Detours Hook 工具源码阅读二

已于 2024-05-21 23:27:41 修改
阅读量628 收藏 22
点赞数 27
文章标签: c++ microsoft windows
于 2024-05-21 20:24:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ramonji/article/details/139100463
版权

这里写自定义目录标题

Detours Create Process & Load Dll API源码分析

Hook工作一般独立于宿主工程,甚至很多时候我们Hook的都不是自己的工程。那么如何注入就变成了一个严峻的问题。这部Detours API就是为了解决注入问题。

从withdll sample开始先看看疗效

D:\code\detour\Detours-main\bin.X64>withdll -d:simple64.dll sleep5.exe 2
withdll.exe: Starting: `sleep5.exe 2
withdll.exe:   with `D:\code\detour\Detours-main\bin.X64\simple64.dll'
simple64.dll: Starting.
simple64.dll: Detoured SleepEx().
simple64.dll: Removed SleepEx() (result=0), slept 2016 ticks.

通过withdll加载simple64.dll 并启动 sleep5.exe,这样simple64 中Hook了sleep API在sleep中也生效。我们来看看如何实现的。

镇楼原理图

在这里插入图片描述

withdll sample 源码

为了更好的理解主线流程,删减掉来部分不核心的代码

int CDECL main(int argc, char **argv)
{
    /// 
    // 参数解析 ,略
    /// 
    // Dlls合法性检验,略
    /// 
    // 创建进程
    // 参数拼接,略
    STARTUPINFOA si;
    PROCESS_INFORMATION pi;
    DetourCreateProcessWithDllsA(szFullExe[0] ? szFullExe : NULL, szCommand,
                                     NULL, NULL, TRUE, dwFlags, NULL, NULL,
                                     &si, &pi, nDlls, rpszDllsOut, NULL);
    // 唤醒主线程,直到运行结束,略
    return 0;
}

核心是调用Detours API DetourCreateProcessWithDllsA 创建进程 。

DetourCreateProcessWithDllsA函数分析

BOOL WINAPI DetourCreateProcessWithDllsA(_In_opt_ LPCSTR lpApplicationName,
                                         _Inout_opt_ LPSTR lpCommandLine,
                                         _In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes,
                                         _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
                                         _In_ BOOL bInheritHandles,
                                         _In_ DWORD dwCreationFlags,
                                         _In_opt_ LPVOID lpEnvironment,
                                         _In_opt_ LPCSTR lpCurrentDirectory,
                                         _In_ LPSTARTUPINFOA lpStartupInfo,
                                         _Out_ LPPROCESS_INFORMATION lpProcessInformation,
                                         _In_ DWORD nDlls,
                                         _In_reads_(nDlls) LPCSTR *rlpDlls,
                                         _In_opt_ PDETOUR_CREATE_PROCESS_ROUTINEA pfCreateProcessA)
{
    if (pfCreateProcessA == NULL) {
        pfCreateProcessA = CreateProcessA;
    }

    // 调用WindowsAPI创建进程并挂起
    if (!pfCreateProcessA(lpApplicationName,
                          lpCommandLine,
                          lpProcessAttributes,
                          lpThreadAttributes,
                          bInheritHandles,
                          dwCreationFlags | CREATE_SUSPENDED,
                          lpEnvironment,
                          lpCurrentDirectory,
                          lpStartupInfo,
                          lpProcessInformation)) {
        return FALSE;
    }

    // 两种方式加载DLL
    if (!DetourUpdateProcessWithDll(lpProcessInformation->hProcess, rlpDlls, nDlls) &&
        !DetourProcessViaHelperDllsA(lpProcessInformation->dwProcessId,
                                     nDlls,
                                     rlpDlls,
                                     pfCreateProcessA)) {

        TerminateProcess(lpProcessInformation->hProcess, ~0u);
        CloseHandle(lpProcessInformation->hProcess);
        CloseHandle(lpProcessInformation->hThread);
        return FALSE;
    }

