windows钩子编程大全

二、APIHook的原理这里的API既包括传统的Win32APIs，也包括任何Module输出的函数调用。熟悉PE文件格式的朋友都知道，PE文件将对外部Module输出函数的调用信息保存在输入表中，即.idata段。下面首先介绍本段的结构。输入表首先以一个IMAGE_IMPORT_DESCRIPTOR(简称IID)数组开始。每个被PE文件隐式链接进来的DLL都有一个IID.在这个数组中的最后一个单元是NULL，可以由此计算出该数组的项数。例如，某个PE文件从两个DLL中引入函数，就存在两个IID结构来描述这些DLL文件，并在两个IID结构的最后由一个内容全为0的IID结构作为结束。几个结构定义如下：IMAGE_I