Detour使用方法以及原理

最新推荐文章于 2024-02-19 11:15:00 发布
最新推荐文章于 2024-02-19 11:15:00 发布
阅读量1.2w 收藏 2
点赞数
分类专栏: QT文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seanyxie/article/details/37817883
版权

Detour使用方法以及原理

DetourTransactionBegin();  
        DetourUpdateThread(GetCurrentThread());  
        DetourDetach((PVOID *)&g_pPresent, New_Present);  
        DWORD nErr = DetourTransactionCommit();  
        if (!nErr)  
        {  
            ::FreeLibrary(g_hDll);  
            g_bSubclassed = false;    
        }  
        else  
        {  
         }

Detours 是一个在x86平台上截获任意Win32函数调用的工具库。中断代码可以在运行时动态加载。Detours使用一个无条件转移指令来替换目标函数的最初几 条指令,将控制流转移到一个用户提供的截获函数。而目标函数中的一些指令被保存在一个被称为“trampoline” 

具体用途是: 

拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。 
为一个已在运行的进程创建一新线程,装入自己的代码并运行。 

Detours的原理 

—- 1. WIN32进程的内存管理 

—- 总所周知,WINDOWS NT实现了虚拟存储器,每一WIN32进程拥有4GB的虚存空间, 关于WIN32进程的虚存结构及其操作的具体细节请参阅WIN32 API手册, 以下仅指出与Detours相关的几点: 

—- (1) 进程要执行的指令也放在虚存空间中 
—- (2) 可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行,再改写其内容,从而修改正在运行的程序 
—- (3) 可以使用VirtualAllocEx从一个进程为另一正运行的进程分配虚存,再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行,并把要执行的指令以二进制机器码的形式写入,从而为一个正在运行的进程注入任意的代码 

关于跨进程dll注入,参考文章http://www.seanyxie.com/%E8%BF%9C%E7%A8%8B%E7%BA%BF%E7%A8%8B%E6%B3%A8%E5%85%A5dll/



