[分析]detours 通过修改输入表注入DLL -- UpdateImports 函数的分析

最新推荐文章于 2022-04-26 00:04:26 发布
VIP文章 最新推荐文章于 2022-04-26 00:04:26 发布
阅读量3.6k 收藏 5
点赞数 2
分类专栏: 编程 文章标签: dll null image descriptor import dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galihoo/article/details/2305898
版权

前段时间有一个需求,就是在进程启动的第一时间实现dll的注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,其他模块还没有加载呢.再最后终于发现了detours 2.1为我们提供了一个函数DetourCreateProcessWithDllW,它可以实现在进程创建初期就将dll加载进去,下面我就来分析一下detours怎么做到在进程初期就将dll加载进程的.

先来看DetourCreateProcessWithDllW函数,可以分为四个步骤:

BOOL 
WINAPI 
DetourCreateProcessWithDllW(LPCWSTR lpApplicationName,
                            __in_z LPWSTR lpCommandLine,
                            LPSECURITY_ATTRIBUTES lpProcessAttributes,
                            LPSECURITY_ATTRIBUTES lpThreadAttributes,
                            BOOL bInheritHandles,
                            DWORD dwCreationFlags,
                            LPVOID lpEnvironment,
                            LPCWSTR lpCurrentDirectory,
                            LPSTARTUPINFOW lpStartupInfo,
                            LPPROCESS_INFORMATION lpProcessInformation,
                            LPCSTR lpDetouredDllFullName,
                            LPCSTR lpDllName,
                            PDETOUR_CREATE_PROCESS_ROUTINEW pfCreateProcessW)
 {
    // 第一步:修改创建标志位
    DWORD dwMyCreationFlags = (dwCreationFlags | CREATE_SUSPENDED);
    PROCESS_INFORMATION pi;

    if (pfCreateProcessW == NULL) {
        pfCreateProcessW = CreateProcessW;
    }

    // 第二步:调用原始CreateProcessW
    if (!pfCreateProcessW(lpApplicationName,
                          lpCommandLine,
                          lpProcessAttributes,
                          lpThreadAttributes,
                          bInheritHandles,
                          dwMyCreationFlags,
                          lpEnvironment,
                          lpCurrentDirectory,
                          lpStartupInfo,
                          &pi)) {
        return FALSE;
    }

    LPCSTR rlpDlls[2];
    DWORD nDlls = 0;
    if (lpDetouredDllFullName != NULL) {
        rlpDlls[nDlls++= lpDetouredDllFullName;
    }
    if (lpDllName != NULL) {
        rlpDlls[nDlls++= lpDllName;
    }

    // 第三步: 修改目标进程的输入表
    if (!UpdateImports(pi.hProcess, rlpDlls, nDlls)) {
        return FALSE;
    }

    if (lpProcessInformation) {
        CopyMemory(lpProcessInformation, &pi, sizeof(pi));
    }

    // 第四步: 让目标进程的主线程继续运行
    if (!(dwCreationFlags & CREATE_SUSPENDED)) {
        ResumeThread(pi.hThread);
    }
    return TRUE;
}

呵呵,看出来了,原来detours使用的是修改输入表来实现dll的注入的,在来看其中最关键的函数UpdateImports,

BOOL WINAPI UpdateImports(HANDLE hProcess, LPCSTR  * plpDlls, DWORD nDlls)
 {
    BOOL fSucceeded = FALSE;
    BYTE * pbNew = NULL;
    DETOUR_EXE_RESTORE der;
    DWORD i;

    ZeroMemory(&der, sizeof(der));
    der.cb = sizeof(der);

    // 从 0x10000 开始寻找MEM_IMGAE标志的内存,然后验证其是否是exe
    // 如果是那么返回其首地址
    PBYTE pbModule = (PBYTE)FindExe(hProcess);

    IMAGE_DOS_HEADER idh;
    ZeroMemory(&idh, sizeof(idh));

    // 读取 IMAGE_DOS_HEADER
    if (!ReadProcessMemory(hProcess, pbModule, &idh, sizeof(idh), NULL)) {
        DETOUR_TRACE(("ReadProcessMemory(idh) failed: %d ", GetLastError()));

