执行文件中的函数(Foo())是否已从注入的dll调用。
我的第一个想法是调用GetModule(NULL)
然后用GetModule("InjectedDllName")
给出的地址检查结果,所有这些都是在 Foo() 中完成的。
显然GetModule(NULL)
将返回可执行文件的地址,而不是当前调用模块的地址。我的问题还有其他解决方案吗?
我的另一个想法是在调用 foo() 时找到线程开始地址,并检查它是否在注入的 dll 地址空间内,如果可能的话,不知道。
您可以使用 EnumProcessModulesEx 获取加载的 DLL 的句柄,然后使用 GetModuleFileNameEx 来识别文件名,或检查是否有任何重复的导出函数名称,这可能暗示了劫持/包装器。
但是,这可能不会阻止用户重命名 DLL 并将其包装或其他高级调试工具操作的情况。处理每个案例可能会变得非常混乱,而且技术性太强,无法用几行来解释。
相关文章:
- 如何安全地从 DLL 调用返回对象
- C++结构到德尔福记录dll调用
- 从 C#-DLL 调用函数的 C++ 失败
- 可视C++:XGBoost 从 DLL 调用时不起作用
- Unity3D的OpenCV dll调用导致FPS下降
- 创建一个C++DLL以从C#DLL调用方法
- 从 dll 调用 opencv 垫到 Windows 表单,图像出现故障
- 努力使用 C# 从本机 DLL 调用该方法
- WinAPI - GetLastError 在通过 COM ATL DLL 调用时始终返回 0
- 必须使用C DLL调用C#.NET方法
- 如何直接从 pdfium.dll 调用 v8 函数
- 为什么从 DLL 调用类方法需要虚拟说明符?
- VBA 中的多个 DLL 调用
- 挂钩VirtualAlloc在系统DLL调用时返回NULLPTR
- 无法从 C DLL 调用该函数
- DLL 调用涉及 strncpy() 的方法
- JNA从DLL调用C++对象-java.lang.IollegalArgumentException:Structure
- 德尔福动态DLL调用中的奇怪行为
- 从非托管 DLL 调用 UWP api
- boost::从 DLL 调用时日志格式不起作用