seanyxie
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++封装Detours库挂钩函数
陈子青的博客
10-07 439
DetourTransactionCommit():执行当前的Transaction过程。在这个函数中才会真正进行截获或者解除截获操作。DetourUpdateThread():列入一个在DetourTransaction过程中要进行update的线程。DetourTransactionBegin():开始一次截获或者解除截获过程。DetourAttach():添加一个要截获的目标函数。DetourDetach():用来解除截获的函数。这个函数的作用稍微有一些复杂,会在后面专门说明。
Detours框架实现原理探究
linlin003的专栏
09-08 1050
Hook API在自动化测试、性能分析以及安全攻防领域有着广泛的应用。 Detours 作为微软研发并开源的API HOOK框架,在微软内部以及业界有着广泛的使用
Detour安装及简单使用实例
南的专栏
12-27 7112
Detours是微软开发的一个函数库,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作:一.下载Detours 在http://research.microsoft.com/sn/detours 可免费下载Detours 二.安装Detours 一路NEXT 三.生成Detours库 在安装后的文件夹下找不到直接可以拿来用的LIB文件
Detours学习之九:用于路由目标函数的api
jyl_sh的专栏
10-28 1213
用于路由目标函数的api DetourTransactionBegin DetourUpdateThread DetourAttach DetourAttachEx DetourAllocateRegionWithinJumpBounds DetourDetach DetourSetIgnoreTooSmall DetourSetRetainRegions DetourSetSystemRegionLowerBound DetourSetSystemRegionUpperBound D
Detours 的使用
最新发布
qq_39529180的博客
02-19 332
Detours 是一个用于在 ARM, ARM64, X86, X64 和 IA64 机器上拦截二进制函数的库。 Detours 最常用来拦截应用程序中的 win32 api 调用,比如添加调试工具。 拦截代码在运行时动态应用。 Detours 将目标函数的前几个指令替换为无条件跳转到用户提供的 detour 函数 它与WriteProcessMemory 有所不同 区别: WritePro...
Detours的使用方法
gaojunhuiwww的专栏
08-28 504
Detours是一个软件包,用于在应用程序下重新路由(拦截)Win32 API。
Detours学习之三:使用Detours
jyl_sh的专栏
10-28 1498
使用Detours 为了达到拦截和截获绕过目标函数,有两件事是必要的:一个包含目标函数地址的目标指针和一个detour函数。为了正确拦截目标函数、detour函数和目标指针,必须具有完全相同的调用签名,包括参数数量和调用约定。使用相同的调用约定可以确保正确地保存寄存器,并确保在detour函数和目标函数之间正确地对齐堆栈 下面的代码片段说明了Detours库的用法。用户代码必须包含detours.h头文件并链接到detours.lib库。 #include <w...
Detours使用说明
chaoguodong的专栏
10-19 1081
Detours使用说明 1 介绍... 1 2 Detours API hook. 1 2.1 hook DLL 中的函数... 2 2.2 hook自定义c 函数... 3 2.3 hook类成员函数... 4 2.4 DetourCreateProcessWithDll 5 2.5 Detouring by Address. 5 1 介绍   Api hook包括两部分:ap
detour
07-24
detour
DetourHook 使用实例
11-19
DetourHook demo 带lib vs2013 正常运行 DetourHook demo 带lib vs2013 正常运行
Detour源码
11-13
Detour源码,进入目录中有src文件夹编译. Detour源码,进入目录中有src文件夹编译.
testDetour_Detour_
10-01
hook捕获windows系统事件
detours_2.1_精简库
05-20
微软的API HOOK库,最低支持VS2005,经过精简的版本,带lib和.h
APIHOOK例子(Detour
08-03
一个简单实例,通过Detour来对系统API进行HOOK,拦截系统API,做自己想做的事情。欢迎微信交流 zhxunCC
Detour使用
weixin_34334744的博客
02-11 239
最近有用到detour,属于一种api拦截的方式了,是微软研究院出的一个库(可以网上下载,是源码形式,有makefile,可用vs的命令行工具来编译出来)。可以替换掉我们关心的api,进入到我们的处理中。当然,api拦截,首先需要借助Dll注入,才能够去影响你想改变的进程,这可通过上篇文章中全局hook来实现:可在hookProc回调中,进行detour,然后在DLL的pro...
Detours库Windows API Hook
南宫封清的博客
02-24 6105
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
windows使用detours实现进程拦截实操
weixin_38526093的博客
04-26 2270
Detours是微软开发的一个函数库,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截的API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours库函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址
Detours使用——踩坑之路
m0_63548806的博客
12-14 850
运行完成后可以看到Detours里面的src文件夹下面有detours.h与detours.cpp,在lib.x64文件夹下面有detours.lib,我们后续使用Detours就需要这几个文件。注意,这里使用这几个文件的需要将文件复制到项目下面来,打开你的项目文件,确保下面有这几个文件,因为vs添加文件的话是不会将文件复制过来的(踩坑之一)。这个时候需要先运行vs中的一个bat文件,我的路径如下,直接将这个文件拖入cmd命令窗口中。下载的时候记住你下载的位置,默认·下载的话一般在这里面。
Detour教程(上)
山炮之家
05-22 6367
来源:e股脑  英文原版:http://research.microsoft.com/~galenh/Publications/HuntUsenixNt99.pdfDetours: Binary Interception of Win32 Functions Detours: 在二进制代码上截获Win32函数调用 Galen Hunt and Doug BrubacherMicroso
detour_skip_jmp
10-14
detour_skip_jmp是其中一种实现这个目标的方法。 在实际应用中,我们可以通过调用一些特定的指令或函数,来实现detour_skip_jmp。通过这些指令或函数,我们可以改变程序的执行流程,使得程序在执行到指定的位置时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值