Detours使用——踩坑之路

已于 2023-12-14 17:06:25 修改
阅读量1.3k 收藏 16
点赞数 15
文章标签: c++
于 2023-12-14 15:14:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63548806/article/details/134996049
版权

在官网安装https://github.com/microsoft/detours

下载下来后如下

现在我们需要nmake运行makefile文件

这需要我们下载vs(visual studio Visual Studio: IDE and Code Editor for Software Developers and Teams),不建议使用vscode,我整了好久都没整出来

下载的时候记住你下载的位置,默认·下载的话一般在这里面

C:\Program Files\Microsoft Visual Studio

然后我们需要找到nmake.exe所在的位置

C:\Program Files\Microsoft Visual Studio\2022\Community\VC\Tools\MSVC\14.38.33130\bin\Hostx64\x64

(我是x64,所以后面是Hostx64)

然后将这个路径添加到系统环境变量中,这样我们就可以使用namke了

进入我们保存Detours的文件夹下面

现在还不能直接nmake,因为会出现报错:fatal error C1034: windows.h: 不包括路径集(踩坑之一)

这个时候需要先运行vs中的一个bat文件,我的路径如下,直接将这个文件拖入cmd命令窗口中

C:\Program Files\Microsoft Visual Studio\2022\Community\VC\Auxiliary\Build\vcvars64.bat

然后就可以运行nmake,但是我最后还是有报错,不过并不影响后续的操作,因此暂时忽略

运行完成后可以看到Detours里面的src文件夹下面有detours.h与detours.cpp,在lib.x64文件夹下面有detours.lib,我们后续使用Detours就需要这几个文件。

在vs2022中使用Detours

注意,这里使用这几个文件的需要将文件复制到项目下面来,打开你的项目文件,确保下面有这几个文件,因为vs添加文件的话是不会将文件复制过来的(踩坑之一)。

一个使用Detours实现Inline HOOK的实例代码

#include <windows.h>
#include <iostream>
​
#include "detours.h"
#pragma comment (lib,"detours.lib")
​
// 声明被Hook的原始函数指针
typedef BOOL(WINAPI* PFnMessageBoxW)(HWND, LPCWSTR, LPCWSTR, UINT);
​
// 定义一个指向原始MessageBoxW函数的指针
PFnMessageBoxW pfnMessageBoxW = MessageBoxW;
​
// 自定义的Hook函数,替代MessageBoxW
BOOL WINAPI MyMessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType) {
    // 在这里可以添加你的Hook逻辑
    std::wcout << "成功HOOK" << std::endl;
​
    // 调用原始的MessageBoxW函数
    return pfnMessageBoxW(hWnd, L"Hooked!", lpCaption, uType);
}
​
int main() {
    // 初始化Detours库
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    DetourAttach(&(PVOID&)pfnMessageBoxW, MyMessageBoxW); // 进行Hook
    DetourTransactionCommit();
​
    // 调用MessageBoxW,此时将调用到MyMessageBoxW
    MessageBoxW(nullptr, L"Hello, Detours!", L"Original", MB_OK);
​
    // 卸载Detours
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    DetourDetach(&(PVOID&)pfnMessageBoxW, MyMessageBoxW); // 卸载Hook
    DetourTransactionCommit();
​
    return 0;
}

