Detours的使用方法

已于 2023-08-28 20:53:57 修改
阅读量906 收藏 6
点赞数 1
文章标签: 开发语言 c++
于 2023-08-28 20:23:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaojunhuiwww/article/details/132545312
版权

一、Detours介绍

Detours是一个软件包,用于在应用程序下重新路由(拦截)Win32 API。[Detours]

二、Detours使用

我们首先需要编译指定的库,如果我们需要拦截32位程序下的函数,就编译x86版本,如果用在64位下,则编译x64版本。这个编译就不说明了。

2.1、主要接口说明

主要使用到如下的接口:

1、DetourAttach&DetourDetach

LONG WINAPI DetourAttach(_Inout_ PVOID *ppPointer,
                         _In_ PVOID pDetour);
LONG WINAPI DetourDetach(_Inout_ PVOID *ppPointer,
                         _In_ PVOID pDetour);

前一个接口用于将拦截函数附加到目标函数,后一个接口用于取消目标函数的路由。

参数说明:

ppPointer :指向将附加到的目标指针的指针(地址)。

pDetour:指向拦截函数的指针(地址)。

返回值:

如果成功,则返回NO_ERROR;否则,返回错误代码。

在使用这两个接口前,需要调用下面的前置接口和提交接口

2、DetourTransactionBegin

开始事务

3、 DetourUpdateThread

更新线程

4、DetourTransactionCommit

提交事务

2.2、代码示例

//附加拦截函数
void StartHook() {
	//开始事务
	DetourTransactionBegin();
	//更新线程信息
	DetourUpdateThread(GetCurrentThread());
	//将拦截函数附加到原函数的地址上
	DetourAttach(&(PVOID&)pfnOld, pfnNew);
	//结束事务
	DetourTransactionCommit();
}

//解除拦截函数
void EndHook() {
	//开始事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截函数从原函数的地址上解除
	DetourDetach(&(PVOID&)pfnOld, pfnNew);
	//结束事务
	DetourTransactionCommit();
}

三、配合DLL注入使用Detours

Detours可以拦截我们想要拦截的函数,并获取或者修改函数调用信息,一般我们会编写一个dll,在dllmain中attach和detach我们的拦截函数,从而在目标进程加载我们dll时,拦截目标函数,在卸载dll时,恢复目标函数。那么远程进程注入,是一个不错的选择,可以在目标进程运行时,注入调试库,不影响目标进程的运行。DLL注入不是本章重点,所以,此处使用最简单的注入方式,也就是远程线程注入方式(仅学习使用,请勿用于非法用途,且这种方式也是最容易被发现的注入方式)。

我写了一个简单的dll注入+Detours拦截指定函数的源码(vs2022),有需要的可以下载参考下

GitHub - Prophecy2015/DLLInject

其中DLLInject是一个MFC编写的dll注入的工具,功能仅仅是向目标进程注入dll用的,需要使用管理员权限运行,不过,由于是注入工具,会被系统报病毒威胁。

TestAddDLL就是使用Detours编写的拦截Add方法的调试库

TestApp是持续调用Add方法的控制台程序,使用DLLInject向该程序注入TestAddDLL,即可打印拦截函数的内容。

3.1、找到拦截函数地址

要通过远程注入,拦截指定函数,首先就需要找到指定函数在指定进程加载后的虚拟内存空间地址,这样才能正确调用DetourAttach函数,毕竟该函数第一个参数就是待拦截的函数的地址。寻找函数地址的方法有很多,上述GitHub源码,使用了两种途径获取函数地址

3.1.1、通过导出表,查找导出函数

这种方式,适用于被导出的函数接口,这种函数接口,可以在PE文件的导出表中,找到对应的RVA,从而计算出VA地址,无需依赖dbghelp.dll接口就可以实现。

可以参考GetExportFunctionsVa函数的实现,这里涉及到对PE文件格式的解析,有兴趣的可以参考下我学习pe格式时,写的一个PETest工程(https://gitee.com/gaojunhuiwww/PETest.git),纯学习性质,大神勿喷


