Detour开发包介绍(2):使用

最新推荐文章于 2023-08-28 20:23:05 发布
最新推荐文章于 2023-08-28 20:23:05 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: Detour
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangqin115/article/details/48625819
版权

一般来说,使用Detours的代码都具有固定的模式。Detours 1.5和Detours 2.1的接口函数变了很多,这里按照2.1版本对基本的使用方法进行说明。常用的函数有下面几个:

DetourTransactionBegin():开始一次截获或者解除截获过程。

DetourUpdateThread():列入一个在DetourTransaction过程中要进行update的线程。这个函数的作用稍微有一些复杂,会在后面专门说明。

DetourAttach()添加一个要截获目标函数。

DetourDetach():用来解除截获的函数。

DetourTransactionCommit():执行当前的Transaction过程。在这个函数中才会真正进行截获或者解除截获操作。前面三个函数都只是做一些记录工作。

在使用的时候,这几个函数的调用步骤基本上也是按照上面列出来的顺序。举例来说,我们要截获API函数MessageBoxA,将消息框弹出的消息修改掉,可以按下面的方法做(这里是DLL注入的方式)

先写一个调用了MessageBoxA的程序。建立一个MFC对话框工程(在建立向导中选"Dialog based",其余默认)打开Resource View中的对话框IDD_MESSAGEBOXAPP_DIALOG,添加OK按钮的单击处理事件OnBnClickedOk(),在其中加入对MessageBoxA函数的调用,如下:

[cpp]  view plain copy
  1. void CMessageBoxAppDlg::OnBnClickedOk()  
  2. {  
  3.     // TODO: Add your control notification handler code here  
  4.     ::MessageBoxA(NULL, "Execute target function: MessageBoxA""Info", MB_OK | MB_ICONINFORMATION);  
  5.       
  6.     OnOK();  
  7. }  

编译后的程序名称MessageBoxApp.exe,运行它并单击OK按钮时会弹出相应消息框。现在我们要截获这个EXE文件中对MessageBoxA函数的调用,以跳转到我们自己定义的D函数处。我们需要先编写一个DLL以拦截目标函数,然后将该DLL注入到目标程序MessageBoxApp.exe的空间中。

1、编写目标函数的拦截DLL

    建立一个Win32的DLL工程(在Win32应用程序向导中选Dll),名为ApiHook,也可以不用IDE而是用原始的记事本来编写DLL。把detours.h和detours.lib、detoured.lib拷贝到工程目录下。源文件ApiHook.cpp的代码如下:

[cpp]  view plain copy
  1. // ApiHook.cpp : Defines the entry point for the DLL application.  
  2. #include "stdafx.h"  
  3. #include <stdio.h>  
  4. #include "detours.h"  
  5. #pragma comment(lib,"detours.lib")  
  6. #pragma comment(lib,"detoured.lib")  
  7. #ifdef _MANAGED  
  8. #pragma managed(push, off)  
  9. #endif  
  10.   
  11. //目标函数原型声明  
  12. typedef int (WINAPI* pfnMessageBoxA)(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType);  
  13. //声明一个指向目标函数的指针  
  14. pfnMessageBoxA g_pMessageBoxA=::MessageBoxA;  
  15.   
  16. //截获函数  
  17. int WINAPI HookMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType){  
  18.     return g_pMessageBoxA(hWnd,"Target function /"MessageBoxA/" detoured./nExecute our HookMessageBoxA","Test Detour",MB_OK | MB_ICONINFORMATION);  
  19. }  
  20. //截获操作  
  21. __declspec(dllexportBOOL StartHook(){  
  22.     DetourTransactionBegin();  
  23.     DetourUpdateThread(GetCurrentThread()); //只有一个线程,所以用GetCurrentThread  
  24.     //关联目标函数和我们自定义的截获函数  
  25.     if(DetourAttach(&(PVOID&)g_pMessageBoxA,HookMessageBoxA)!=NO_ERROR){  
  26.         printf("HookMessageBoxA fail!/n");  
  27.     }  
  28.     //完成事务  
  29.     if(DetourTransactionCommit()!=NO_ERROR){  
  30.         printf("DetourTransactionCommit fail!/n");  
  31.     }else{  
  32.         printf("DetourTransactionCommit ok!/n");  
  33.         return TRUE;  
  34.     }  
  35.     return FALSE;  
  36. }  
  37. //解除截获操作  
  38. __declspec(dllexportBOOL StopHook(){  
  39.     DetourTransactionBegin();  
  40.     DetourUpdateThread(GetCurrentThread());  
  41.     //解除截获关系  
  42.     if(DetourDetach(&(PVOID&)g_pMessageBoxA,HookMessageBoxA)!=NO_ERROR){  
  43.         printf("HookMessageBoxA fail!/n");  
  44.     }  
  45.     //完成事务  
  46.     if(DetourTransactionCommit()!=NO_ERROR){  
  47.         printf("DetourTransactionCommit fail!/n");  
  48.     }else{  
  49.         printf("DetourTransactionCommit ok!/n");  
  50.         return TRUE;  
  51.     }  
  52.     return FALSE;  
  53. }  
  54.   
  55. BOOL APIENTRY DllMain( HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved)  
  56. {  
  57.     switch(ul_reason_for_call){  
  58.         case DLL_PROCESS_ATTACH:  
  59.             StartHook();  
  60.             break;  
  61.         case DLL_PROCESS_DETACH:  
  62.             StopHook();  
  63.             break;  
  64.     }  
  65.     return TRUE;  
  66. }  
  67. #ifdef _MANAGED  
  68. #pragma managed(pop)  
  69. #endif  

