最近有个需求需要屏蔽托盘图标的右下角菜单项：

经过Apimonitor进行hook Explorer进程，发现弹出菜单是通过explorer调用“InserMenuItem”函数来实现的。通过注入explorer并挂钩“InserMenuItemW”函数，并屏蔽自己想要屏蔽的菜单项：

（上图将“弹出Standard Enhanced PCI to USb Host Controller”以及“弹出Standard Universal PCI to USb Host Controller”两个Menu项屏蔽了）

hook代码大概如下：

static BOOL(WINAPI* OrgInsertMenuItemW)(
    HMENU            hmenu,
    UINT             item,
    BOOL             fByPosition,
    LPCMENUITEMINFOW lpmi
) = InsertMenuItemW;
 
BOOL WINAPI NewInsertMenuItemW(
    HMENU            hmenu,
    UINT             item,
    BOOL             fByPosition,
    LPCMENUITEMINFOW lpmi
)
{
    wchar_t szBuf[200] = { 0 };
    wsprintf(szBuf, L"NewInsertMenuItemW, item:%d fByPosition:%d dwTypeData:%s  ", item, fByPosition, lpmi->dwTypeData);
    OutputDebugStringW(szBuf);
    if (lpmi->dwTypeData && wcsstr(lpmi->dwTypeData, L"USB Host Controller"))
    {
        OutputDebugStringW(L"will shield this menu");
        return TRUE;
    }
    return OrgInsertMenuItemW(hmenu, item, fByPosition, lpmi);
}
 
bool HookMenu()
{
    // 相关的初始化信息
    DetourTransactionBegin();
    // 更新线程信息
    DetourUpdateThread(GetCurrentThread());
 
    DetourAttach(&(PVOID&)OrgInsertMenuItemW, NewInsertMenuItemW);
    return NO_ERROR == DetourTransactionCommit();
}

但这个Item是从哪里来的呢，在自己的代码里面打上断点，用ida Attach到Explorer进程，并打印所有堆栈，然后找到自己的那个线程堆栈：

跳转转到stobject!DllCanUnloadNow+0xc294:

 InsertMenuItem的字符串变量dwTypeData来自v59：v48.dwTypeData = v59; 而v59来自：sub_7FFB7D7FD3CC(v59, 260i64, v54, pszIconPath);

这里就需要后续进一步分析了。