    // 唤醒主线程
    ResumeThread(lpProcessInformation->hThread);
    CloseHandle(lpProcessInformation->hProcess);
    CloseHandle(lpProcessInformation->hThread);
    return TRUE;
}

先启动一个进程运行exe,在使用两种方式加载Dll。这里设置了启动后挂起,因此启动后的进程不会继续往下跑。

DetourUpdateProcessWithDll函数分析——加载方式1

BOOL WINAPI DetourUpdateProcessWithDll(_In_ HANDLE hProcess,
                                       _In_reads_(nDlls) LPCSTR *rlpDlls,
                                       _In_ DWORD nDlls)
{
    // 查找已加载的PE image中最后一个hModule 
    HMODULE hModule = NULL;
    HMODULE hLast = NULL;
    for (;;) {
        IMAGE_NT_HEADERS32 inh;
        if ((hLast = EnumerateModulesInProcess(hProcess, hLast, &inh, NULL)) == NULL) {
            break;
        }
        if ((inh.FileHeader.Characteristics & IMAGE_FILE_DLL) == 0) {
            hModule = hLast;
        }
    }

    // 检查是不是64位系统,略
    BOOL bIs64BitOS = TRUE;
    // 检查是不是32为应用
    BOOL bIs32BitProcess = FALSE;
    
    // 调用xxxEX继续加载
    return DetourUpdateProcessWithDllEx(hProcess,
                                        hModule,
                                        bIs32BitProcess,
                                        rlpDlls,
                                        nDlls);
}

检查系统是不是64位,exe是不是64,然后就继续调用DetourUpdateProcessWithDllEx了

DetourUpdateProcessWithDllEx函数分析

BOOL WINAPI DetourUpdateProcessWithDllEx(_In_ HANDLE hProcess,
                                         _In_ HMODULE hModule,
                                         _In_ BOOL bIs32BitProcess,
                                         _In_reads_(nDlls) LPCSTR *rlpDlls,
                                         _In_ DWORD nDlls)
{

    // 确认PE块代码是不是32位,略
    BOOL bIs32BitExe = FALSE;

    // 修改之前(DetourRestoreAfterWith)先保存各种headers
    DETOUR_EXE_RESTORE der;
    if (!RecordExeRestore(hProcess, hModule, der)) {
        return FALSE;
    }

    // exe是32位且进程是64位的处理逻辑
    if (bIs32BitExe && !bIs32BitProcess) {
        // 升级成64位
        UpdateFrom32To64(hProcess, hModule,
                              IMAGE_FILE_MACHINE_AMD64,
                              der)}

    // 64位进程,64位PE结构,加载DLL
    UpdateImports64(hProcess, hModule, rlpDlls, nDlls);

    /// Update the CLR header.
    // 更新CLR头:CLR(Common Language Runtime)头是.NET程序集的一部分
    // .net可执行文件特殊处理,略
    

     Save the undo data to the target process.
    // 上保存的 DETOUR_EXE_RESTORE der 拷贝到目标进程里,做为 撤销(操作需要使用的)数据
    DetourCopyPayloadToProcess(hProcess, DETOUR_EXE_RESTORE_GUID, &der, sizeof(der))return TRUE;
}

保存环境,把运行环境和exe都改成64位,然后调用UpdateImports64 Load Dll

UpdateImports64函数分析

这个函数实在是太晦涩了,允许我先吐一会……
uimports.cpp就这一个300行风格古怪的函数,大概率是祖传代码。
实在受不了了!理解这个函数需要了解Dll的加载过程,我们单开一篇文章来讲解吧。
略略略略略略略略略略略略
略略略略略略略略略略略略
略略略略略略略略略略略略