拦截操作一般按如下步骤进行:

    1) 首先需要定义目标函数的原型。如果目标函数是Windows API,可以到MSDN中查阅,但是需要注意ANSI版本和Unicode版本的区别。如果没有确切的原型声明,或者目标函数是通过逆向工程找出来的,那么需要定义一个和目标函数原型兼容的声明,即参数个数和调用约定要相同。如MessageBoxA的原型是:

[cpp]  view plain copy
  1. int MessageBoxA( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);  

则使用typedef定义目标函数原型如下:

[cpp]  view plain copy
  1. typedef int (WINAPI *pfnMessageBoxA)( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);  

2) 定义指向目标函数的函数指针:

[cpp]  view plain copy
  1. pfnMessageBoxA g_pMessageBoxA = ::MessageBoxA;  

3) 定义截获函数并编写代码,用于替换目标函数。

4) 调用DetourTransactionBegin开始一次Detours事务。

5) 对进程中每个可能调用到目标函数的线程,都需要使用DetourUpdateThread加入到update队列中。这是因为拦截时修改目标函数的前几个字节,如果某个线程刚好执行到这几个字节的位置时,粗暴的修改掉会造成该线程出现异常。Detours事务处理时,会先枚举并暂停update队列中所有线程,获取它们的指令指针,如果发现这种情况,则将指令指针修改到跳板代码的对应字节上。这样就避免出现崩溃的问题。

6) 对每个需要拦截的函数,调用DetourAttach加入到事务列表中。

7) 调用DetourTransactionCommit进行实际的拦截操作。

解除拦截的操作和上面的流程基本一样,只是第6步改为调用DetourDetach函数。另外,Detours还包含一系列其他函数,如果需要使用的话,可以参考Detours安装目录下的示例。

最后,在DLL的加载事件加入拦截操作函数,在卸载事件中加入解除拦截的操作函数,把它编译成ApiHook.dll。

总体来说,Detours库的代码是非常稳定的,但是如果使用方法不对,会造成一些问题。有下面一些地方需要特别注意:

1) 一定要枚举线程并调用DetourUpdateThread函数。否则可能出现很低几率的崩溃问题,这种问题很难被检查出来。

2) 如果拦截函数在DLL中,那么绝大多数情况下不能在Unhook之后卸载这个DLL,或者卸载存在造成崩溃的危险。因为某些线程的调用堆栈中可能还包含Hook函数,这时卸载掉DLL,调用堆栈返回到Hook函数时内存位置已经不是合法的代码了。

3) Detours库设计时并没有考虑到卸载的问题,这是因为钩子的卸载本身是不安全的。当Detours库代码存在于DLL中的时候,即使Unhook了所有函数,清理了所有自己使用到的函数,还是会占用一些内存。卸载这个DLL会造成内存泄露,特别是反复的进行加载DLL->Hook->Unhook->卸载DLL的过程,会让这个问题变得非常严重。

4) 有一些非常短的目标函数是无法Hook的。因为jmp指令需要占用一定空间,有些函数太过短小,甚至不够jmp指令的长度,自然是没有办法Hook掉的。

5) Detours不支持9x内核的Windows系统。因为9x内核下的内存模型和NT内核下有非常大的差别。

2、将拦截DLL注入到目标应用程序中

    为了将ApiHook.dll注入到MessageBoxApp.exe中,这需要在MessageBoxApp.exe中加入.detours节。把ApiHook.dll以及Detours库中的detoured.dll拷贝到MessageBoxApp.exe所在目录(或者也可以将它们拷贝到system32目录等地方)。也就是我们在运行MessageBoxApp.exe时要确保能访问到这些DLL。我们使用Detours自带的setdll.exe重写二进制可执行文件,只要使用命令setdll /d:ApiHook.dll MessageBoxApp.exe即可,在MessageBoxApp.exe中加入一个新的.detours节。这样再运行修改后的MessageBoxApp.exe即可看到拦截的结果。我们使用depends.exe观察MessageBoxApp.exe的变化,可以看到MessageBoxApp.exe加入了对ApiHook.dll的依赖关系。

