Supponiamo di avere un eseguibile che aggancia l'API CreateFileW
che si trova in Kernel32.dll
, che è condivisa a livello globale attraverso il sistema per tutti gli altri processi. Dall'aggancio intendo che ho sovrascritto il prologo di CreateFileW
jmp Hook_CreateFileW
nop
// ...rest of original CreateFileW code...
Il mio dubbio ::
Da quanto so, Kernel32.dll
verrà caricato in un indirizzo che è globale in tutto il sistema e le sue pagine sono condivise tra i processi. Quindi, il hooking CreateFileW
nel mio exe, significa che è agganciato anche per tutti gli altri processi? Qualsiasi altro processo, che chiamerebbe CreateFileW
proverà a saltare Hook_CreateFileW
?