Detours学习之十一:用于访问已加载的二进制文件和有效负载的api

最新推荐文章于 2021-10-29 09:31:41 发布
最新推荐文章于 2021-10-29 09:31:41 发布
阅读量690 收藏
点赞数
分类专栏: 系统内核 windows内核 C/C++ 文章标签: 系统内核 Detours C/C++ 内核编程 安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jyl_sh/article/details/121017173
版权
系统内核 同时被 3 个专栏收录
108 篇文章 28 订阅
订阅专栏
C/C++
66 篇文章 0 订阅
订阅专栏
windows内核
62 篇文章 37 订阅
订阅专栏

用于访问已加载的二进制文件和有效负载的api

一、DetourEnumerateModules

枚举进程中的PE二进制文件。

  • 定义

HMODULE DetourEnumerateModules(_In_opt_ HMODULE hModuleLast);

  • 参数

hModuleLast:最后枚举模块的句柄。传递NULL以启动进程开始时的枚举。

  • 返回值

进程中加载的下一个模块的句柄,如果枚举完成则为NULL。

  • 说明

detourenumeratemodule枚举加载到进程中的所有PE二进制文件。一旦一个模块被枚举,它的入口点可以用DetourGetEntryPoint API定位,它的导出可以用detourrenumerateexports API枚举,它的有效负载可以用DetourFindPayload API找到。

  • 相关的应用实例

Disas, Einst, FindFunc, Tracebld, Tracelnk, Tracereg, Tryman,

二、DetourGetEntryPoint

返回模块的入口点。

  • 定义

PVOID DetourGetEntryPoint(_In_opt_ HMODULE HMODULE);

  • 参数

hModule:需要入口点的模块句柄。如果该参数为NULL,则DetourGetEntryPoint返回用于创建调用进程的模块的入口点(. exe)。

  • 返回值

如果找到,返回模块的入口点;否则,返回NULL。

  • 错误代码

该函数将根据需要设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

NO_ERROR:指定模块没有入口点。

ERROR_BAD_EXE_FORMAT:指定模块的MZ报头无效。

ERROR_EXE_MARKED_INVALID:指定模块的NT COFF头无效。

ERROR_INVALID_EXE_SIGNATURE:指定模块的NT COFF头签名无效。

ERROR_EXE_MARKED_INVALID:指定模块的PE头无效,解析出错。

  • 说明

DetourGetEntryPoint返回模块的入口点。对于. exe文件,入口点是运行时启动运行时的代码的开始。对于. dll文件,入口点是DllMain函数代码的开始部分。

休眠示例展示了如何通过绕过程序的入口点来捕获DLL初始化后的程序执行。

  • 相关的应用实例

Disas, Dumpe, FindFunc, Tracebld, Slept。

三、DetourGetModuleSize

返回模块的加载大小。

  • 定义

ULONG DetourGetModuleSize(_In_ HMODULE HMODULE);

  • 参数

hModule:需要加载大小的模块的句柄。

  • 返回值

如果可以确定,返回模块的大小(以字节为单位);否则,返回0。

  • 错误代码

该函数将根据需要设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

ERROR_BAD_EXE_FORMAT:指定模块的MZ报头无效。

ERROR_EXE_MARKED_INVALID:指定模块的NT COFF头无效。

ERROR_INVALID_EXE_SIGNATURE:指定模块的NT COFF头签名无效。

  • 相关的应用实例

DisasTracebld.

四、DetourEnumerateExports

枚举模块中的导出。

  • 定义

BOOL DetourEnumerateExports(_in_hmodule HMODULE, _In_opt_ PVOID pContext, _in_pf_detour_enumerate_export_callback pfExport);

  • 参数

hModule:要枚举其导出的模块的句柄。

pContext:将被传递给pfExport的程序特定的上下文。

pfExport:每个从模块导出的符号调用一次的回调函数。

  • 返回值

如果模块导出被枚举,则为TRUE;否则错误。

  • 错误代码

该函数将根据需要设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

ERROR_BAD_EXE_FORMAT:指定模块的MZ报头无效。

ERROR_EXE_MARKED_INVALID:指定模块的NT COFF头无效。

ERROR_INVALID_EXE_SIGNATURE:指定模块的NT COFF头签名无效。

  • 相关的应用实例

Disas, Dumpe, Einst, Tracelnk, Tracereg。

五、DetourEnumerateImports

枚举模块中的导入。

  • 定义

BOOL DetourEnumerateImports(_In_opt_ HMODULE HMODULE, _In_opt_ PVOID pContext, _In_opt_ PF_DETOUR_IMPORT_FILE_CALLBACK pfImportFile, _In_opt_ PF_DETOUR_IMPORT_FUNC_CALLBACK pfImportFunc);

