Detours API HOOK快速入门

最新推荐文章于 2024-08-07 09:19:47 发布
最新推荐文章于 2024-08-07 09:19:47 发布
阅读量6k 收藏 6
点赞数
分类专栏: win32 SDK 文章标签: hook api winapi dll thread express

什么是Detours

简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现API HOOK的功能。

Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detours 被广泛应用在微软内部和其他行业中。

你可以从微软官方网站下载到Detours的express版本,目前最新版本是2.1,它包含有下列的崭新特性:

l 完整的Detours API文档

l 附加和拆卸处理模块

l 支持附加和拆卸Detours的时候更新对等线程

l 静态和动态注入单个API

l 支持监视注入后的进程

l 改进后更加健壮的API可以将一个挂钩函数,通过一个进程附着到dll上

l 新的API通过复制将有效载荷注入到目标进程中

l 支持x64和IA64平台上的64-位源代码(仅专业版可用)

l 支持Visual Studio 2005,Visual Studio .NET 2003, Visual Studio .NET (VC8)以及Visual Studio (VC7)开发工具

 

 

 

Detours的使用

Detours开发包被下载回来会不能直接使用,安装完毕后需要自己使用nmake生成相应的DLL以及lib文件。这里我已经编译好了,随文附上,一共有四个文件,分别是detoured.dll、detoured.lib、detours.lib、detours.h。

我们需要编写一个DLL,然后将该DLL注入到目标进程的空间中,(注意这里我们需要将生成的hook.dll和detoured.dll都复制到目标进程目录,或者将他们复制到system32目录等地方)下面我给一个例子,如下所示:

// HOOK.CPP

#include "Detours.h"

 

#pragma comment(lib,"detours.lib")

#pragma comment(lib,"detoured.lib")

 

// 共享数据段

#pragma data_seg("MyData")

DWORD nPid = 0; // 受保护的进程PID

#pragma data_seg()

 

BOOL APIENTRY DllMain( HANDLE hModule,

                        DWORD   ul_reason_for_call,

                        LPVOID lpReserved )

{

switch (ul_reason_for_call)

{

case DLL_PROCESS_ATTACH:

case DLL_THREAD_ATTACH:

{

// 安装 HOOK

SetHook(TRUE);

break;

}

case DLL_PROCESS_DETACH:

{

// 卸载 HOOK

SetHook(FALSE);

}

case DLL_THREAD_DETACH:

default:

break;

}

     return TRUE;

}

 

/*

* 函数:SetHook

*

* 作用:安装/卸载 API HOOK

*

* 参数:TRUE - 安装,FALSE - 卸载

*

* 返回:无

*/

void SetHook(BOOL flag)

{

if (flag)

{

DetourRestoreAfterWith();

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

 

// HOOK 函数列表

DetourAttach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

 

DetourTransactionCommit();

}

else

{

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

 

// 取消 HOOK 函数列表

DetourDetach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

 

DetourTransactionCommit();

}

}

 

/*

* 函数:New_OpenProcess

*

* 作用:拦截系统 OpenProcess 函数调用

*/

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

   BOOL bInheritHandle,

   DWORD dwProcessId)

{

// 是否为可信任程序

if (strcmp(szCurrentApp, szTrustFile) != 0)

{

// 是否为受保护进程

if (dwProcessId == nPid)

{

return NULL;

}

}

 

return Old_OpenProcess( dwDesiredAccess,

bInheritHandle,

dwProcessId);

}

 

// HOOK.H

static HANDLE (WINAPI* Old_OpenProcess)(DWORD dwDesiredAccess,

BOOL bInheritHandle,

DWORD dwProcessId) = OpenProcess;

 

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

   BOOL bInheritHandle,

   DWORD dwProcessId);

 

然后要在def文件中将New_OpenProcess函数导出,最后将生成的HOOK.DLL注入到其他进程空间就可以了。

不过需要说明的是,上述程序远远不够完善,我删掉了很多代码,而那些代码也是很重要的,比如设置受保护进程的PID、设置可信程序路径等函数我都删掉了,你必须发挥自己的聪明才智来解决这些问题。