      finish:
        if (pbNew != NULL) {
            delete[] pbNew;
            pbNew = NULL;
        }
        return fSucceeded;
    }
    CopyMemory(&der.idh, &idh, 
最低0.47元/天 解锁文章
galihoo
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Detours Pro 支持32位和64位编译的lib和头文件
06-16
64位的听说微软商店卖9999美元,也不清楚怎么弄来的.包含32位和64位的cpp h 和编译好的lib文件,直接#pragma comment(lib, "Detours.lib")就可以使用! 完全支持64位模式编译64位的EXE,LIB和DLL!
Detours学习之十三:Detours API用于将dll和有效负载插入新进程的api
jyl_sh的专栏
10-29 2500
用于将dll和有效负载插入新进程的api DetourCreateProcessWithDllEx DetourCreateProcessWithDlls DetourCopyPayloadToProcess DetourCopyPayloadToProcessEx DetourFinishHelperProcess DetourIsHelperProcess DetourRestoreAfterWith 一、DetourCreateProcessWithDllEx 创建一个新进程并将DLL
Detours版HOOK 未导出的API函数CreateProcessInternalW
追逐光芒,追随内心
11-22 1525
#include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
注入小记
随心散人专栏
04-03 723
DetourCreateProcessWithDll(NULL, (LPWSTR)cmdLine.c_str(), NULL, NULL, FALSE, 0, NULL, (LPCTSTR)gamePath.c_str(), &si, &pi,(LPCTSTR)botPath.c_str(), NULL); +botPath "e:\tiaoshi\TTTTT\hero\src\debug\Im
windows使用detours实现进程拦截实操
weixin_38526093的博客
04-26 2291
Detours是微软开发的一个函数库,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截的API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址
Detours-master_detours_hook_
09-30
微软的Detours,实现Hook的功能,功能很强大,可以编译后直接使用
HookWindowTextDll-detours-code.rar
05-26
使用detours库进行动态注入程序,截获DrawText和SetWindowText API函数
Detours-Express-2.1-master.zip_APIHOOK_detours_maplestory
09-24
Windwos api hook for maplestory
Detours-4.0.1
08-09
VS2015编译好的的Detours 4.0.1版本的静态hook库,支持x86,x64和其他Windows兼容处理器(IA64和ARM)下的。它包括对32位或64位进程的支持。微软自家的产品。
api钩子的实现--Detours拦截Win32API函数
12-24
api钩子的实现--Detours拦截Win32API函数
Detours demo
03-27
Detours 使用例子, 此例中启用Detours函数钩子后,测试程序不能修改注册。自己可以根据实际情况设置api函数钩子。
无法解析的外部符号 _DetourCreateProcessWithDllW@48,该符号在函数 _WinMain@16 中被引用
自信的尘埃 www.gocpplua.com
05-23 2446
最简单的方式来解决,这是的detours.lib复制到项目目录,然后在你的源代码或头文件的任何地方添加一行: #pragma   comment(LIB,“detours.lib”); 如果没有复制到项目目录,我们也可以将“detours.lib”改为“目录+“detours.lib”
摸索Detours 3:使用Detours 采用dll 方式进行Hook
小鸣的专栏
09-09 1387
1.准备工作 新建一个DLL项目,当然 依旧是要按照前面所说的配置一下包含目录和库目录。然后就可以开始了。 2.开始,注入Dll 使用DLL进行Hook的时候,主要处理DLL_PROCESS_ATTACH和DLL_PROCESS_DETACH 这两项,在编写相应的处理代码之前,当然是要先定义和引入需要Hook的函数,和替换的函数,如下: static int (WINAPI* Ol...
detours 通过修改输入注入DLL
Lassewang的成长历程
08-14 3025
前段时间有一个需求,就是在进程启动的第一时间实现dll注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
运用Detours库hook API
热门推荐
vcPlayer的专栏
07-20 1万+
 一、Detours库的来历及下载:        Detours库类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是保存堆栈环境的三条指令共5个字节:8B FF
Detours学习之五:PayLoads有效负载和DLL导入编辑
jyl_sh的专栏
10-28 3650
PayLoads有效负载和DLL导入编辑 除了附加和分离detours函数的api外,detours包还包括附加任意数据段(称为有效负载)到Windows二进制文件和编辑DLL导入的api。Detours中的二进制编辑api是完全可逆的;Detours在二进制文件中存储恢复信息,以便在将来的任何时候删除编辑。 Windows PE二进制文件格式。 上图显示了Windows Portable Executable (PE)二进制文件的基本结构。Windows二进制...
使用x86的detours库编写hook-dll
学习,思考,记录
01-08 822
#include "detours.h" #pragma comment(lib,"detours.lib") typedef HANDLE (WINAPI *HOOK_CreateFileW)(LPCWSTR lpFileName, DWORD dwDesiredAcces, DWORD dwShareMode, LPSECU
Detours注入DLL钩子入门教程
DOwnstairs的专栏
03-26 3710
本教程非常初级,适合新手食用 开发环境,WIN10 64bit, VS2022 首先在GITHUB下载源码。GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.Detours is a software package for monitor...
detours-x86.lib
最新发布
01-25
使用detours-x86.lib可以帮助开发者实现对目标程序的函数Hook,使得程序在运行时能够被修改或者重定向,从而实现一些特定的功能,比如监控程序的行为、修改函数的返回值或者行为等。 在使用过程中,开发者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值