DetourProcessViaHelperDllsA函数分析——加载方式2

BOOL WINAPI DetourProcessViaHelperDllsA(_In_ DWORD dwTargetPid,
                                        _In_ DWORD nDlls,
                                        _In_reads_(nDlls) LPCSTR *rlpDlls,
                                        _In_ PDETOUR_CREATE_PROCESS_ROUTINEA pfCreateProcessA)
{  
    //把要加载的Dll都用AllocExeHelper处理一下,生成一个PDETOUR_EXE_HELPER结构
    PDETOUR_EXE_HELPER helper = NULL;
    AllocExeHelper(&helper, dwTargetPid, nDlls, rlpDlls)// 拼接WINDIR路径
    CHAR szExe[MAX_PATH];
    GetEnvironmentVariableA("WINDIR", szExe, ARRAYSIZE(szExe));
    // 拼出rundll32.exe的路径
    StringCchCatA(szExe, ARRAYSIZE(szExe), "\\syswow64\\rundll32.exe");
    CHAR szCommand[MAX_PATH];
    StringCchPrintfA(szCommand, ARRAYSIZE(szCommand),
                          "rundll32.exe \"%s\",#1", &helper->rDlls[0]);

    // 创建一个rundll32.exe的进程
    PROCESS_INFORMATION pi;
    STARTUPINFOA si;
    ZeroMemory(&pi, sizeof(pi));
    ZeroMemory(&si, sizeof(si));
    si.cb = sizeof(si);
    pfCreateProcessA(szExe, szCommand, NULL, NULL, FALSE, CREATE_SUSPENDED,
                         NULL, NULL, &si, &pi)// PDETOUR_EXE_HELPER结构的helper写到刚刚创建的,rundll32进程中去。
    DetourCopyPayloadToProcess(pi.hProcess,
                                        DETOUR_EXE_HELPER_GUID,
                                        helper, helper->cb)// 执行到结束                                                      
    ResumeThread(pi.hThread);
    WaitForSingleObject(pi.hProcess, INFINITE);

    // 回收资源
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    FreeExeHelper(&helper);
 
    return TRUE;
}

有点迷糊了。这里又创建了一个rundll32.exe进程,且加载了dll。我们的预期是给DetourCreateProcessWithDllsA创建出的进程加载dll。是哪里理解错了吗?

我们实验一下吧。先把方式一的路堵上
[图片]

观察启动rundll32.exe进程时的参数
[图片]

szExe :C:\WINDOWS\syswow64\rundll32.exe
szCommandrundll32.exe “D:\code\detour\Detours-main\bin.X64\simple32.dll”,#1
语义是,使用rundll32.exe 打开 simple32.dll 的#1号导出函数。
Dependency瞅一眼,这是个啥?
[图片]

最终在Makefile这里找到了结果
[图片]

原来是这个函数!那我们调起来吧。
让主进程停在这里
[图片]

这个时候rundll32.exe进程应该还在挂起状态,我们Attach上去看看。
[图片]

这时停在ntdll里,因为创建进程以后就挂起了嘛,符合预期。
现在simple 的dllmain 和 DetourFinishHelperProcess 里都打上断线。看看到底怎么会回事。跑起来。
[图片]

先进DllMain,符合预期。
[图片]

原来是这里Load出了之前塞进rundll32.exe 里的 Helper。
[图片]

[图片]

和主进程里看到的完全一致。
再跑并没能顺利进入DetourFinishHelperProcess。但是看到的返回码确实符合预期。因为我们改了DetourUpdateProcessWithDll,这里必然失败。
[图片]

至此,真相大白。我们也退出调试模式吧。

BOOL WINAPI DllMain(HINSTANCE hinst, DWORD dwReason, LPVOID reserved)
{
    // 判断是不是加载了DetourHelper信息的进程,并且Load DetourHelper信息
    if (DetourIsHelperProcess()) {
        return TRUE;
    }
}
rundllndll32进程,加载sample.dll时运行dllmain
BOOL WINAPI DetourIsHelperProcess(VOID)
{
    // Load DetourHelper信息放在全家变量中。
    pvData = DetourFindPayloadEx(DETOUR_EXE_HELPER_GUID, &cbData);
    
    s_pHelper = (PDETOUR_EXE_HELPER)pvData;
    return TRUE;
}
DetourHelper被加载在 s_pHelper中
 VOID CALLBACK DetourFinishHelperProcess(_In_ HWND,
                                        _In_ HINSTANCE,
                                        _In_ LPSTR,
                                        _In_ INT)
{

    hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, s_pHelper->pid);
   
    rlpDlls = new NOTHROW LPCSTR [s_pHelper->nDlls];

