Detours API HOOK快速入门

最新推荐文章于 2024-08-10 13:15:42 发布
最新推荐文章于 2024-08-10 13:15:42 发布
阅读量6k 收藏 6
点赞数
分类专栏: win32 SDK 文章标签: hook api winapi dll thread express

什么是Detours

简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现API HOOK的功能。

Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detours 被广泛应用在微软内部和其他行业中。

你可以从微软官方网站下载到Detours的express版本,目前最新版本是2.1,它包含有下列的崭新特性:

l 完整的Detours API文档

l 附加和拆卸处理模块

l 支持附加和拆卸Detours的时候更新对等线程

l 静态和动态注入单个API

l 支持监视注入后的进程

l 改进后更加健壮的API可以将一个挂钩函数,通过一个进程附着到dll上

l 新的API通过复制将有效载荷注入到目标进程中

l 支持x64和IA64平台上的64-位源代码(仅专业版可用)

l 支持Visual Studio 2005,Visual Studio .NET 2003, Visual Studio .NET (VC8)以及Visual Studio (VC7)开发工具

 

 

 

Detours的使用

Detours开发包被下载回来会不能直接使用,安装完毕后需要自己使用nmake生成相应的DLL以及lib文件。这里我已经编译好了,随文附上,一共有四个文件,分别是detoured.dll、detoured.lib、detours.lib、detours.h。

我们需要编写一个DLL,然后将该DLL注入到目标进程的空间中,(注意这里我们需要将生成的hook.dll和detoured.dll都复制到目标进程目录,或者将他们复制到system32目录等地方)下面我给一个例子,如下所示:

// HOOK.CPP

#include "Detours.h"

 

#pragma comment(lib,"detours.lib")

#pragma comment(lib,"detoured.lib")

 

// 共享数据段

#pragma data_seg("MyData")

DWORD nPid = 0; // 受保护的进程PID

#pragma data_seg()

 

BOOL APIENTRY DllMain( HANDLE hModule,

                        DWORD   ul_reason_for_call,

                        LPVOID lpReserved )

{

switch (ul_reason_for_call)

{

case DLL_PROCESS_ATTACH:

case DLL_THREAD_ATTACH:

{

// 安装 HOOK

SetHook(TRUE);

break;

}

case DLL_PROCESS_DETACH:

{

// 卸载 HOOK

SetHook(FALSE);

}

case DLL_THREAD_DETACH:

default:

break;

}

     return TRUE;

}

 

/*

* 函数:SetHook

*

* 作用:安装/卸载 API HOOK

*

* 参数:TRUE - 安装,FALSE - 卸载

*

* 返回:无

*/

void SetHook(BOOL flag)

{

if (flag)

{

DetourRestoreAfterWith();

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

 

// HOOK 函数列表

DetourAttach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

 

DetourTransactionCommit();

}

else

{

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

 

// 取消 HOOK 函数列表

DetourDetach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

 

DetourTransactionCommit();

}

}

 

/*

* 函数:New_OpenProcess

*

* 作用:拦截系统 OpenProcess 函数调用

*/

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

   BOOL bInheritHandle,

   DWORD dwProcessId)

{

// 是否为可信任程序

if (strcmp(szCurrentApp, szTrustFile) != 0)

{

// 是否为受保护进程

if (dwProcessId == nPid)

{

return NULL;

}

}

 

return Old_OpenProcess( dwDesiredAccess,

bInheritHandle,

dwProcessId);

}

 

// HOOK.H

static HANDLE (WINAPI* Old_OpenProcess)(DWORD dwDesiredAccess,

BOOL bInheritHandle,

DWORD dwProcessId) = OpenProcess;

 

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

   BOOL bInheritHandle,

   DWORD dwProcessId);

 

然后要在def文件中将New_OpenProcess函数导出,最后将生成的HOOK.DLL注入到其他进程空间就可以了。

不过需要说明的是,上述程序远远不够完善,我删掉了很多代码,而那些代码也是很重要的,比如设置受保护进程的PID、设置可信程序路径等函数我都删掉了,你必须发挥自己的聪明才智来解决这些问题。