  • 参数

hModule:要枚举其导入的模块的句柄。

pContext:程序特定的上下文,将被传递给pfImportFile和pfImportFunc。

pfImportFile:每个模块导入的文件调用一次的回调函数。

pfImportFunc:每个模块导入的函数调用一次的回调函数。

  • 返回值

如果模块导入被枚举,则为TRUE;否则错误。

  • 错误代码

该函数将根据需要设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

ERROR_BAD_EXE_FORMAT:指定模块的MZ报头无效。

ERROR_EXE_MARKED_INVALID:指定模块的NT COFF头无效。

ERROR_INVALID_EXE_SIGNATURE:指定模块的NT COFF头签名无效。

  • 说明

如果你需要一个指向导入地址表(“IAT”)的指针,你应该使用DetourEnumerateImportsEx。

  • 相关的应用实例

Tracebld。

六、DetourEnumerateImportsEx

枚举模块中的导入。

  • 定义

BOOL DetourEnumerateImportsEx(_In_opt_ HMODULE HMODULE, _In_opt_ PVOID pContext, _In_opt_ PF_DETOUR_IMPORT_FILE_CALLBACK pfImportFile, _In_opt_ PF_DETOUR_IMPORT_FUNC_CALLBACK_EX pfImportFunc);

  • 参数

hModule:要枚举其导入的模块的句柄。

pContext:程序特定的上下文,将被传递给pfImportFile和pfImportFunc。

pfImportFile:每个模块导入的文件调用一次的回调函数。

pfImportFunc:每个模块导入的函数调用一次的回调函数。

  • 返回值

如果模块导入被枚举,则为TRUE;否则错误。

  • 错误代码

该函数将根据需要设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

ERROR_BAD_EXE_FORMAT:指定模块的MZ报头无效。

ERROR_EXE_MARKED_INVALID:指定模块的NT COFF头无效。

ERROR_INVALID_EXE_SIGNATURE:指定模块的NT COFF头签名无效。

  • 说明

DetourEnumerateImports和DetourEnumerateImportsEx非常相似。DetourEnumerateImports的回调函数接收一个指针,该指针指向Import Address Table(“IAT”)所指向的代码(或更不常见的数据)。DetourEnumerateImportsEx的回调函数接收到一个指向IAT的指针。

  • 相关的应用实例

Tracebld。

七、DetourFindPayload

返回模块中指定的有效负载的地址。

  • 定义

_Writable_bytes_(*pcbData)
_Readable_bytes_(*pcbData)
_Success_(return != NULL)
PVOID DetourFindPayload(
    _In_opt_  HMODULE hModule,
    _In_      REFGUID rguid,
    _Out_opt_ DWORD  *pcbData
);

  • 参数

hModule:存放指定负载的模块。

rguid:指定负载的GUID。

pcbData:以字节为单位接收指定负载的大小的变量。

  • 返回值

指向指定负载的指针,如果负载不存在则为NULL。

  • 错误代码

如果无法在模块中搜索目标载荷,该函数将设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

ERROR_BAD_EXE_FORMAT:指定模块的MZ报头无效。

ERROR_EXE_MARKED_INVALID:指定模块的NT COFF头无效。

ERROR_INVALID_EXE_SIGNATURE:指定模块的NT COFF头签名无效。

  • 说明

DetourFindPayload返回模块中指定的有效负载的地址。有效负载可以在编译链接时创建,参见Einst,也可以使用DetourBinarySetPayload API将其插入现有的二进制文件。

有关使用Detours和有效负载进行二进制编辑的更多信息,请参阅Detours概述中的有效负载和DLL导入编辑。

  • 相关的应用实例

Einst Tracebld。

八、DetourFindPayloadEx

返回进程中指定的有效负载的地址。

  • 定义

_Writable_bytes_(*pcbData)
_Readable_bytes_(*pcbData)
_Success_(return != NULL)
PVOID DetourFindPayloadEx(
    _In_      REFGUID rguid,
    _Out_opt_ DWORD  *pcbData
);

  • 参数

rguid:指定负载的GUID。

pcbData:以字节为单位接收指定负载的大小的变量。

  • 返回值

指向指定负载的指针,如果负载不存在则为NULL。

  • 错误代码

如果无法在模块中搜索目标载荷,该函数将设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

ERROR_BAD_EXE_FORMAT:指定模块的MZ报头无效。

ERROR_EXE_MARKED_INVALID:指定模块的NT COFF头无效。

ERROR_INVALID_EXE_SIGNATURE:指定模块的NT COFF头签名无效。

ERROR_MOD_NOT_FOUND:枚举进程中的所有模块,发现不匹配的有效负载。

  • 说明

DetourFindPayload接受一个用于搜索负载的模块,而DetourFindPayloadEx则枚举流程中的每个模块,搜索指定的负载。

DetourFindPayloadEx返回模块中指定负载的地址。有效负载可以在编译链接时创建,参见Einst,也可以使用DetourBinarySetPayload API将其插入现有的二进制文件。