    DetourUpdateProcessWithDll(hProcess, rlpDlls, s_pHelper->nDlls);

    ExitProcess(Result);
}

然后rundll32调用DetourFinishHelperProcess,于是又回来到方式一。
SO,假设方式一加载失败,Detours会调用rundll32起个进程,再跑一边加载dll的过程,相当于重试机制。

减肥的烧鸡
关注
Detours 源码阅读笔记
Fly Follow the Heart
04-11 2428
Detour库 1. 源码         Detour库很小,直接编译成lib比较好,在用到的代码中做静态链接。         直接从微软官网 下载Detours: http://research.microsoft.com/en-us/projects/detours/         目前免费下载的是 Detours Express 3.0。            
detours源码分析
cbh84663973的专栏
12-09 2940
Detours Express源码(微软API HOOK库) 2010-03-31 16:57 Detours是微软开发的一个函数库, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是:  拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。  为一个已在运行的进程创建一新线程,装入自己的代码
Detours学习之十三:Detours API用于将dll和有效负载插入新进程的api
jyl_sh的专栏
10-29 2807
用于将dll和有效负载插入新进程的api DetourCreateProcessWithDllEx DetourCreateProcessWithDlls DetourCopyPayloadToProcess DetourCopyPayloadToProcessEx DetourFinishHelperProcess DetourIsHelperProcess DetourRestoreAfterWith 一、DetourCreateProcessWithDllEx 创建一个新进程并将DLL
Detours 简介与简单使用
weixin_30443813的博客
04-02 858
什么是Detours Detours是微软开发的一个函数库,可用于捕获系统API。--百度百科 利用detours可以hook到WIN32的API,原理好像是修改调用API的指令使跳转到用户的函数。(未验证) Detours的安装 以vs2015为例 下载地址:https://www.microsoft.com/ 我下载的版本是Detours Expressv3.0 Build 343 下载之...
detours 通过修改输入表注入DLL
Lassewang的成长历程
08-14 3097
前段时间有一个需求,就是在进程启动的第一时间实现dll的注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
Detours-master_detours_hook_
09-30
在`Detours-master`压缩包中,你将找到Detours库的源代码、示例程序、以及相关的文档,这些都是学习和使用Detoutes的重要资源。通过阅读这些资料,你可以更深入地理解其内部机制,并学会如何将其应用到自己的项目中...
Detours-master_detours_hook_源码.zip
10-18
9. **源码结构**:在 Detours-master_detours_hook_源码.zip 中,我们可以看到 Detours 的源代码组织结构,包括头文件、实现文件和示例项目。通过阅读源码,我们可以学习到如何使用 Detours API 来创建自定义的钩子...
微软detours HookApi模块开源-易语言
06-11
因某些原因要hookapi但是使用模块中apihook程序会崩溃,并且无法hook成功。 发现此方法可以,使用落雪发布的hook。本人只是封装个模块罢了,我觉得我这种方式用起来比较方便。 落雪帖子: ...需要使用黑月编译,并且要...
精选_基于DetoursHOOK API_源码打包
03-08
这个“精选_基于DetoursHOOK API_源码打包”资源很可能是为了帮助开发者理解和实践Detours库在Hook API方面的应用。 Detours库的核心概念是通过“Detour”函数,将原本调用目标函数的代码替换为一个“钩子”函数...
Detours4.0.1 HOOK源码,支持32及64位 已经编译好 可以直接用
11-04
