使用Detours库截获windows api

最新推荐文章于 2024-04-10 10:20:12 发布
最新推荐文章于 2024-04-10 10:20:12 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: C++ MFC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dpsying/article/details/21338429
版权

1,目的


介绍微软的一个用来截获系统API的库detours的简单用法,示例截获MessageBox的方法。


2,实现


win32控制台程序:


#include "stdafx.h"
#include <windows.h>
#include "detours.h"
#include <string.h>
#include <fstream.h>
#pragma comment(lib, "detours.lib")
#pragma comment(lib, "detoured.lib")

//指向MessageBox函数的指针
int (WINAPI *SysMessageBox)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
= MessageBox;

//截获后我们实际执行的函数,其中先把内容记录到一个文本,然后接着调用原来的MessageBox函数去弹那个窗,并且替换了内容
int WINAPI MyMessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
{
	ofstream ofs("record.txt", ios::app);
	ofs.write(lpText, strlen(lpText));
	ofs.close();
	return SysMessageBox(hWnd, "此函数已经被钩到", lpCaption, uType);
}

void Hook()
{
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());
	DetourAttach(&(PVOID&)SysMessageBox, MyMessageBox);
	DetourTransactionCommit();
}
void Unhook()
{
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());
	DetourDetach(&(PVOID&)SysMessageBox, MyMessageBox);
	DetourTransactionCommit();
}

int main()
{
	MessageBox(NULL,"AAAAAAAAAA","",MB_OK);
	Hook();
	MessageBox(NULL,"AAAAAAAAAA","",MB_OK);
	Unhook();
	MessageBox(NULL,"AAAAAAAAAA","",MB_OK);
	return 0;
}

3,效果

第一遍MessageBox的效果:



第二遍:


第三遍和第一遍一样。


此时看到工程目录下(如果是在编译器运行)或debug目录(手动运行),就看到一个record.txt中记录了截获时的内容:



