delphi - 在导入表中找不到 SHGetStockIconInfo

Question

我正在开发一个资源泄漏检测工具来监视应用程序中句柄的生命周期。句柄是指窗口句柄、画笔句柄、图标句柄、事件句柄等。

我通过 Hook api 函数来做到这一点。例如，为了监视文件句柄，我通过在导入表中查找 CreateFileW 和 CloseHandle 函数的地址并将它们替换为我自己的函数的地址来 Hook 它们。我自己的 CreateFileW 函数调用原始函数并将句柄存储在列表中。我自己的 CloseHandle 函数调用原始函数并从列表中删除句柄。

这样我就可以检测泄漏或被破坏两次的句柄。

我还想 Hook SHGetStockIconInfo 函数，因为它可以返回图标的句柄，该图标必须由 DestroyIcon 函数销毁。问题是，由于某种原因，SHGetStockIconInfo 函数没有显示在导入表中。请注意，我在内存导入表中进行搜索。该函数由shell32.dll导出。我能找到的唯一两个 sheel32 函数是 SHGetFileInfoW 和 Shell_NotifyIconW。

请注意，该函数实际上是在可执行文件中使用的。调用该函数效果很好。该函数由 WinAPI.ShellAPI Delphi 单元(作为外部)导入。

现在我的问题来了。我的可执行文件的内存导入表中怎么可能不存在 SHGetStockIconInfo？所有导入的函数不应该都列在这个表中吗？

顺便说一句，我使用的是Delphi XE2，但是C或C++示例没有问题!

我的目标平台是 Windows 7。

Answer 1

造成这种情况的可能原因有多种。

<强>1。您没有调用该函数

Delphi 将仅包含您在导入表中实际引用的函数。因此，请在代码中添加对该函数的调用。您可以安排代码永远不会执行，但您需要确保智能链接器不会将其优化掉。

最简单的方法可能是获取函数的地址。因此，您可以将此代码添加到其中一个单元的初始化部分:

procedure Noop(const Value);
begin
end;

initialization
  Noop(@SHGetStockIconInfo);

<强>2。该函数是延迟加载的，还是显式加载的

在上面的部分中，我假设您使用的是使用 external 关键字的 SHGetStockIconInfo 声明。如果您使用对 GetProcAddress 的调用来链接它，那么显然不会将其放入您的导入表中。

查看 XE2 ShellAPI 单元中 SHGetStockIconInfo 的声明，我可以看到它是延迟加载的。这意味着即使您调用它，它也不会出现在您的导入表中。要将函数强制放入导入表中，您需要重新声明它而不使用延迟加载:

function SHGetStockIconInfo(siid: SHSTOCKICONID; uFlags: UINT; 
  var psii: TSHStockIconInfo): HResult; stdcall; external shell32;

出于上述原因，您必须确保包含对此替代声明的调用。

当然，这样做意味着你的程序将无法在 XP 上启动，因为该函数不存在。请记住，如果您坚持强制将此函数放入导入表中，那么它只能在实现该函数的 Windows 版本上运行。

<小时/>

如果我是你，我会考虑以不同的方式 Hook 该函数，使用不依赖于通过导入表导入的函数的 Hook 方法。