1. **源代码**:DetoursC++源代码,供开发者学习和次开发。 2. **头文件**:包含了Detours库的接口定义,供用户在项目中引用。 3. **库文件**:编译好的动态链接库(DLL)和静态链接库(LIB),供用户链接到自己...
Detours4.0最新版HOOK源码,支持32及64位程序,这是正版源码。官方是收费的。
09-09
Detours4.0最新版,支持32及64位程序,这是正版源码。官方是收费的。
Detours demo
03-27
Detours 使用例子, 此例中启用Detours函数钩子后,测试程序不能修改注册表。自己可以根据实际情况设置api函数钩子。
Detours Hook 工具源码阅读
最新发布
ramonji的博客
05-19 1108
拦截代码是在运行时动态应用的。Detours 将目标函数中前几条指令替换为跳转到用户提供的 替换函数(detour function) 的无条件跳转。来自目标函数的指令(被替换掉的指令)被放在来 蹦床(trampoline)。蹦床 的地址被放在了 目标指针(target pointer)。替换函数可以替换目标函数,也可以通过指向蹦床的目标指针将目标函数作为子程序调用来扩展其语义。拦截(Detour)一个函数有两个必要准备:1 一个指向目标函数的指针;2 一个替换函数。
摸索Detours 3:使用Detours 采用dll 方式进行Hook
小鸣的专栏
09-09 1457
1.准备工作 新建一个DLL项目,当然 依旧是要按照前面所说的配置一下包含目录和库目录。然后就可以开始了。 2.开始,注入用Dll 使用DLL进行Hook的时候,主要处理DLL_PROCESS_ATTACH和DLL_PROCESS_DETACH 这两项,在编写相应的处理代码之前,当然是要先定义和引入需要Hook的函数,和替换的函数,如下: static int (WINAPI* Ol...
Detour安装及简单使用实例
热门推荐
W Blog
08-04 2万+
Detours是微软开发的一个函数库,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作: 一.下载Detours      在http://research.microsoft.com/sn/detours 可免费下载Detours .安装Detours
detours3.0文档翻译
buck84的专栏
12-14 1万+
拦截进制函数         Detours库可以在运行过程中动态拦截函数调用。detours将目标函数钱几个指令替换为一个无条件跳转,跳转到用户定义的detour函数。被拦截的函数保存在trampoline函数中。trampoline保存了目标函数移除的指令和一个无条件跳转,可以跳转到目标函数的执行体部分(未被移除的部分)。         当执行到目标函数的时候,直接跳转到用户提供的de
无法解析的外部符号 _DetourCreateProcessWithDllW@48,该符号在函数 _WinMain@16 中被引用
自信的尘埃 www.gocpplua.com
05-23 2491
最简单的方式来解决,这是的detours.lib复制到项目目录,然后在你的源代码或头文件的任何地方添加一行: #pragma   comment(LIB,“detours.lib”); 如果没有复制到项目目录,我们也可以将“detours.lib”改为“目录+“detours.lib”
detours hook explorer创建进程
09-04
Detours Hook是微软公司开发的一种用于Microsoft Windows操作系统的钩子技术。它可以通过改变进程中的某些函数的执行路径,来实现用户自定义的功能。而Explorer是Windows操作系统中的资源管理器,它可以通过创建进程来运行用户打开的应用程序或者系统自带的工具。 在使用Detours Hook来创建进程时,可以改变Explorer中用于创建新进程的相关函数的执行路径,以达到自定义的目的。具体的步骤包括: 1. 通过Detours Hook技术,将目标函数的执行路径重定向到自定义的函数。这里的目标函数指的是Explorer中用于创建新进程的函数,比如CreateProcess函数。 2. 在自定义的函数中实现自己想要的功能,比如在创建进程前进行一些额外的操作,或者对创建出的进程进行修改和控制。 3. 在重定向之前,先保存原始函数的执行路径,以便在需要的时候可以恢复到原始状态。 通过以上步骤,可以在创建进程的过程中插入额外的代码或者逻辑,实现一些特定的需求。Detours Hook技术在Windows系统中被广泛应用于软件开发、安全实验和逆向工程等领域,它为开发人员提供了更大的灵活性和控制能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值