Конфликт вызванный перехватом API-функции по методу code injection

@KellyLynch · Регистрация: 15.01.2010

Студворк — интернет-сервис помощи студентам

У меня есть приложение написанное на MS Visual C++ 6. У одного из клиентов (японская WinXP) оно падает сразу после запуска. Изучение crash dump-а показало вот что:

Моё приложение в начале работы (InitInstance) выполняет перехват нескольких функций user32.dll: GetSysColor, GetSysColorBrush, DrawFrameControl. Это нужно было чтобы реализовать некий собственный механизм skinning-а. Перехват делается методом известным как code injection, он же 'изменение начальных 5 байт самой функции' (http://habrahabr.ru/blogs/cpp/90377/): в начало функции в коде загруженной user32.dll записывается байт 0xe9 (команда jump near), а затем - относительный адрес моей функции-перехватчика. Перед этой операцией я, как и рекомендуется, делаю suspend всем потокам моего приложения - чтобы никто не влез пока я модифицирую user32.dll.

Всё это прекрасно работало у многих клиентов. Но вот у одного из них программа падает вскоре после того как выполняется этот перехват в InitInstance - дальше у меня вызывается LoadString, и там я получаю Access Violation. Стек вызова:
user32.dll!__LockResource@8()
user32.dll!_LoadStringOrError@20()
user32.dll!_LoadStringW@16()
mfc42u.dll!AfxLoadString()
mfc42u.dll!CString::LoadStringW()
<мой код который вызвал CString::LoadStringW>

Оказалось что у клиента установлен некий продукт называемый Humming Heads Security Platform (http://www.hummingheads.co.jp/). Судя по описанию это некий security monitor который контролирует многие аспекты работы каждого запускаемого приложения. Из crash dump-а я вижу что ряд DLL-ей этого Humming Heads Security Platform внедрён в мой процесс. Моя версия: он ТОЖЕ делает перехват API-функций, и это как-то привело к конфликту с моими операциями. Если я отключаю этот перехват в своеё программе, она не валится. Какие есть мысли: что именно поризошло? что можно сделать? Может ли мне помочь, если я сделаю перехват этих user32.dll-функций по методу 'Модификация таблиц импорта/экспорта' (http://rsdn.ru/article/qna/bas... pi.xml#EIC)

@XuTPbIu_MuHTAu · 19.08.2010, 18:12

KellyLynch, По самой проблеме мне сложно что-то конкретное сказать. Я бы в Ольгу загнал это все и смотрел,где именно валится и с чем,а потом думал бы

Могу порекоммендовать использовать detours api. Возможно, механизм перехвата там проработан лучше и учитывает что-то,что Вы не учли. Да,логически несколько перехватов одной функции должны бы работать корректно.

Новые блоги и статьи Все статьи Все блоги /
моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .
Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь(не выше 3-го порядка) постоянного тока с элементами R, L, C, k(ключ), U, E, J. Программа находит переходные токи и напряжения на элементах схемы классическим методом(1 и 2 з-ны. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .

@KellyLynch 1 / 1 / 0 Регистрация: 15.01.2010 Сообщений: 109

	Конфликт вызванный перехватом API-функции по методу code injection 19.08.2010, 13:25. Показов 1727. Ответов 1 Метки нет (Все метки) У меня есть приложение написанное на MS Visual C++ 6. У одного из клиентов (японская WinXP) оно падает сразу после запуска. Изучение crash dump-а показало вот что: Моё приложение в начале работы (InitInstance) выполняет перехват нескольких функций user32.dll: GetSysColor, GetSysColorBrush, DrawFrameControl. Это нужно было чтобы реализовать некий собственный механизм skinning-а. Перехват делается методом известным как code injection, он же 'изменение начальных 5 байт самой функции' (http://habrahabr.ru/blogs/cpp/90377/): в начало функции в коде загруженной user32.dll записывается байт 0xe9 (команда jump near), а затем - относительный адрес моей функции-перехватчика. Перед этой операцией я, как и рекомендуется, делаю suspend всем потокам моего приложения - чтобы никто не влез пока я модифицирую user32.dll. Всё это прекрасно работало у многих клиентов. Но вот у одного из них программа падает вскоре после того как выполняется этот перехват в InitInstance - дальше у меня вызывается LoadString, и там я получаю Access Violation. Стек вызова: user32.dll!__LockResource@8() user32.dll!_LoadStringOrError@20() user32.dll!_LoadStringW@16() mfc42u.dll!AfxLoadString() mfc42u.dll!CString::LoadStringW() <мой код который вызвал CString::LoadStringW> Оказалось что у клиента установлен некий продукт называемый Humming Heads Security Platform (http://www.hummingheads.co.jp/). Судя по описанию это некий security monitor который контролирует многие аспекты работы каждого запускаемого приложения. Из crash dump-а я вижу что ряд DLL-ей этого Humming Heads Security Platform внедрён в мой процесс. Моя версия: он ТОЖЕ делает перехват API-функций, и это как-то привело к конфликту с моими операциями. Если я отключаю этот перехват в своеё программе, она не валится. Какие есть мысли: что именно поризошло? что можно сделать? Может ли мне помочь, если я сделаю перехват этих user32.dll-функций по методу 'Модификация таблиц импорта/экспорта' (http://rsdn.ru/article/qna/bas... pi.xml#EIC) 0

@XuTPbIu_MuHTAu 2256 / 771 / 25 Регистрация: 27.05.2008 Сообщений: 1,496
	19.08.2010, 18:12
	KellyLynch, По самой проблеме мне сложно что-то конкретное сказать. Я бы в Ольгу загнал это все и смотрел,где именно валится и с чем,а потом думал бы Могу порекоммендовать использовать detours api. Возможно, механизм перехвата там проработан лучше и учитывает что-то,что Вы не учли. Да,логически несколько перехватов одной функции должны бы работать корректно. 0