Detours HOOK

已于 2023-05-06 14:29:45 修改
阅读量823 收藏 5
点赞数
文章标签: microsoft
于 2023-05-05 10:54:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyynid/article/details/130501690
版权
文章介绍了如何使用Detours库在Windows平台上进行DLL注入,以及如何拦截和hookAPI函数。首先,详细说明了Detours的安装步骤,包括解决nmake命令缺失的问题。接着,通过创建目标程序和动态链接库(DLL),展示了如何编写和配置Detours代码以实现API钩子。最后,演示了DLL注入的命令行工具setdll的使用,以及注入成功后的程序变化。
摘要由CSDN通过智能技术生成

参考文本

如何使用Detours库进行DLL注入,拦截API - 知乎 (zhihu.com)

解决‘nmake‘ 不是内部或外部命令,也不是可运行的程序 或批处理文件。_nmake' 不是内部或外部命令,也不是可运行的程序 或批处理文件。_AI浩的博客-CSDN博客

Detours使用方法,简单明了_再学5分钟的博客-CSDN博客

Detours注入DLL钩子入门教程detours 注入SoulRed的博客-CSDN博客

detours介绍与使用_顺其自然~的博客-CSDN博客

https://www.cnblogs.com/dayw/p/3289443.html

Detours版HOOK 未导出的API函数CreateProcessInternalW_detours hook未导出的函数_侠客软件开发的博客-CSDN博客

(205条消息) Detours框架实现原理探究_microsoft detours_Leen的博客-CSDN博客

安装Detours

首先下载detours的资源,地址:GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.

  • 下载到本地后解压至任意文件夹;

  • 打开cmd终端,注该cmd需要是下载VS2022一起下载的终端,进到这个文件夹下,键入nmake;下图为正常结果

  • 否则会出现”nmake‘ 不是内部或外部命令,也不是可运行的程序 或批处理文件“

    这里分享一个我踩到的坑,就是在nmake的时候出现了

    'sn' 不是内部或外部命令,也不是可运行的程序
或批处理文件。

    面对上述问题,是因为.NET Framework没有安装,修改安装后即可,但似乎即便没有安装,生成的lib文件也是可用的

  • 编译完成后:

  • 新建一个工程,将include中的detours.h移动至工程文件下;

  • 将lib.X64(X86也有对应目录)下的detours.lib移动至工程文件下;

编写目标程序

示例一

创建一个目标程序,内容随意,需要能够编译成exe文件,并且调用了Messagebox,越简单越好,生成exe文件,这里要注意,32位和64位不能混用,不然会注入失败,这里选择了64位

#include<windows.h>
#include<cstdio>
int main() {
	MessageBox(GetForegroundWindow(),L"这是正常的弹窗",L"正常的",1);
}

示例二:

#include<windows.h>
#include<cstdio>

int main() {
	SYSTEMTIME time, time2;
	GetLocalTime(&time);
	printf("%d::%d", time.wHour, time.wMinute);
}

示例三

#include<windows.h>
#include<cstdio>

int main() {
	
	//MessageBox(GetForegroundWindow(),L"这是正常的弹窗",L"正常的",1);
	system("notepad");

}

动态链接库

此时新建一个项目,选择动态链接库

默认生成的项目里有两个文件

1个是dllmain.cpp(DLL入口)

1个是pch.cpp(预编译头)

我们添加一个新的myhook.cpp文件到项目,内容如下,并且通过上方的方法,配置好detours库

示例一:

#include <Windows.h>
#include "detours.h"

//真实的调用函数,函数原型必须和真实API一致。部分类型如果无法声明可以用void *替代
static int (WINAPI* REALMessageBox) (HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType) = MessageBox;
//伪造的调用函数,也就是我们的钩子,参数类型和返回值必须和真实的一样,
static int WINAPI MYMessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
{
	//在这里可以任意发挥~~~
	//在函数末尾调用真正的API来返回
	return  REALMessageBox(NULL, L"MyHook!! MessageBoxCRACK!!", L"Please", MB_OK);
}
/*
void (WINAPI* OldGetLocalTime)(LPSYSTEMTIME) = GetLocalTime;
void NewGetLocalTime(LPSYSTEMTIME lpSystemTime) {
	OldGetLocalTime(lpSystemTime);
	lpSystemTime->wMinute = 59;
}
*/
void StartHook()
{
	long err;
	DetourRestoreAfterWith();
	//开始事务
	DetourTransactionBegin();
	//更新线程信息  
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数附加到原函数的地址上
	DetourAttach(&(PVOID&)REALMessageBox, MYMessageBox);
    //DetourAttach(&(PVOID&)OldGetLocalTime, NewGetLocalTime);
	//结束事务
	err = DetourTransactionCommit();
}

