求助,有个程序明明调用了CreateProcessA来创建进程,但HOOK后却无法拦截创建进程
向目标程序注入DLL,HOOK了 CreateProcessW函数,无法拦截创建进程;
后来又找了别人写的工具,HOOK的CreateProcessInternalW函数,运行后也无法拦截创建进程。
可以肯定的是这个程序调用了CreateProcessA来创建进程,是因为我用用SetWindowsHookEx,挂钩WH_GETMESSAGE(全局),拦截到了目标程序调用CreateProcessA创建的进程。
为什么会这样?如果对哪个函数进行HOOK呢?
[解决办法]
我猜你用的是iat hook
CreateProcessA->CreateProcessInternalA->CreateProcessInternalW
CreateProcessW->CreateProcessInternalW
如果想通过hook最终依赖的函数,需要用inline hook
