如何安全地解除Win32 API阻塞

我怀疑除了简单地保持DLL加载之外，是否存在一般且安全的解决方案。或者从一开始就避免那些诱惑……(直接跳到答案的最后，看主要剧透!)

---

这个论点与我在对这个问题的评论中所写的内容一致。

要释放DLL，你必须确保当前没有人在DLL中执行代码，并且没有人将要执行DLL中的代码(除了我们正在讨论的拆除线程)。

代码在DLL中执行可能有两个原因，要么我们要调用它，要么我们要返回到它(或者返回到将要返回到DLL的代码，等等)。假设我们解出第一个问题。我们还剩下第二个原因。也许我们已经在钩子里面了。

你可以考虑这样做:

1. 分配一个"代码洞"，做一些类似

   的事情

   PreHookWriteFile:
   LOCK INC [ref_count]
   POP R15
   CALL HookWriteFile
   PostHookWriteFile:
   LOCK DEC [ref_count]
   JMP R15
   

2. 钩子WriteFile与JMP [PreHookWriteFile]

3. 在一个专用线程中执行释放，该线程解挂WriteFile并等待重新计数变为零。然后释放代码洞。

但是有两个问题。首先，我们实际上没有一个地方来存储原始的返回地址。我们不能把它放在堆栈上，因为HookWriteFile不希望看到它在那里，我们不能把它存储在任何非易失性寄存器中，因为我们需要在跳回之前在PostHookWriteFile中恢复它，但问题是我们没有地方存储东西。

第二，释放线程可能会在跳转发生之前注意到减少，并过早地释放代码洞。

我不认为它重要的是我们试图是多么聪明(无论是与__declspec(naked)函数或修改原型)有钩子函数期望在堆栈上的原始返回地址。第二个问题仍然存在——在返回之前减少了引用计数。在你返回之前删除代码是不安全的，但你不能通知你的返回，因为你返回后你就不再控制了。这正是创建FreeLibraryAndExitThread的原因。

有人可能会想到一些疯狂的事情，比如挂起DLL中的所有线程并遍历它们的堆栈以确保DLL中的代码没有出现在任何线程中，但这只是打开了另一个蠕虫罐头。

---

但也有好消息。

如果你真正想要的是监控命名管道通信，并且你愿意将自己限制在Windows 8和更新的版本中，那么有一个更强大的解决方案，有文档和支持，需要更少的代码行，并且不具有侵入性。Koby Kahane写了一个文件系统迷你过滤器，它就是这样做的。

它的输出是ETW事件，您可以在Microsoft Message Analyzer或其他使用来自基于清单的提供者的ETW事件的工具中查看这些事件。如果你真的需要在Wireshark中看到它，你可以编写一个小的ETW消费者，它消耗事件并通过管道将它们发送回Wireshark。它仍然比所有这些钩子更容易，而且肯定更安全，更少混乱。