Detours API HOOK快速入门

什么是Detours

简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现API HOOK的功能。

Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detours 被广泛应用在微软内部和其他行业中。

你可以从微软官方网站下载到Detours的express版本,目前最新版本是2.1,它包含有下列的崭新特性:

l 完整的Detours API文档

l 附加和拆卸处理模块

l 支持附加和拆卸Detours的时候更新对等线程

l 静态和动态注入单个API

l 支持监视注入后的进程

l 改进后更加健壮的API可以将一个挂钩函数,通过一个进程附着到dll上

l 新的API通过复制将有效载荷注入到目标进程中

l 支持x64和IA64平台上的64-位源代码(仅专业版可用)

l 支持Visual Studio 2005,Visual Studio .NET 2003, Visual Studio .NET (VC8)以及Visual Studio (VC7)开发工具

 

 

 

Detours的使用

Detours开发包被下载回来会不能直接使用,安装完毕后需要自己使用nmake生成相应的DLL以及lib文件。这里我已经编译好了,随文附上,一共有四个文件,分别是detoured.dll、detoured.lib、detours.lib、detours.h。

我们需要编写一个DLL,然后将该DLL注入到目标进程的空间中,(注意这里我们需要将生成的hook.dll和detoured.dll都复制到目标进程目录,或者将他们复制到system32目录等地方)下面我给一个例子,如下所示:

// HOOK.CPP

#include "Detours.h"

 

#pragma comment(lib,"detours.lib")

#pragma comment(lib,"detoured.lib")

 

// 共享数据段

#pragma data_seg("MyData")

DWORD nPid = 0; // 受保护的进程PID

#pragma data_seg()

 

BOOL APIENTRY DllMain( HANDLE hModule,

                        DWORD   ul_reason_for_call,

                        LPVOID lpReserved )

{

switch (ul_reason_for_call)

{

case DLL_PROCESS_ATTACH:

case DLL_THREAD_ATTACH:

{

// 安装 HOOK

SetHook(TRUE);

break;

}

case DLL_PROCESS_DETACH:

{

// 卸载 HOOK

SetHook(FALSE);

}

case DLL_THREAD_DETACH:

default:

break;

}

     return TRUE;

}

 

/*

* 函数:SetHook

*

* 作用:安装/卸载 API HOOK

*

* 参数:TRUE - 安装,FALSE - 卸载

*

* 返回:无

*/

void SetHook(BOOL flag)

{

if (flag)

{

DetourRestoreAfterWith();

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

 

// HOOK 函数列表

DetourAttach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

 

DetourTransactionCommit();

}

else

{

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

 

// 取消 HOOK 函数列表

DetourDetach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

 

DetourTransactionCommit();

}

}

 

/*

* 函数:New_OpenProcess

*

* 作用:拦截系统 OpenProcess 函数调用

*/

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

   BOOL bInheritHandle,

   DWORD dwProcessId)

{

// 是否为可信任程序

if (strcmp(szCurrentApp, szTrustFile) != 0)

{

// 是否为受保护进程

if (dwProcessId == nPid)

{

return NULL;

}

}

 

return Old_OpenProcess( dwDesiredAccess,

bInheritHandle,

dwProcessId);

}

 

// HOOK.H

static HANDLE (WINAPI* Old_OpenProcess)(DWORD dwDesiredAccess,

BOOL bInheritHandle,

DWORD dwProcessId) = OpenProcess;

 

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

   BOOL bInheritHandle,

   DWORD dwProcessId);

 

然后要在def文件中将New_OpenProcess函数导出,最后将生成的HOOK.DLL注入到其他进程空间就可以了。

不过需要说明的是,上述程序远远不够完善,我删掉了很多代码,而那些代码也是很重要的,比如设置受保护进程的PID、设置可信程序路径等函数我都删掉了,你必须发挥自己的聪明才智来解决这些问题。

提示一下,我采用的方法是专门导出一个函数SetOption,它得到设置选项后便更新共享驱动里面的变量,这样便可以简单达到目的了。

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值