API拦截之Detours

最新推荐文章于 2022-04-26 00:04:26 发布
最新推荐文章于 2022-04-26 00:04:26 发布
阅读量544 收藏
点赞数
分类专栏: Windows C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/idasm/article/details/8205763
版权

Detours是一个字x86机器上拦截任意Win32二进制函数的库。拦截代码在运行时动态的注入。Detours使用用户提供的拦截函数将一个无条件跳转指令替换目标函数起始的少数指令。拦截代码将目标函数替换为跳板函数。跳板函数的地址被放在目标函数指针中。拦截函数能够替换目标函数,也可以在跳板函数中通过目标函数指针作为子调用来执行目标函数,从而扩展目标函数的语义。

Detours在执行的时候被插入。目标函数的代码在内存中被修改,而不是磁盘,因此使其在一个非常精细的粒度中拦截二进制函数。例如,一个可执行程序中的某个DLL中的处理过程被拦截,而同时在其它的可执行程序中的这个DLL中的这个处理过程不会被拦截。不像DLL重链接或静态定向,Detours库中的拦截技术,不论函数是在应用程序中还是系统中,都可以有保障的定位目标函数。

除了基本的拦截功能外,Detours也包含编辑任何库的DLL导入表、附加任意的数据节到已经存在的二进制程序以及为为新进程加载一个DLL的功能。一旦被加载到进程中,被加载的DLL可以拦截这个进程中的任何函数,无论是应用程序库还是像Windows API这样的系统库函数。

