windows - Hook statisk forbundet 'malloc' funktionsfamilie

Indlæg af Hanne Mølgaard Plasc

Problem



Jeg bruger omkørsler til at koble malloc/fri for ethvert mål .exe uden adgang til kildekoden. [1]


Jeg har lykkedes at hakke malloc/free, som er dynamisk forbundet fra .exe.


Jeg undrer mig over, om Detours kan bruges til at koble statisk forbundet malloc/free.


Jeg forstår, at det kan være vanskeligere, da malloc/fri kode allerede er inde i .exe, og det er endda svært at finde dem. 'malloc' kan blive noget som '0x804f400'. Men jeg tror at der kan eksistere en anden teknik, der kan lokalisere malloc/fri funktion inde i .exe.


Har nogen prøvet det? Eller er det simpelthen ikke muligt?

Bedste reference


I Windows koger alle implementeringer af malloc og gratis i sidste ende til et opkald til HeapAlloc/HeapFree API i kernel32. Du bør overveje detouring det i stedet.