GetModuleHandle函数的作用是获取一个应用程序或动态链接库的模块句柄
其函数原型为
HMODULEGetModuleHandle (LPCWSTR lpModuleName);
为此,在第一次进行函数调用是,我用如下方式传入了函数的形参
HINSTANCE g_hInst2;
g_hInst2= GetModuleHandle((LPCWSTR)"dll2.dll");
结果,返回的g_hInst2总是为NULL,表示函数调用失败,经过各个方面的检测均发现不了问题,当前动态链接库的名称也确实为dll2.dll
在网上查找该函数用法的时候发现了另一种调用方式,如下
TCHARdllname[32] = L"dll2.dll";
g_hInst= GetModuleHandle(dllname);
此时惊喜的发现返回的g_hInst不再为NULL,函数成功获得了当前动态链接库的句柄模块
但是,为什么这两种不同的调用导致了不同的结果呢,明明传入的字符串都是相同的,无解,所以决定进行反汇编的调试跟踪,首先跟踪第一种函数
进入反汇编,查看第一次函数调用时候的反汇编代码
由于这个字符串是setHook函数内声明的局部变量,所以通过ebp向下偏移一段距离来访问,跟踪参数的内存首地址eax,跳转到内存窗体,其内容为,其中64表示d,6c表示l,可知每个字符都用了两个字节来表示,其为宽字节。
同理,跟踪第二种调用方式,可知其形参指向的字符串在内存中的存储方式如下,每个字符都只占用了一个字节,这导致了两种调用的不同结果。
可见,在第二种调用方式中,我们使用了强制的转换方式,而字符串常量存储在常量段中,其内容是可读不可写的,强制转换的本质是对访问方式的转换,并不会对其在内存上的表现方式有所改变,,这就导致了第二种访问方式的存储是每个字符占用一个字节,而访问方式则是每个字符两个字节,访问得到的结果必然就不是我们希望的”dll2.dll”字符串,问题得解。
1802
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