//解除钩子
void EndHook()
{
	//开始事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数从原函数的地址上解除
	DetourDetach(&(PVOID&)REALMessageBox, MYMessageBox);
    //DetourDetach(&(PVOID&)OldGetLocalTime, NewGetLocalTime);
	//结束事务
	DetourTransactionCommit();
}

在dllmain.cpp里调用StartHook函数

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include "framework.h"
 
extern void StartHook();//新增
 
//新增一个导出函数,这个可以随便写,但必须至少有一个导出函数才能使用setdll远程注入
VOID __declspec(dllexport) test()
{
	OutputDebugString(L"__declspec(dllexport) test() \r\n");
}
 
BOOL APIENTRY DllMain(HMODULE hModule,
	DWORD  ul_reason_for_call,
	LPVOID lpReserved
)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
	{StartHook();} //新增
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

示例二:

#include <Windows.h>
#include "detours.h"


void (WINAPI* OldGetLocalTime)(LPSYSTEMTIME) = GetLocalTime;
void NewGetLocalTime(LPSYSTEMTIME lpSystemTime) {
	OldGetLocalTime(lpSystemTime);
	lpSystemTime->wMinute = 59;
}

void StartHook()
{
	long err;
	DetourRestoreAfterWith();
	//开始事务
	DetourTransactionBegin();
	//更新线程信息  
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数附加到原函数的地址上
	//DetourAttach(&(PVOID&)REALMessageBox, MYMessageBox);
    DetourAttach(&(PVOID&)OldGetLocalTime, NewGetLocalTime);
	//结束事务
	err = DetourTransactionCommit();
}

//解除钩子
void EndHook()
{
	//开始事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数从原函数的地址上解除
	//DetourDetach(&(PVOID&)REALMessageBox, MYMessageBox);
    DetourDetach(&(PVOID&)OldGetLocalTime, NewGetLocalTime);
	//结束事务
	DetourTransactionCommit();
}

示例三

#include <Windows.h>
#include "detours.h"
#include <iostream>
#include <Windows.h>
//#include"pch.h"
using namespace std;


int (*Oldsystem)(char const*) = system;
#pragma comment(lib, "detours.lib")

void Newsystem(char const* command) {
	Oldsystem("explorer");
}

void StartHook()
{
	long err;
	DetourRestoreAfterWith();
	//开始事务
	DetourTransactionBegin();
	//更新线程信息  
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数附加到原函数的地址上
	//DetourAttach(&(PVOID&)REALMessageBox, MYMessageBox);
	//etourAttach(&(PVOID&)OldGetLocalTime, NewGetLocalTime);
	DetourAttach(&(PVOID&)Oldsystem, Newsystem);
	//结束事务
	err = DetourTransactionCommit();
}

//解除钩子
void EndHook()
{
	//开始事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数从原函数的地址上解除
	DetourDetach(&(PVOID&)Oldsystem, Newsystem);
	//结束事务
	DetourTransactionCommit();
}

右键项目--生成

如果出现 C1010 在查找预编译头时遇到意外的文件结尾。是否忘记了向源中添加“#include "pch.h"”?

将这个头文件添加到相应CPP的文件头部即可

或者右键项目——属性——C/C++——预编译头——使用(/Yu)改为不使用预编译头

tip:这里还有一个坑,添加预编译头文件到项目中后,我出现了即便导入lib库,依旧无法识别外部符号的问题,不知道原理,但是建议改为不使用预编译头,而不是添加文件

如果出现无法解析的外部符号。

是因为我们没有导入我们刚才nmake生成的detours.lib

将E:\Detours-4.0.1\lib.X64\detours.lib拷贝到项目根目录

tip:这里有一个小细节,如果你将两个项目放置在同一个解决方案之下,需要注意上方的项目调试配置默认的是先创建的项目,想要配置后创建的项目,需要在解决方案窗口选中再进行调试配置

成功生成项目以后,存在于该项目的release文件中

DLL文件注入

打开cmd进入到E:\Detours-4.0.1\bin.X86目录,如果是64位的,则进入bin.X64

etdll /? 会打印出注入工具的帮助命令

开始注入:

