IATがフックされているがフック機能が呼び出されていない

Question

IATのフックを実行するコードをWindowsに作成しています。 IAT（Kernel32！GetCurrentProcessId）のターゲット関数のアドレスを変更することができますが、後でプログラムでKook32という名前の関数が呼び出されたときに！GetCurrentProcessIdがフックの代わりに呼び出されます。 ！私はカーネルGetCurrentProcessIdの元のIATのアドレスを見ることができる午前プロセスをデバッグするには

：

GetCurrentProcessIdアドレス：7C8099C0

私は交換したい機能は次のとおりです。

MyGetCurrentProcessIdアドレス： 100118BB

私はthunkIAT-> u1.Functionのアドレスをフックして7C8099C0から100118BBに変更しますが、progra内からGetCurrentProcessId（）が呼び出されたときに前述したようにm Kernel32関数が呼び出されます（私が注入したものではありません）。

フックをキャリーアウトするコードの一部は次のとおりです。

if(strcmp(apiName,(char*)(*nameData).Name)==0) 
{ 
DBG_PRINT2("[processImportDescriptor]: found match for %s\n", apiName); 

VirtualProtect(
    &thunkIAT->u1.Function, // start addres of the zone to "unlock" 
    0x010, // size to protect 
    PAGE_EXECUTE_READWRITE, // new permission 
    &dwOldProtect   // old permission 
); 

procPtr = MyGetCurrentProcessId; 
thunkIAT->u1.Function = (DWORD)procPtr; 

DBG_PRINT2("MyGetCurrentProcessId() address: %08X\n", MyGetCurrentProcessId); 
DBG_PRINT2("procPtr address: %08X\n", procPtr); 
DBG_PRINT2("thunkIAT->u1.Function address: %08X\n", thunkIAT->u1.Function); 

VirtualProtect(
    &thunkIAT->u1.Function, // start addres of the zone to "relock" 
    0x0010,   // size to protect 
    dwOldProtect,  // new permission 
    &dwOldProtect2  // old permission 
); 

} 

任意の考え？ありがとうございました。私は単純にその報告をするために書かれた私のHelloworldプログラム内GetCurrentProcessId()に（これはクラッシュの結果として注入DLL IATS内のフックを挿入しませんでした）すべてIATS'関数呼び出しをフックすることができましたCreateToolhelp32Snapshot APIを利用して

Answer 1

数秒ごとにプロセスID。 DLLの注入に続いて、GetCurrentProcessId()Helloworldのフックは、期待どおりフックされた機能を呼び出すようになった。私の研究の間に私は、IATのフックは、現代のプログラムで防御に建てによる特定の場合には動作しないことが理由としていくつかの情報を発見しました：1の場合

http://www.codeproject.com/Articles/12516/Win32-API-hooking-Another-reason-why-it-might-not
http://www.codeproject.com/Articles/21414/Powerful-x86-x64-Mini-Hook-Engine