jiangqin115
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Detour开发包之API拦截技术.doc
03-21
Detour开发包之API拦截技术.doc!!!!!!!!!!!!!!!!!!!!!
detour
07-24
detour
DetourFunction \DetourRemove 和DetourAttach \DetourDetach
weixin_34406061的博客
05-06 169
因为才接触Detours Hook,所以按照网上的去官网下了一个DetoursExpress30.msi 下载的地方也只有这一个可供下载。 (后来查资料才知道还有一个收费版的detour professional 3.0,听说蛮贵的,去官网也没有找到) http://download.csdn.net/download/staver102/7648875这个是别人自己改写的专业版的 ,...
Detours的使用方法
gaojunhuiwww的专栏
08-28 455
Detours是一个软件包,用于在应用程序下重新路由(拦截)Win32 API。
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 9815
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
detours主要函数学习
weixin_33918114的博客
04-03 455
Detours中的函数,是正确实施HOOK的基础,需要详细了解其意义。在这里对基本的挂钩操作函数稍作小结。 1、DetourTransactionBegin() 开始一次挂钩或者解除挂钩。 备注:DetourTransactionBegin begins a new transaction for attaching or detachin...
koa-detour:用于Koa v2应用程序的表达路由器
02-03
回 KoaDetour是用于应用程序的表达路由器。 注意:此项目未按照Koa的版本... 使用对象路由,将相关处理程序保持在一起要容易得多,但与不相关的处理程序(通常甚至在另一个文件/模块中)也可以分开。 基本范例 cons
DetourHook 使用实例
11-19
DetourHook demo 带lib vs2013 正常运行 DetourHook demo 带lib vs2013 正常运行
Detour源码
11-13
Detour源码,进入目录中有src文件夹编译. Detour源码,进入目录中有src文件夹编译.
伪任意地址HOOK类
10-10
代码HOOK技术不管在安全领域还是在木马病毒方面都运用很广泛,因为他可以改变程序执行流程,悄无声息执行我们自己的代码。 之前我也用过一些hook类,如mhook等,但很多都局限于API HOOK,有的时候无法满足实际应用。也因此,我自己的hook类就诞生了。 详细说明: http://blog.csdn.net/sunflover454/article/details/49029615
Detours学习之九:用于路由目标函数的api
jyl_sh的专栏
10-28 1185
用于路由目标函数的api DetourTransactionBegin DetourUpdateThread DetourAttach DetourAttachEx DetourAllocateRegionWithinJumpBounds DetourDetach DetourSetIgnoreTooSmall DetourSetRetainRegions DetourSetSystemRegionLowerBound DetourSetSystemRegionUpperBound D
Detour注意点及原理
weixin_30902251的博客
09-06 344
DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach((PVOID *)&g_pPresent, New_Present); DWORD nErr = DetourTransactionCommit(); DetourTransactionB...
Detours使用方法,简单明了
weixin_43414877的博客
08-14 7360
什么是Detours detours是微软提供的一套工具,主要用于win32 API的拦截。 准备工作(环境) 首先下载detours的资源,地址:https://github.com/microsoft/detours 下载到本地后解压至任意文件夹; 打开cmd终端进到这个文件夹下,键入nmake; 编译完成后: 新建一个工程,将include中的detours.h移动至工程文件下; 将lib.X64(X86也有对应目录)下的detours.lib移动至工程文件下; 示例代码: #include &l
detours介绍使用
顺其自然~专栏
06-29 4572
Detours 是Microsoft开发一个库,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能: 1 拦截x86机器上的任意的win32 API函数。 2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours替换目标API最前面的几条指令,使其无条件的跳转到用户提供的拦截函数。被替换的API函数的前几条指令被保存到tram
Detour使用说明
hewei0241的专栏
08-05 1291
2.2 hook自定义c 函数    举例来说明,假如有一个函数,其原型为 int RunCmd(const char* cmd); 如果要hook这个函数,可以按照以下几步来做: a)     include 声明这个函数的头文件 b)     定义指向这个函数的函数指针,int (* RealRunCmd)(const char*) = RunCmd;
Detours学习之三:使用Detours
jyl_sh的专栏
10-28 1485
使用Detours 为了达到拦截和截获绕过目标函数,有两件事是必要的:一个包含目标函数地址的目标指针和一个detour函数。为了正确拦截目标函数、detour函数和目标指针,必须具有完全相同的调用签名,包括参数数量和调用约定。使用相同的调用约定可以确保正确地保存寄存器,并确保在detour函数和目标函数之间正确地对齐堆栈 下面的代码片段说明了Detours库的用法。用户代码必须包含detours.h头文件并链接到detours.lib库。 #include <w...
Detour使用方法以及原理
热门推荐
Seanyxie Blog
07-15 1万+
Detour的用法示例
Detours使用说明
chaoguodong的专栏
10-19 1081
Detours使用说明 1 介绍... 1 2 Detours API hook. 1 2.1 hook DLL 中的函数... 2 2.2 hook自定义c 函数... 3 2.3 hook类成员函数... 4 2.4 DetourCreateProcessWithDll 5 2.5 Detouring by Address. 5 1 介绍   Api hook包括两部分:ap
detour_skip_jmp
最新发布
10-14
当程序执行过程中出现错误时,我们可以使用detour_skip_jmp来跳过错误所在的代码块,直接进入错误处理的代码块。这样一来,我们可以快速地处理错误,不会影响到原本的程序逻辑。 总的来说,detour_skip_jmp是一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值