提示一下,我采用的方法是专门导出一个函数SetOption,它得到设置选项后便更新共享驱动里面的变量,这样便可以简单达到目的了。

Gary@Tokyo
关注
专栏目录
APIHOOK例子(Detour)
08-03
一个简单实例,通过Detour来对系统API进行HOOK,拦截系统API,做自己想做的事情。欢迎微信交流 zhxunCC
NtQuerySystemInformation
11-19
C++ Builder 6.0写的进程查看工具,关键是NtQuerySystemInformation函数的运用,以及Unicode字符与ANSII字符的转换.
Detours 开源项目教程
最新发布
gitblog_00775的博客
08-07 874
Detours 开源项目教程 DetoursDetours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.项目地址:https://gitcode.com/gh_mirrors/de/Detours 1. 项目目...
Detours 使用方法 HOOK API
linuxheik的专栏
10-20 957
Detours 使用方法 HOOK API  [复制链接]      liuyuxi 发表于 2015-1-11 00:03:26 | 显示全部楼层 一、Detours库的来历及下载:         Detours库类似于WT
运用Detourshook API
热门推荐
vcPlayer的专栏
07-20 1万+
 一、Detours库的来历及下载:        Detours库类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是保存堆栈环境的三条指令共5个字节:8B FF
Detours库Windows API Hook
南宫封清的博客
02-24 7317
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
Detours的作用和实例
weixin_34357267的博客
04-30 351
Detours 可以用来拦截Win32的API函数,从而让程序按照我们自定义的方式进行处理,而不是Windows默认的。 Detours 也是通过Dll的方式,拦截Api函数。 为什么是修改API的前5个字节? 现在NewCode[]里的指令相当于Jmp MyMessageBoxW 既然已经获取到了Jmp MyMessageBoxW 现在该是将Jmp MyMessag...
Detours_API_HOOK快速入门.docx
12-15
Detours API Hook 是微软提供的一款强大的工具库,用于在Windows平台上进行API钩子技术的实现。这个库使得开发者能够方便、高效且稳定地拦截和修改Win32函数的行为。Detours的工作原理是通过在目标函数的内存代码中...
Detours-master_detours_hook_
09-30
Detours是微软开发的一个开源库,它为C++程序员提供了一种方便的方式来拦截和修改其他进程中的函数调用,即所谓的“钩子”(hook)技术。Detours库的使用非常广泛,尤其在系统监控、调试工具、以及性能分析等领域。 ...
Detours-Express-2.1-master.zip_APIHOOK_detours_maplestory
09-24
APIHOOK_detours_maplestory:使用Detours库在Windows上实现Maplestory的API钩子》 在软件开发中,API钩子是一种强大的技术,它允许开发者监控或修改其他程序对特定API函数的调用行为。在Windows环境中,Detours...
Detours使用说明
linuxheik的专栏
05-09 939
Detours使用说明 分类: c++ 自动化测试 windows编程技术2009-05-17 16:02 5919人阅读 评论(6) 收藏 举报   Detours使用说明   1 介绍 2 Detours API hook 2.1 hook DLL 中的函数 2.2 hook自定义c 函数 2.3 hook类成员函数 2.4 DetourCreateProces
Detours框架实现原理探究
linlin003的专栏
09-08 1136
Hook API在自动化测试、性能分析以及安全攻防领域有着广泛的应用。 Detours 作为微软研发并开源的API HOOK框架,在微软内部以及业界有着广泛的使用
二、C++反作弊对抗实战 (进阶篇 —— 1.detours3.0钩子库编译与函数接口说明)
Koma的主页
03-03 893
这是来自微软官方的源码文件,最新版已经至4.0支持更高的编译器版本,通常为了考虑兼容XP,我们不建议使用更高版本的detours库,以及Visual Studio版本,本文测试采用detours 3.0以及Visual Studio 2010。当然如果你不考虑XP问题的话,也可以直接使用detours 4.0以及更高的Visual Studio 2019等等。
Detour使用说明
hewei0241的专栏
08-05 1330
2.2 hook自定义c 函数    举例来说明,假如有一个函数,其原型为 int RunCmd(const char* cmd); 如果要hook这个函数,可以按照以下几步来做: a)     include 声明这个函数的头文件 b)     定义指向这个函数的函数指针,int (* RealRunCmd)(const char*) = RunCmd;
Detours Hook
04-09 153
Detours Hook Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/proj...
Detours学习之十三:Detours API用于将dll和有效负载插入新进程的api
jyl_sh的专栏
10-29 2832
用于将dll和有效负载插入新进程的api DetourCreateProcessWithDllEx DetourCreateProcessWithDlls DetourCopyPayloadToProcess DetourCopyPayloadToProcessEx DetourFinishHelperProcess DetourIsHelperProcess DetourRestoreAfterWith 一、DetourCreateProcessWithDllEx 创建一个新进程并将DLL
深入解析API Hook技术及其应用
微软的Detours库提供了一种方便的方式来实现API Hook,它允许程序员在不修改原始代码的情况下,透明地重定向函数调用。 在实施API Hook时,需要注意以下几点: - 钩子函数的效率:Hook函数应尽可能快,避免阻塞原...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值