有关使用Detours和有效负载进行二进制编辑的更多信息,请参阅Detours概述中的有效负载和DLL导入编辑。

  • 相关的应用实例

PlayLoads,Einst Tracebld。

九、DetourFindRemotePayload

返回远程进程中指定的payloads有效负载的地址。

  • 定义

_Success_(return != NULL)
PVOID DetourFindRemotePayload(
    _In_      HANDLE  hProcess,
    _In_      REFGUID rguid,
    _Out_opt_ DWORD  *pcbData
);

  • 参数

hProcess:搜索指定负载的进程。

rguid:指定负载的GUID。

pcbData:以字节为单位接收指定负载的大小的变量。

  • 返回值

指向指定负载的指针,如果负载不存在则为NULL。

  • 错误代码

失败时,DetourFindRemotePayload将返回NULL。扩展的错误代码信息可以通过调用GetLastError来检索。

  • 说明

DetourFindPayload和DetourFindPayloadEx在当前进程中搜索一个负载,DetourFindRemotePayload在不同的进程中搜索一个负载。然后可以使用ReadProcessMemory或WriteProcessMemory读取或写入返回值。

有关使用Detours和有效负载进行二进制编辑的更多信息,请参阅Detours概述中的有效负载和DLL导入编辑。

  • 相关的应用实例

Payloads

十、DetourGetContainingModule

在一个包含已知函数的进程中找到PE二进制文件。

  • 定义

HMODULE DetourGetContainingModule(_In_ PVOID vpAddr);

  • 参数

pvAddr:进程中的函数地址。

  • 返回值

包含模块的句柄,如果地址不在装入的PE二进制文件中,则为NULL。

  • 相关的应用实例

Tryman

十一、DetourGetSizeOfPayloads

返回模块内所有有效载荷的大小。

  • 定义

DWORD DetourGetSizeOfPayloads(
    _In_ HMODULE hModule
);