提示一下,我采用的方法是专门导出一个函数SetOption,它得到设置选项后便更新共享驱动里面的变量,这样便可以简单达到目的了。

Gary@Tokyo
关注
专栏目录
APIHOOK例子(Detour)
08-03
一个简单实例,通过Detour来对系统API进行HOOK,拦截系统API,做自己想做的事情。欢迎微信交流 zhxunCC
微软研究院Detour开发包之API拦截技术
weixin_33827731的博客
04-18 216
我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访 问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业 化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Detou...
Detours 开源项目教程
gitblog_00775的博客
08-07 874
Detours 开源项目教程 DetoursDetours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.项目地址:https://gitcode.com/gh_mirrors/de/Detours 1. 项目目...
使用VS2013编译Detours
qq_38474647的博客
12-25 212
背景 可能我们开发程序的时候,会用到Inline Hook Api的技术。Inline Hook 的原理是在系统访问一个函数的时候先替换原函数入口处的内容跳转到自己设计的Hook函数中,然后在自己函数中进行Hook工作。但在并行系统中,很可能有个线程就在这个时候调用了被自己改掉的系统函数,出现我们无法预期的结果。 这时,我们可以考虑使用Detu...
Detours实现API拦截(1)
weixin_33725722的博客
11-25 186
Detours使用说明由于原版是英文,所以翻译时不能完全正确,同时也加入本人的见解。我用的是Detours 1.5,这个版本的LIB要重新编译才能使用不然会提示连接出错。库的源文件在src里,把它重新编译一次可生成DETOURS.LIB和头文件。这是关键不然用了LIB文件夹的库文件你就搞爆头也总是出错。本人经验。在SAMPLES里有很多例子。你要把它完全搞懂那你肯定是高手,往下的就不要看了,呵呵。...
Detours实现APIHOOK
Lassewang的成长历程
08-15 4147
Detours实现APIHOOK Detours是一个软件开发库,它用于实现拦截Win32二进制代码中的API函数。 它使用一个Jmp指令替换了目标函数的前面几个字节,使得控制直接调用实现的 Detours函数。并通过一个trampoline函数保留了原来函数的功能调用。 我们知道,实现APIHOOK主要有两个重要环节,一是如何把代码注入到目标地 址空间,二是如何让自己的代码被调用。
Detours 使用方法 HOOK API
linuxheik的专栏
10-20 957
Detours 使用方法 HOOK API  [复制链接]      liuyuxi 发表于 2015-1-11 00:03:26 | 显示全部楼层 一、Detours库的来历及下载:         Detours库类似于WT
运用Detourshook API
热门推荐
vcPlayer的专栏
07-20 1万+
 一、Detours库的来历及下载:        Detours库类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是保存堆栈环境的三条指令共5个字节:8B FF
摸索Detours 2:使用Detours 进行简单的Hook
小鸣的专栏
09-05 1371
1.准备工作 首先,在VS里创建一个C++的控制台项目,然后配置一下项目的包含目录和库目录 32位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X86添加到库目录。 64位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X64添加到库目录。 然后在新建的文档...
Detours_API_HOOK快速入门.docx
12-15
Detours API Hook 是微软提供的一款强大的工具库,用于在Windows平台上进行API钩子技术的实现。这个库使得开发者能够方便、高效且稳定地拦截和修改Win32函数的行为。Detours的工作原理是通过在目标函数的内存代码中...
Detours 3.0 微软api hook库帮助文档
05-17
微软的hook支持api hook和指定函数地址hook,操作简单方便,文档中还有例子可供参考。
使用Detours库拦截API的程序
01-29
利用Detours开源库进行API拦截的例子
api钩子的实现--用Detours拦截Win32API函数
12-24
api钩子的实现--用Detours拦截Win32API函数
Detour实例(DETOUR库HOOK API
04-03
一份利用DETOUR库HOOK API的实例代码,值得借鉴。。。。
API hook(inline)超简入门代码
07-20
本篇将详细介绍API Hook中的inline hook,并通过一个简单的例子——hook MessageBoxW函数,来帮助你入门API Hook的基本思想是,在目标函数被调用之前,插入一段代码(钩子),这段代码可以改变参数、修改返回值...
使用Detours实现hook的实例分享
最新发布
dvlinker的技术专栏
08-10 1923
分享使用Detours开源库实现hook的实例。
Win API HOOKDetours
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 681
相信不少刚学HOOK的朋友,还在苦恼HOOK代码写起来麻烦,有的朋友甚至不会计算HOOK地址. Detours 解决了所有的问题了. Detours 是M$ 出的一个库. 下载地址:http://research.microsoft.com/en-us/projects/detours/   最新版本是3.0. 下载后,需自行安装 编译. 配置: 1 将Detours安装目录中的s
深入解析API Hook技术及其应用
微软的Detours库提供了一种方便的方式来实现API Hook,它允许程序员在不修改原始代码的情况下,透明地重定向函数调用。 在实施API Hook时,需要注意以下几点: - 钩子函数的效率:Hook函数应尽可能快,避免阻塞原...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值