poisondog
关注
  • 15
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Detours简介
oneVs1的专栏
10-20 1万+
Detours 是Microsoft开发一个库,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能:1 拦截x86机器上的任意的win32 API函数。2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours
最新编译好的Detours
06-07
Detours是微软开发的一个函数库,可用于捕获系统API。 HOOK函数 注入DLL 包含lib和.h
编译好的detours
07-31
Detours 是一个在x86平台上截获任意Win32函数调用的工具库。中断代码可以在运行时动态加载。编译好的detours静态库可直接使用vs系列的IDE加载使用
在VS 2022中配置和使用Detours
最新发布
weixin_41245990的博客
06-04 1063
detours是微软提供的一套函数库,主要用于win32 API的拦截。
使用Detours进行HOOK
qq_18811919的博客
03-31 604
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
Detours 的配置
weixin_33890526的博客
04-29 189
Detours是微软开发的一个库,可以在X86平台上截获任意Win32 API函数。 首先去微软官网上下载:http://research.microsoft.com/en-us/downloads/d36340fb-4d3c-4ddd-bf5b-1db25d03713d/ 接着根据下载到的Detours 安装,直接一直Next就可(可以修改安装路径) 再接着将安装后的 Detour...
detours介绍与使用
热门推荐
liujiayu2的专栏
12-23 1万+
Detours是微软开发的一个函数库,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作: 一.下载Detours      在http://research.microsoft.com/sn/detours 可免费下载Detours 二.安装Detours         一路NEXT 三.生成Detours库         在安装后的文件夹下找不到直接可以拿来用的
ROS:解决 无法打开源文件、VScode开发话题(msg)、服务(srv)、动作(action)、TF
weixin_44190648的博客
05-31 2834
解决 无法打开源文件,解决方法........创建名为msg的文件夹。定义msg文件,name、sex、age是变量,unknow、male、female是常量:Person.msg# 变量uint8 sexuint8 age#常量--添加功能包依赖:msg、srv-->其中:部分ROS版本中 exec_depend需要改为run_dependFILESPerson.msgstd_msgs之后catkin_make查看自己定义的msg。
Detour开发包之API拦截技术(转载)
johns78的专栏
11-02 602
标 题: 微软研究院Detour开发包之API拦截技术作 者: shangzh时 间: 2007-01-29,16:03链 接: http://bbs.pediy.com/showthread.php?t=38759我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访问源代码,我们可以轻而易举的使用重建
微软开发Detours函数库(好东西啊)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-30 1282
Detours是微软开发的一个函数库, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是:  拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。  为一个已在运行的进程创建一新线程,装入自己的代码并运行。  ---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windo
Detours使用说明.doc
05-30
"Detours is a library for intercepting arbitrary Win32 binary functions on x86 machines. Interception code is applied dynamically at runtime. Detours replaces the first few instructions of the target ...
detours 全1111
08-18
均可用 Detours64.lib detours.lib detours.h
detours.lib
09-13
detours.lib Detours-Express-3.0 Hook api
Detours4.0最新版HOOK库源码,支持32及64位程序,这是正版源码。官方是收费的。
09-09
Detours4.0最新版,支持32及64位程序,这是正版源码。官方是收费的。
detour 2.1
07-16
