EasyHook库系列使用教程之四钩子的启动与停止

此文的产生花费了大量时间对EasyHook进行深入了解同时参考了大量文档

先来简单比较一下EasyHook与Detour钩取后程序流程

Detours：钩取API函数后，产生两个地址，一个地址对应真Hook函数地址，一个对应真实API地址

EasyHook：钩取API函数后，所有API指向同一地址，通过ACL控制是否跳转到真实API地址

Detour：只要钩取之后，相关于一个API变成两个函数

EasyHook：钩取之后，相关于还是一个API，通过控制ACL来判断是否跳转到真实API

EasyHook使用中的一种特殊情况:

      需要实现这样一个功能，截获打开文件（CreateFile）和获取文件大小（GetFileSize）函数，且在打开文件时需要获取文件的大小，即在HookCreateFile中同时使用CreateFile和GetFileSize。此时问题来了。CreateFile此时调用的是真实的API,而GetFileSize将会调用HookGetFileSize。如果存在更多的函数，必将导致问题。

EasyHook的启动与停止

EasyHook两种ACL表，一种是包含方式（LhSetExclusiveACL），一种是排除方式（LhSetExclusiveACL），包含方式，对于加入到ACL中的线珵，全部Hook。排除方式，对于加入到ACL中的线程，全部取消Hook。

通过动态调整开关状态即可实现Hook的启动与停止