逆枫゛
关注
专栏目录
微软开源Detours的实现机制和原理介绍
dvlinker的技术专栏
08-10 2026
本文详细介绍微软开源Detours的实现机制和原理。
api钩子的实现--用Detours拦截Win32API函数
12-24
api钩子的实现--用Detours拦截Win32API函数
API拦截之Detours
idasm的专栏
11-20 560
Detours是一个字x86机器上拦截任意Win32二进制函数的。拦截代码在运行时动态的注入。Detours使用用户提供的拦截函数将一个无条件跳转指令替换目标函数起始的少数指令。拦截代码将目标函数替换为跳板函数。跳板函数的地址被放在目标函数指针中。拦截函数能够替换目标函数,也可以在跳板函数中通过目标函数指针作为子调用来执行目标函数,从而扩展目标函数的语义。 Detours在执行的时候被插入
Detour开发包之API拦截技术
yonghengzhimi的专栏
09-10 530
我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Detour在Windows二进制PE文件基础上的API截获技术。对于Linux平台,作这件事情将会非常的简单,由于最初的操作
detours 使用
03-10
最全的detours使用文档、教你如何使用微软detours技术
Detours与qt调试冲突报错
求索
09-01 676
主要是由于DetourEnumerateModules里产生了异常,而在qt调试状态下,该异常未被程序的SEH捕获,而直接被GDB捕获报错导致的。
WINDOWS钩子与API截获和替换Win32 API的开发包HookAPI源码1.62版
02-23
- **Detours**:Microsoft Research提供的API替换,可以方便地对API进行截获。 - **JMP/EAX Hook**:通过修改目标函数前几个指令实现。 - **VTable Hooking**:对于COM对象,可以通过修改虚函数表实现API截获...
使用APIHook钩子截获你的应用程序调用的任何输入函数.zip
03-28
Windows平台上,可以使用诸如Detours这样的工具,或者手动操作内存来实现。 4. **处理钩子事件**:当API被调用时,你的钩子函数会被执行。你可以在此处记录调用信息,修改参数,甚至决定是否继续调用原始API。 ...
APIHOOK钩子截获DirectX api游戏开发函数调用.zip
03-28
3. 使用DetoursAPI,如`DetourAttach()`,将钩子函数与原API函数关联起来。 4. 在需要的地方(如程序启动时)设置钩子,然后在退出时解除钩子。 总之,APIHOOK钩子技术对于游戏开发具有重要的价值,它允许...
Detours 使用(一)
wzf906819823的专栏
08-09 2975
Detours是微软开发的一个函数,可用于捕获系统APIDetours的编译方法:http://blog.csdn.net/hewei0241/article/details/38326899 测试环境:win7 x86 PS:win x64 在注入的时候,所有测试程序是32位的。如果使用创建远程线程函数的方法来注入动态,在win7 x64下,CreateRemoteThread会
QT下 hook自定义API
04-11
依赖detour实现了hook自定义API,使其跳转到mock API
Detours2.1Express和远程线程注入拦截iphlpapi中NetAdaptersInfo的示例
02-21
利用Detours2.1Express开发包 拦截iphlpapi中NetAdaptersInfo的示例 其中开发包修改了一些内容避免调用detoured.dll因为在这没什么用。 包含:使用远程线程注入的启动程序 使用Detours的钩子DLL 被注入程序。 Detours.lib与Detours.h
Detours4.0最新版HOOK源码,支持32及64位程序,这是正版源码。官方是收费的。
09-09
Detours4.0最新版,支持32及64位程序,这是正版源码。官方是收费的。
使用Detours拦截API的程序
01-29
利用Detours开源进行API拦截的例子
C++实现窗口截图
热门推荐
余识-
03-07 1万+
本文主要详解C/C++如何在VS环境下,实现对窗口的截图操作
Detour的简单使用
weixin_30871293的博客
10-19 188
Detours的安装:下载部分:1.直接在百度搜"detour",进对应的网站下载。2.或以下链接https://www.microsoft.com/en-us/research/project/detours/?from=http%3A%2F%2Fresearch.microsoft.com%2Fsn%2Fdetours 安装部分:1.在对应的编译器找到终端。32位找到“VS2013 x86 ...
运用Detourshook API
Gary's Blog --- A C++ programmer
03-23 1317
本文来自CSDN博客:http://blog.csdn.net/vcPlayer/archive/2008/07/20/2681758.aspx  一、Detours的来历及下载:        Detours类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Intercept
【C++ Hook钩子技术(中)——Hook按键小精灵弹窗】从弹窗引发的Hook编程思考大爆炸,拨开表象寻求真实自我!突破常规思维,建立底层逻辑。
最新发布
luoqiaoliang的博客
04-10 1167
挂钩弹窗的常规思维在这里将不再适用,如何层层抽丝剥茧发散思维,最终定位挂钩目标函数是Hook编程的高级思维。视频将向你展示透过现象看本质的原理流程,在这里不将只是无趣的“code”,还有更重要的“why”!本文将带你深入探索C++ Hook钩子技术的中级阶段,通过Hook按键小精灵弹窗,引发一场编程思维的大爆炸!我们将突破常规思维,不拘一格地建立底层逻辑,拨开表象,寻求编程世界的真实自我。跟随我们一起踏上这段挑战之旅,探索Hook编程的深邃奥秘,挖掘编程技术的无限可能性!
Detours的作用和实例
weixin_34357267的博客
04-30 363
Detours 可以用来拦截Win32的API函数,从而让程序按照我们自定义的方式进行处理,而不是Windows默认的。 Detours 也是通过Dll的方式,拦截Api函数。 为什么是修改API的前5个字节? 现在NewCode[]里的指令相当于Jmp MyMessageBoxW 既然已经获取到了Jmp MyMessageBoxW 现在该是将Jmp MyMessag...
Delphi API钩子技术:创建与截获示例
3. 截获API的原理:截获API调用通常涉及对系统API函数的拦截,这可以通过修改程序的导入地址表(IAT),使用内联钩子(Inline Hook)或者使用微软的Detours等技术来实现。截获API可以让开发者在目标API函数执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆枫゛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值