PVOID CMisc::GetExportFunctionsVa(const char* szModuleName, const char* szFuncName)
{
	HMODULE hMod = ::GetModuleHandleA(szModuleName);
	if (hMod == NULL)
	{
		DLL_TRACE(_T("Can not find %s!"), szModuleName);
		return NULL;
	}
	DWORD dwFuncRva = GetExportFunctionsRva(hMod, szFuncName);
	if (dwFuncRva == 0)
	{
		DLL_TRACE(_T("Can not find %s in %s!"), szFuncName, szModuleName);
		return NULL;
	}

	DLL_TRACE(_T("%s!%s : %llX!"), szModuleName, szFuncName, (PVOID)((PBYTE)hMod + dwFuncRva));

	return (PVOID)((PBYTE)hMod + dwFuncRva);
}

DWORD CMisc::GetExportFunctionsRva(HMODULE hModule, const char* strFuncName)
{
	// 获取ExportsTableRva
	DWORD dwExportTableRva = 0;
	PBYTE pByte = (PBYTE)hModule;
	PBYTE pTmp = pByte;
	if (IMAGE_DOS_SIGNATURE == *(WORD*)pTmp)
	{
		//DOS头
		IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)pTmp;
		pTmp += pDosHeader->e_lfanew;
	}

	if (IMAGE_NT_SIGNATURE != *(DWORD*)(PBYTE)pTmp)
	{
		return 0;
	}

	pTmp += sizeof(DWORD);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)pTmp;

	pTmp += sizeof(IMAGE_FILE_HEADER);
	// opt tou
	if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == *(WORD*)(PBYTE)pTmp)
	{
		// 32位头
		dwExportTableRva = ((PIMAGE_OPTIONAL_HEADER32)pTmp)->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
	}
	else if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == *(WORD*)(PBYTE)pTmp)
	{
		// 32位头
		dwExportTableRva = ((PIMAGE_OPTIONAL_HEADER64)pTmp)->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
	}

	// 
	PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((PBYTE)pByte + dwExportTableRva);
	for (int i = 0; i < pExportDir->NumberOfNames; i++)
	{
		std::string strName = (char*)((PBYTE)pByte + *(DWORD*)((PBYTE)pByte + pExportDir->AddressOfNames + i * sizeof(DWORD)));

		if (strName == strFuncName)
		{
			WORD wOrdinal = *(WORD*)((PBYTE)pByte + pExportDir->AddressOfNameOrdinals + i * sizeof(WORD));
			if (wOrdinal < pExportDir->NumberOfFunctions)
			{
				return *(DWORD*)((PBYTE)pByte + pExportDir->AddressOfFunctions + wOrdinal * sizeof(DWORD));
			}
		}
	}

	return 0;
}

3.1.2、通过dbghelp接口查询指定函数

这种方式,只要你有指定模块的pdb文件,你就可以找到该模块的大部分函数的地址,inline和被优化的函数除外,也包括了上诉的导出表函数。不过需要依赖dbghelp.dll。

可以参考GetFunctionsVaFromSymbols函数的实现


PVOID CMisc::GetFunctionsVaFromSymbols(PCTSTR szModuleName, PCTSTR szFunctionName, PCTSTR szSymPath/* = nullptr*/)
{
	HMODULE hMod = 0;
	HANDLE hProcess = 0;
	DWORD64 BaseOfDll = 0;
	PIMAGEHLP_SYMBOL pSymbol = NULL;
	PVOID pRet = NULL;

	DWORD Options = SymGetOptions();

	Options = Options | SYMOPT_DEBUG;
	SymSetOptions(Options);

	if (szModuleName)
	{
		hMod = GetModuleHandle(szModuleName);
	}

	if (hMod == 0)
	{
		DLL_TRACE(_T("Cannot find module %s"), szModuleName);
		return NULL;
	}

	do 
	{
		hProcess = GetCurrentProcess();
		BOOL bRet = SymInitialize(hProcess, 0, TRUE);
		if (FALSE == bRet)
		{
			DLL_TRACE(_T("SymInitialize error ..."));
			break;
		}
		TCHAR SymbolPath[256];
		GetCurrentDirectory(sizeof(SymbolPath) / sizeof(TCHAR), SymbolPath);

		if (nullptr != szSymPath)
		{
			_tcscat_s(SymbolPath, _T(";"));
			_tcscat_s(SymbolPath, szSymPath);
		}

		_tcscat_s(SymbolPath, _T(";"));
		_tcscat_s(SymbolPath, g_szPDBPath);

		SymSetSearchPath(hProcess, SymbolPath);