Detours是微软开发的一个函数库, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是: 拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。 为一个已在运行的进程创建一新线程,装入自己的代码并运行。 ---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windows NT上编写了一个程序,该程序能使有“调试程序”的用户权限的用户成为系统管理员,附录利用Detours库函数修改该程序使普通用户即可成为系统管理员 (在NT4 SP3上)。 一. Detours的原理 ---- 1. WIN32进程的内存管理 ---- 总所周知,WINDOWS NT实现了虚拟存储器,每一WIN32进程拥有4GB的虚存空间, 关于WIN32进程的虚存结构及其操作的具体细节请参阅WIN32 API手册, 以下仅指出与Detours相关的几点: ---- (1) 进程要执行的指令也放在虚存空间中 ---- (2) 可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行,再改写其内容,从而修改正在运行的程序 ---- (3) 可以使用VirtualAllocEx从一个进程为另一正运行的进程分配虚存,再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行,并把要执行的指令以二进制机器码的形式写入,从而为一个正在运行的进程注入任意的代码 ---- 2. 拦截WIN32 API的原理 ---- Detours定义了三个概念: ---- (1) Target函数:要拦截的函数,通常为Windows的API。 ---- (2) Trampoline函数:Target函数的复制品。因为Detours将会改写Target函数,所以先把Target函数复制保存好,一方面仍然保存Target函数的过程调用语义,另一方面便于以后的恢复。 ---- (3) Detour 函数:用来替代Target函数的函数。 ---- Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令(共5个字节)把对Target函数的调用引导到自己的Detour函数, 把Target函数的开头的5个字节加上JMP Address_of_ Target _ Function+5作为Trampoline函数。例子如下: 拦截前:Target _ Function: ;Target函数入口,以下为假想的常见的子程序入口代码 push ebp mov ebp, esp push eax push ebx Trampoline: ;以下是Target函数的继续部分 …… 拦截后: Target _ Function: jmp Detour_Function Trampoline: ;以下是Target函数的继续部分 …… Trampoline_Function: ; Trampoline函数入口, 开头的5个字节与Target函数相同 push ebp mov ebp, esp push eax push ebx ;跳回去继续执行Target函数 jmp Target_Function+5 ---- 3. 为一个已在运行的进程装入一个DLL ---- 以下是其步骤: ---- (1) 创建一个ThreadFuction,内容仅是调用LoadLibrary。 ---- (2) 用VirtualAllocEx为一个已在运行的进程分配一片虚存,并把权限更改为可读可写可执行。 ---- (3) 把ThreadFuction的二进制机器码写入这片虚存。 ---- (4) 用CreateRemoteThread在该进程上创建一个线程,传入前面分配的虚存的起始地址作为线程函数的地址,即可为一个已在运行的进程装入一个DLL。通过DllMain 即可在一个已在运行的进程中运行自己的代码。 二. Detours库函数的用法 ---- 因为Detours软件包并没有附带帮助文件,以下接口仅从剖析源代码得出。 ---- 1. PBYTE WINAPI DetourFindFunction(PCHAR pszModule, PCHAR pszFunction) ---- 功能:从一DLL中找出一函数的入口地址 ---- 参数:pszModule是DLL名,pszFunction是函数名。 ---- 返回:名为pszModule的DLL的名为pszFunction的函数的入口地址 ---- 说明:DetourFindFunctio
detours 使用
03-10
提供的多个Word文档可能是详细的Detours使用教程或者示例代码,逐一阅读这些文档将有助于深入理解Detours使用方法和技巧。每个文档可能涵盖不同的主题,如基本概念、示例应用、常见问题等,确保仔细研读,实践...
Detours库简单使用程序
08-09
在本案例中,“Detours库简单使用程序”是一个实例,展示了如何利用Detours库来Hook系统API中的`send`和`recv`函数,这两个函数分别用于在网络通信中发送和接收数据。 首先,我们需要理解Detours库的工作原理。...
detours_Detours1.5_
09-29
"Debug compilation" 指的是使用特定的编译器选项和配置来构建Detours,以便在调试过程中获得更多的信息和控制。这通常包括启用调试信息,如符号表,以及优化级别的调整,使得调试时更容易追踪代码执行流程。在...
Detours-master_detours_hook_
09-30
Detours库的使用非常广泛,尤其在系统监控、调试工具、以及性能分析等领域。 Detours的工作原理主要基于动态代码替换。它通过在目标函数的入口点处插入一些汇编指令,将控制流转向一个自定义的处理程序(也就是你的...
detours 1.5
12-01
Detours 1.5 是一款由微软研究院开发的软件包,用于在Windows操作系统上进行应用程序的二进制代码修改和勾取。Detours 1.5 提供了一些API和工具,允许开发者在不修改源代码的情况下,实现对已编译的应用程序的功能拦截、修改或重定向。 例如,Detours 1.5 可以用于实施函数钩子,即在应用程序的函数调用前后插入自定义的代码。这样,开发者可以在函数被调用时执行一些额外的操作,比如记录日志、修改参数或返回值等。通过使用Detours 1.5,开发者可以轻松地将这些功能集成到目标应用程序中,而无需修改其原始代码。 Detours 1.5 还提供了一些其他的功能,如API重定向、虚函数重定向和模块捕获等。这些功能使开发者能够在运行时修改和控制应用程序的行为,从而实现一些特定的需求。 总之,Detours 1.5 是一款功能强大的二进制代码修改和勾取工具包,为开发者提供了一种灵活且非侵入性的方式,对已编译的应用程序进行功能的拦截、修改和重定向。它在应用程序的调试、测试、分析等方面具有广泛的应用价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值