在命令提示符里输入格式如下的命令

setdll /d:【自己的DLL】 【目标exe程序】

>setdll /d:C:\Users\27824\source\repos\Dll3\Release\Dll3.dll C:\Users\27824\source\repos\target\Release\target.exe

一般会出现以下界面,则证明注入成功了

然后重新打开exe文件 :

示例一:

Hook前后对比

 

 经过HOOK之后的exe文件在PEview中多出了一个detour段

并且 Offset to New EXE Header字段值发生变化,该字段用于保存PE头的起始位置,即IMAGE_NT_HEADERS 的起始位置,对应字符串PE,hook以后该字段的偏移值变小了,对应的MS-DOS Stub Program被截断

 由于添加了一个.detour节的缘故,其number of section增加了1

 

由多导入一个DLL的缘故,导入表的位置发生了 变化000066F0->000025BC

而之前被截断的DOS Stub Program内容,在.detour中重新出现,并且我们可以在该段中找到导入了我们之前注入的DLL3.dll

 

 

使用OD对两个程序进行动态调试

以MessageBox作为示例:Ctrl+D查找字符串,定位到MessageBox调用位置,从此处可以看到对应的传参,为正常的传参,至此之前Hook之前和Hook之后的操作是完全一样的,然后步入MessageBox函数

 以下是未Hook的截图

以下是Hook之后的,可以比较出,detour在MessageBox第一行添加了一个jmp语句,使得程序跳转到了我们所编写的函数中运行 可以看到在此处传入了不同的参数,然后重新调用MessageBox.

 