		TCHAR FileName[256];
		GetCurrentDirectory(sizeof(FileName) / sizeof(TCHAR), FileName);
		_tcscat_s(FileName, _T("\\"));
		_tcscat_s(FileName, szModuleName);
		BaseOfDll = SymLoadModuleEx(hProcess, NULL, FileName, NULL, (DWORD64)hMod, 0, NULL, 0);
		if (BaseOfDll == 0)
		{
			DLL_TRACE(_T("SymLoadModule %s error code:%d"), FileName, GetLastError());
			break;
		}

		ULONG64 buffer[(sizeof(SYMBOL_INFO) +
			MAX_SYM_NAME * sizeof(TCHAR) +
			sizeof(ULONG64) - 1) /
			sizeof(ULONG64)];
		PSYMBOL_INFO pSym = (PSYMBOL_INFO)buffer;
		pSym->SizeOfStruct = sizeof(SYMBOL_INFO);
		pSym->MaxNameLen = MAX_SYM_NAME;
		if (TRUE == SymFromName(hProcess, szFunctionName, pSym))
		{
			pRet = (PVOID)pSym->Address;
			DLL_TRACE(_T("%s!%s: %llX"), szModuleName, szFunctionName, pRet);
		}
		else
		{
			DLL_TRACE(_T("Can not find symbol %s!%s"), szModuleName, szFunctionName);
		}
	} while (false);

	if (BaseOfDll != 0)
	{
		BOOL bRet = SymUnloadModule(hProcess, BaseOfDll);
		if (bRet == FALSE)
		{
			DLL_TRACE(_T("SymUnloadModule Failed! err:%d"), GetLastError());
		}
		BaseOfDll = 0;
	}

	SymCleanup(hProcess);