  • 参数

hModule:要返回的有效载荷大小的模块。

  • 返回值

如果成功,返回模块内有效负载的字节大小;否则,返回0。

  • 错误代码

该函数将根据需要设置以下错误代码之一。在函数返回后,可以通过调用GetLastError来检索错误代码。

ERROR_INVALID_HANDLE:模块句柄无效。

  • 相关的应用实例

Tryman

jyl_sh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
API-Hooking-with-MS-Detours.zip_API hooking_detours
09-24
通过学习和实践这个"APIHookingComplete"项目,开发者可以深入了解Windows API的工作原理,掌握Detours库的使用,并提升在系统级别编程的能力。同时,这也是理解和防止API Hooking攻击的重要步骤,对于安全研究和...
Detours库Windows API Hook
南宫封清的博客
02-24 7157
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
Detours学习之八:DetoursAPI 函数参考
jyl_sh的专栏
10-28 601
Detours API 函数参考 The Table of Contents provides an alphabetical listing of the available API functions, which can be grouped as follows: 目录按字母顺序列出可用的API功能,可分为以下类别: APIs For Detouring Target Functions 用于迂回目标函数的api DetourTransactionBegin DetourUpdateThre
Detours学习之五:PayLoads有效负载和DLL导入编辑
jyl_sh的专栏
10-28 3721
PayLoads有效负载和DLL导入编辑 除了附加和分离detours函数的api外,detours包还包括附加任意数据段(称为有效负载)到Windows二进制文件和编辑DLL导入表的apiDetours中的二进制编辑api是完全可逆的;Detours二进制文件中存储恢复信息,以便在将来的任何时候删除编辑。 Windows PE二进制文件格式。 上图显示了Windows Portable Executable (PE)二进制文件的基本结构。Windows二进制...
程序员常见系统错误代码大全:1到15841
热门推荐
南北极之间
02-19 9万+
程序员常见系统错误代码大全:1到15841 提示:使用浏览器的Ctrl + F键盘组合来搜索错误代码。要么搜索错误消息本身,要么只搜索错误代码,例如“错误代码635”。 系统错误代码大全:1到15841 错误代码1:功能不正确。[ERROR_INVALID_FUNCTION(0x1)] 错误代码2:系统找不到指定的文件。[ERROR_FILE_NOT_FOUND(0...
Detours-Express-2.1-master.zip_APIHOOK_detours_maplestory
最新发布
09-24
APIHOOK_detours_maplestory:使用Detours库在Windows上实现Maplestory的API钩子》 在软件开发中,API钩子是一种强大的技术,它允许开发者监控或修改其他程序对特定API函数的调用行为。在Windows环境中,Detours...
API_HOOK监控删除和移动带有某字样的文件.rar
04-21
API Hook被用来拦截与文件操作相关的API,例如`DeleteFile`和`MoveFile`,这些都是Windows API用于删除和移动文件的关键函数。 一旦这些API被拦截,我们可以添加自定义逻辑来检查被操作的文件名。如果文件名中...
APIHook(detours).rar_APIHOOK_API拦截_C++ Detours_detours_nativeap
09-22
在IT领域,API Hook(API拦截)是一种技术,允许开发者拦截和修改系统或应用程序中特定API函数的行为。这种技术在调试、监控、日志记录、性能分析以及恶意软件分析等场景下广泛应用。Detours是微软研究实验室开发的...
Detours:Detours是一个软件包,用于监视和检测Windows上的API调用。 它以源代码形式分发-windows source code
03-25
Detours是一个软件包,用于监视和检测Windows上的API调用。 许多ISV都使用了Detours,Microsoft的产品团队也使用了Detours。 现在可以在标准开放源代码许可( )下使用Detours。 这简化了使用Detours的程序员的许可...
获取模块长度
friendan的专栏
11-16 4039
// 获取模块长度 DWORD GetModuleLen(HMODULE hModule) { PBYTE pImage = (PBYTE)hModule; PIMAGE_DOS_HEADER pImageDosHeader; PIMAGE_NT_HEADERS pImageNtHeader; pImageDosHeader = (PIMAGE_DOS_HEADER)pImage; if
获取自身驱动的模块地址和大小长度
追逐光芒,追随内心
10-28 571
//功能:模块基址,模块大小 VOID GetKernelModuleBase(PULONG64 KrnlBase, PULONG64 KrnlSize) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(.
detours3.0文档翻译
buck84的专栏
12-14 1万+
拦截二进制函数         Detours库可以在运行过程中动态拦截函数调用。detours将目标函数钱几个指令替换为一个无条件跳转,跳转到用户定义的detour函数。被拦截的函数保存在trampoline函数中。trampoline保存了目标函数移除的指令和一个无条件跳转,可以跳转到目标函数的执行体部分(未被移除的部分)。         当执行到目标函数的时候,直接跳转到用户提供的de
Detour开发包介绍(1):概述
Jack Zhou的专栏
09-19 3008
微软研究院Detours开发包是一个用来在二进制级别上对程序中的函数(Function)或者过程(Procedure)进行修改的工具库。一般我们将这种技术称为Hook。在现实中,这种技术可以应用在很多场景下。比如截获某些Windows API,在实际调用到系统函数前进行一些过滤工作;软件中使用到了一些没有源代码的第三方库,但是又想增强其中某些函数的功能;修改函数返回值;为调试以及性能测试加入附加的
Detours学习之一:概述
jyl_sh的专栏
10-20 1040
Microsoft Research Detours Package概述 Detours是一个用于在ARM, ARM64, X86, X64和IA64机器上拦截二进制函数的库。Detours最常用来拦截应用程序中的Win32 api调用,比如添加调试工具。拦截代码在运行时动态应用。Detours将目标函数的前几个指令替换为无条件跳转到用户提供的detour函数。来自目标函数的指令被放置在蹦床上。蹦床的地址放在目标指针中。detour函数可以替换目标函数,也可以通过目标指针作为子例程调用目标...
Detours实现APIHOOK
Lassewang的成长历程
08-15 4137
Detours实现APIHOOK Detours是一个软件开发库,它用于实现拦截Win32二进制代码中的API函数。 它使用一个Jmp指令替换了目标函数的前面几个字节,使得控制直接调用实现的 Detours函数。并通过一个trampoline函数保留了原来函数的功能调用。 我们知道,实现APIHOOK主要有两个重要环节,一是如何把代码注入到目标地 址空间,二是如何让自己的代码被调用。
微软研究院Detour开发包之API拦截技术
weixin_33827731的博客
04-18 214
我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访 问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业 化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Detou...
Detours学习之十二:Detours API用于修改二进制文件api
jyl_sh的专栏
10-29 760
用于修改二进制文件api DetourBinaryOpen DetourBinaryEnumeratePayloads DetourBinaryFindPayload DetourBinarySetPayload DetourBinaryDeletePayload DetourBinaryPurgePayloads DetourBinaryEditImports DetourBinaryResetImports DetourBinaryWrite DetourBinaryClose 一
逆向工程与软件安全:探索二进制的秘密
"《有趣的二进制:软件安全与逆向分析》是一本关于软件安全和逆向工程的书籍,适合对计算机底层原理和安全感兴趣的读者。书中详细介绍了如何通过逆向工程理解软件的二进制代码,以及如何防止软件受到攻击和反编译。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jyl_sh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值