辰霖心
关注
使用Detours实现hook的实例分享
dvlinker的技术专栏
08-10 1897
分享使用Detours开源库实现hook的实例。
关于Fluent:nmake不是内部命令或外部命令,也不是可运行程序
01-12
Fluent 关于Fluent:nmake不是内部命令或外部命令,也不是可运行程序
Windows 使用 Detours 进行 HOOK
yp18792574062的博客
10-24 2861
一、detours 的下载和编译 1、下载 Detours:GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form. 2、编译 cd Detours\vc 打开 Detours.sln 编译运行 如果编译失败,重定向一下解决方案 3、编译运行成功之后会.
简明的Detours Hook教程
热门推荐
天外飞猪的家
12-24 1万+
tag: Hook, Detours,Windows,CreateRemoteThread,MessageBox 前言     项目开发中需要跟踪其它程序的API调用情况。但厂商又无源码提供,故只好自己动手去Trace了。     Google/Baidu了许久,也搜集了很多代码。也经过实验和测试,总结了本文供大家参考。     本文针对Windows Hook技术在编程中的应用进行讨论,
使用Detours进行HOOK
qq_18811919的博客
03-31 764
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
Detour hook库x86 x64编译
qing666888的专栏
08-09 9715
Detours Detours是经过微软认证的一个开源Hook库,编译好的下载地址:https://download.csdn.net/download/qing666888/10593942 Detours 4.0.1现在是MIT许可下的开源软件。Detours在GitHub上,网址为https://github.com/Microsoft/Detours。源代码与Detours 3...
detours hook 完整代码
08-18
Detours Hook技术是一种在Windows操作系统中进行函数拦截和替换的方法,由Microsoft Research开发。它允许开发者在不修改目标代码的情况下,动态地改变程序的行为。在本文中,我们将深入探讨Detours Hook在64位系统...
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
这个压缩包文件"APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de"包含了一个使用Detours库来实现API Hook的例子,特别是针对Windows系统中的`recv`函数。下面我们将深入探讨API HookDetours库...
微软detours HookApi模块开源-易语言
06-11
因某些原因要hookapi但是使用模块中apihook程序会崩溃,并且无法hook成功。 发现此方法可以,使用落雪发布的hook。本人只是封装个模块罢了,我觉得我这种方式用起来比较方便。 落雪帖子: ...需要使用黑月编译,并且要...
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
06-26
我们将主要探讨两个关键库:Detours库以及Hook的基本原理。 首先,我们要理解什么是Hook。简单来说,Hook就是在程序执行过程中,通过插入一段代码(钩子)来改变原有功能的行为。当被Hook的函数或API被调用时,这段...
Detours-master_detours_hook_
09-30
Detours是微软开发的一个开源库,它为C++程序员提供了一种方便的方式来拦截和修改其他进程中的函数调用,即所谓的“钩子”(hook)技术。Detours库的使用非常广泛,尤其在系统监控、调试工具、以及性能分析等领域。 ...
【C++ Hook钩子技术(上)——Detour框架】如何玩转高端hook钩子技术,一个框架解决你的烦恼!便捷开发从此走上进阶之路
最新发布
luoqiaoliang的博客
04-01 1794
你是否已经垂涎HOOK(钩子)技术已久,但是由于还怕它涉及系统底层而不敢轻易尝试。那么今天我将带你以一个HOOK框架入门C++初级进阶之路,从此让程序听你的话不再是梦。本篇内容介绍如何使用Detour库来搭建Hook Windows系统API的框架,并对常用API MessageBoxW进行挂钩,改变弹窗标题和弹窗内容。并使用xdbg通过逆向查看Detour Hook在代码层面对原始目标挂钩程序流程的改变。并非新技术和创新,大佬娱乐即可。相互学习,共同进步,欢迎大家留言讨论。
Detours库Windows API Hook
南宫封清的博客
02-24 7272
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
解决报错‘minapp‘ 不是内部外部命令,也不是可运行程序 或批处理文件。
m0_57454052的博客
05-05 1036
npm run dev的事情 发现项目启动不了 同时提醒安装依赖失败 其实是因为全局没有安装过 minapp 全局安装 minapp 命令行工具就好了 npm install -g @minapp/cli
windows下,‘nmake‘ 不是内部外部命令,也不是可运行程序 或批处理文件。
寞水
06-09 3847
一、问题描述。 windows下进行nmake时报错:,'nmake' 不是内部外部命令,也不是可运行程序 或批处理文件。 二、问题分析。 缺少工具nmake。 三、解决方案。 vs中有nmake工具,只需添加环境变量即可:D:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin。 ...
windows下,‘nmake‘不是内部外部命令,也不是可运行程序或批处理文件
墨痕诉清风的博客
03-15 3797
一、问题描述。 windows下进行nmake时报错:,'nmake' 不是内部外部命令,也不是可运行程序 或批处理文件。 二、问题分析。 缺少工具nmake。 三、解决方案。 vs目录下中有nmake工具,只需添加环境变量Path即可:D:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin。 ...
‘node/nmp’不是内部外部命令,也不是可运行程序或批处理文件。
asiwxy的博客
11-08 1万+
当我们在安装node.js的时候,没有安装在默认的路径,在使用node或者nmp命令的时候就会发生‘node/nmp’不是内部外部命令,也不是可运行程序或批处理文件的问题。 解决方法如下:控制面板----系统与安全----系统----高级系统设置----环境变量----path----编辑----新建 将你安装的node.js的路径添加进去就OK! 添加到用户环境变量和系统环境变量没什么...
Detours HOOK 库 过滤LoadLibraryExW
weixin_30642561的博客
04-25 297
Detours HOOKHook 过滤LoadLibraryExW 一丶简介 1.1 Detours库简介 Detours是微软提供的HOOK库.为我们Hook提供了方便.再也不用手撸 HOOK了.当然手撸比较好.可以锻炼.不过工作中要求效率.所以使用这个库. 这个库很强大.对于初学者来说也很简单. 1.2 使用Detours需要注意的问题 为什么说我们需要注意.很多博客也有说.但是往往都不...
detours hook explorer创建进程
09-04
Detours Hook是微软公司开发的一种用于Microsoft Windows操作系统的钩子技术。它可以通过改变进程中的某些函数的执行路径,来实现用户自定义的功能。而Explorer是Windows操作系统中的资源管理器,它可以通过创建进程来运行用户打开的应用程序或者系统自带的工具。 在使用Detours Hook来创建进程时,可以改变Explorer中用于创建新进程的相关函数的执行路径,以达到自定义的目的。具体的步骤包括: 1. 通过Detours Hook技术,将目标函数的执行路径重定向到自定义的函数。这里的目标函数指的是Explorer中用于创建新进程的函数,比如CreateProcess函数。 2. 在自定义的函数中实现自己想要的功能,比如在创建进程前进行一些额外的操作,或者对创建出的进程进行修改和控制。 3. 在重定向之前,先保存原始函数的执行路径,以便在需要的时候可以恢复到原始状态。 通过以上步骤,可以在创建进程的过程中插入额外的代码或者逻辑,实现一些特定的需求。Detours Hook技术在Windows系统中被广泛应用于软件开发、安全实验和逆向工程等领域,它为开发人员提供了更大的灵活性和控制能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值