	return pRet;
}

龙语者
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
如何生成Detours.lib——Detours使用准备
sliufen的专栏
02-24 1万+
 Detours是微软开发的一个函数库,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作:一.下载Detours     在http://research.microsoft.com/sn/detours 可免费下载Detours,当前的最新版本是Detours Express 2.1 is available for immediate download under
Detours使用方法,简单明了
weixin_43414877的博客
08-14 8414
什么是Detours detours是微软提供的一套工具,主要用于win32 API的拦截。 准备工作(环境) 首先下载detours的资源,地址:https://github.com/microsoft/detours 下载到本地后解压至任意文件夹; 打开cmd终端进到这个文件夹下,键入nmake; 编译完成后: 新建一个工程,将include中的detours.h移动至工程文件下; 将lib.X64(X86也有对应目录)下的detours.lib移动至工程文件下; 示例代码: #include &l
DetourFunction \DetourRemove 和DetourAttach \DetourDetach
weixin_34406061的博客
05-06 184
因为才接触Detours Hook,所以按照网上的去官网下了一个DetoursExpress30.msi 下载的地方也只有这一个可供下载。 (后来查资料才知道还有一个收费版的detour professional 3.0,听说蛮贵的,去官网也没有找到) http://download.csdn.net/download/staver102/7648875这个是别人自己改写的专业版的 ,...
Detours Hook 工具源码阅读一
最新发布
ramonji的博客
05-19 1085
拦截代码是在运行时动态应用的。Detours 将目标函数中前几条指令替换为跳转到用户提供的 替换函数(detour function) 的无条件跳转。来自目标函数的指令(被替换掉的指令)被放在来 蹦床(trampoline)。蹦床 的地址被放在了 目标指针(target pointer)。替换函数可以替换目标函数,也可以通过指向蹦床的目标指针将目标函数作为子程序调用来扩展其语义。拦截(Detour)一个函数有两个必要准备:1 一个指向目标函数的指针;2 一个替换函数。
Detour使用说明
hewei0241的专栏
08-05 1314
2.2 hook自定义c 函数    举例来说明,假如有一个函数,其原型为 int RunCmd(const char* cmd); 如果要hook这个函数,可以按照以下几步来做: a)     include 声明这个函数的头文件 b)     定义指向这个函数的函数指针,int (* RealRunCmd)(const char*) = RunCmd;
detours介绍与使用
顺其自然~专栏
06-29 5113
Detours 是Microsoft开发一个库,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能: 1 拦截x86机器上的任意的win32 API函数。 2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours替换目标API最前面的几条指令,使其无条件的跳转到用户提供的拦截函数。被替换的API函数的前几条指令被保存到tram
Detours专业版,64位系统下能用的Detours
01-07
大家知道免费的Detours Express 3.0 以及一下的版本只能在32位系统下才有效果, 而专业版的价格高得吓人, 在查阅了众多网上资料,修改了部分头文件源代码. 终于把DetoursPro 编译成功,经测试 在Win7 64位旗舰版下能够正常使用..
Detours使用说明
chaoguodong的专栏
10-19 1100
Detours使用说明 1 介绍... 1 2 Detours API hook. 1 2.1 hook DLL 中的函数... 2 2.2 hook自定义c 函数... 3 2.3 hook类成员函数... 4 2.4 DetourCreateProcessWithDll 5 2.5 Detouring by Address. 5 1 介绍   Api hook包括两部分:ap
Detours学习之九:用于路由目标函数的api
jyl_sh的专栏
10-28 1453
用于路由目标函数的api DetourTransactionBegin DetourUpdateThread DetourAttach DetourAttachEx DetourAllocateRegionWithinJumpBounds DetourDetach DetourSetIgnoreTooSmall DetourSetRetainRegions DetourSetSystemRegionLowerBound DetourSetSystemRegionUpperBound D
Detour使用方法以及原理
热门推荐
Seanyxie Blog
07-15 1万+
Detour的用法示例
Detours使用——踩坑之路
m0_63548806的博客
12-14 1553
运行完成后可以看到Detours里面的src文件夹下面有detours.h与detours.cpp,在lib.x64文件夹下面有detours.lib,我们后续使用Detours就需要这几个文件。注意,这里使用这几个文件的需要将文件复制到项目下面来,打开你的项目文件,确保下面有这几个文件,因为vs添加文件的话是不会将文件复制过来的(踩坑之一)。这个时候需要先运行vs中的一个bat文件,我的路径如下,直接将这个文件拖入cmd命令窗口中。下载的时候记住你下载的位置,默认·下载的话一般在这里面。
detours 使用
03-10
提供的多个Word文档可能是详细的Detours使用教程或者示例代码,逐一阅读这些文档将有助于深入理解Detours使用方法和技巧。每个文档可能涵盖不同的主题,如基本概念、示例应用、常见问题等,确保仔细研读,实践...
Detours支持库
07-24
Detours支持库是一种在Windows平台上广泛使用的动态代码插桩工具,由Microsoft Research开发并维护。这个库提供了一种高效、灵活的方法来拦截和修改其他进程中的函数调用,无需重新编译或链接目标代码。这一技术在...
detours例子
05-30
在“detourAPIHook”这个例子中,我们可以看到如何使用 Detours 库来钩子一个API函数。例如,我们可能想要在每次调用 `CreateFile` 函数时都执行一些额外的操作,如记录日志或改变参数。Detours 提供了 `...
detours x64 lib header
06-09
在实际项目中,你可以通过搜索“Detours x64 使用教程”或者查看Microsoft官方文档来获取更详细的使用方法和示例代码。此外,由于Detours的底层操作涉及到汇编和内存操作,深入理解这些概念将有助于你更有效地利用这...
Detours-4.01 2022最新包
02-19
3. **文档**:可能包含PDF或其他格式的文档,详细解释了库的使用方法和API函数的用法。 4. **编译脚本和配置文件**:帮助开发者构建和测试示例代码,了解库的编译和链接过程。 要使用Detours,首先需要将其引入到...
使用x86的detours库编写hook-dll
学习,思考,记录
01-08 851
#include "detours.h" #pragma comment(lib,"detours.lib") typedef HANDLE (WINAPI *HOOK_CreateFileW)(LPCWSTR lpFileName, DWORD dwDesiredAcces, DWORD dwShareMode, LPSECU
Detours使用与原理分析
wl_tian_dao_chou_qin的专栏
08-05 3245
1.什么Detours Detours是经过微软认证的一个开源Hook库,其作用是拦截应用层及系统层API,注入进程代码等功能,能在无源码的情况下修改原API功能,具有线程安装效率高稳定的特点
Detours注入DLL钩子入门教程
DOwnstairs的专栏
03-26 4321
本教程非常初级,适合新手食用 开发环境,WIN10 64bit, VS2022 首先在GITHUB下载源码。GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.Detours is a software package for monitor...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙语者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值