idasm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Detours2.1Express和远程线程注入拦截iphlpapi中NetAdaptersInfo的示例
02-21
利用Detours2.1Express开发包 拦截iphlpapi中NetAdaptersInfo的示例 其中开发包修改了一些内容避免调用detoured.dll因为在这没什么用。 包含:使用远程线程注入的启动程序 使用Detours的钩子DLL 被注入程序。 Detours.lib与Detours.h
Hook技术之API拦截Detours
最新发布
01-16
Detour 静态 C:. ├─include │ detours.h │ detver.h ├─lib.X64 │ detours.lib │ detours.pdb └─lib.X86 detours.lib detours.pdb
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 9899
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
使用Detours进行API拦截
dpull.com
01-30 1141
index next | previous | C++ Example 1.0 documentation » 其他 » Table Of Contents 使用Detours进行API拦截 安装Detours简单的API拦截示例 Previous topic 其他 Next topic reStructuredText 入门
Detours 小试牛刀之拦截 API 函数APIHook)
三断笛
03-03 2277
无意之中看到 Microsoft Research 里面新出了好东西,Detours,开放源代码,实现了拦截跨进程 API 函数等等功能,从它提供的例程来看,还支持 COM,DCOM 等等。。。以前 Hook API 非常麻烦,Win9X 下由于没有公开的接口,各大厂商为了实现拦截API,使用了各种魔术代码,对于外人来说,高深莫测。虽然 WinNT 平台相对容易一些,但是还是需要编写大量的代码,D
使用Detours截获windows api
逆枫 -- C++/Qt工程师、创业者
03-16 1572
1,目的 介绍微软的一个用来截获系统APIdetours的简单用法,示例截获MessageBox的方法。 2,实现 win32控制台程序: #include "stdafx.h" #include #include "detours.h" #include #include #pragma comment(lib, "detours.lib") #pr
APIHook(detours).rar_APIHOOK_API拦截_C++ Detours_detours_nativeap
09-22
在IT领域,API Hook(API拦截)是一种技术,允许开发者拦截和修改系统或应用程序中特定API函数的行为。这种技术在调试、监控、日志记录、性能分析以及恶意软件分析等场景下广泛应用。Detours是微软研究实验室开发的...
使用Detours拦截API的程序
01-29
本篇文章将深入探讨如何使用Detours来实现API拦截。 首先,Detours的核心原理是基于钩子(Hook)技术,它通过动态二进制代码注入来替换目标函数的入口点,使得每次调用该函数时,实际上都会先执行我们设定的...
Detours实现API拦截资料及源码
02-18
共包括: 1.pdf资料,API Hooking with MS Detours 2.源码,APIHookingComplete.zip 3.编译好的目标码,APIBin.zip 网上可下载得到MS-Detours
API-Hooking-with-MS-Detours.zip_API hooking_detours
09-24
API Hooking是一种技术,它允许开发者拦截和修改特定API(应用程序接口)的调用行为,以便在不修改原始代码的情况下实现额外的功能或监控系统活动。在这个案例中,我们讨论的是使用Microsoft Detours来实现API ...
网络拦截,远程线程,dll注入
01-30
该程序是采用vc开发的,主界面主要是获取系统进程(demo 不包含源码,如果需要源码访问我的资源下载,本来是想一起打包的,给打包掉了) 可以根据系统菜单对系统进程做些简单操作,例如关闭进程等。。。 程序中夜附带了hook。dll,本dll主要用于远程线程注入, 然后截获目标进程的网络通讯信息, tcp(send,recv) udp(sendto,recvfrom) 该程序同样也包括怎么来加入编译参数适目标文件尽可能的小 希望对想学习远程线程注入,网络拦截包的朋友有点帮助 后续的展示功能业余时间开发中...
Detours实现API拦截(1)
weixin_33725722的博客
11-25 178
Detours使用说明由于原版是英文,所以翻译时不能完全正确,同时也加入本人的见解。我用的是Detours 1.5,这个版本的LIB要重新编译才能使用不然会提示连接出错。的源文件在src里,把它重新编译一次可生成DETOURS.LIB和头文件。这是关键不然用了LIB文件夹的文件你就搞爆头也总是出错。本人经验。在SAMPLES里有很多例子。你要把它完全搞懂那你肯定是高手,往下的就不要看了,呵呵。...
Detours学习之四:拦截二进制函数
jyl_sh的专栏
10-28 602
拦截二进制函数 Detours支持拦截函数调用。拦截代码在运行时动态应用。Detours将目标函数的前几个指令替换为无条件跳转到用户提供的detour函数。来自目标函数的指令保存在trampoline函数中。trampoline由从目标函数中删除的指令和无条件地转移到目标函数的其余部分组成。 当执行到达目标函数时,控制直接跳转到用户提供的detour函数。detour函数执行任何适当的拦截预处理。detour函数可以将控制权返回给源函数,也可以调用trampoline函...
windows使用detours实现进程拦截实操
weixin_38526093的博客
04-26 2484
Detours是微软开发的一个函数,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址
windows下的API拦截---利用detours操作
Leo的历练之道
01-29 6196
API拦截技术是一种比较常见的技术,对某个软件使用的系统API进行拦截,可以改变软件的行为,从而达到自己的目的。关于拦截技术的原理,Jeffy在《Windows核心编程》里面介绍的非常详尽,就是通过PE文件的导入表获取到保存了Windows API函数地址的那个地方,然后把API的内存地址保存起来,把存放API地址的那个地方的内容改成我们自定义函数的地址,这样就实现拦截效果了。可以简单看下流程
关于detours拦截api,导致的异常排查
徐新华的专栏
04-20 770
<br />大家在使用第三方动态的时候,如果遇到莫名奇妙的内存非法访问的时候,可以查看一下该动态是否用了api hook,这时候注意的是loadlibrary后,不能水边freelibary,否则进程空间里面被hook函数所指地址不存在,导致非法访问。切记。
编程c语言被windows拦截,C语言调用detours劫持WindowsAPI
weixin_39611765的博客
05-18 281
本帖最后由 Git_man 于 2017-2-14 18:32 编辑00detoursdetours是微软亚洲研究院出品的信息安全产品,用于劫持可用Detours Express 3.0编译生成detours.lib01劫持MessageBoxW()vs2015创建空项目,源文件中添加msg.c把detours.h、detours.lib、detver.h文件复制到msg.c同目录下输入M...
使用detours实现劫持
weixin_30767921的博客
01-29 216
第一步:下载detours3.0,安装detours 第二步:构建文件,nmake编译 第三步:包含文件和头文件 #include “detours.h” //载入头文件 #pragma comment(lib,”detours.lib”) //表明要使用静态 第四步:定义旧函数指针指向原来的函数 static int (o...
Detours 劫持
weixin_30662849的博客
10-11 89
在使用 Detours 劫持之前必须得拥有这两个东西:detours.h 和 detours.lib。 为了这两个东西我真的是弄了大半天,本着自己动手丰衣足食的思想: 我去 GitHub 克隆了一份来自己编译,对着网上的教程弄,在编译的时候就是各种 bug。 试了一次又一次,算了还是找别人编译好了的用吧!目前最新版本是 Detours 4.01 版。 拿到编译好的头文件和后,我放到 VC...
api hook 拦截 复制
08-04
API Hook是一种用于拦截应用程序的API调用的技术。拦截复制API的目的是为了在复制操作发生之前或之后对其进行自定义处理。 通过API Hook,我们可以修改或扩展应用程序的行为。当拦截复制API时,可以在复制操作执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值