初始Microsoft Detours【收集】

最新推荐文章于 2024-08-14 22:00:00 发布

weixin_34348805

最新推荐文章于 2024-08-14 22:00:00 发布

阅读量81

点赞数

文章标签：内存管理

原文链接：http://www.cnblogs.com/weisteve/archive/2011/03/06/1972058.html

版权

Detours是微软开发的一个函数库（源代码可在http://research.microsoft.com/sn/detours 免费获得）, 用于修改运行中的程序在内存中的影像。具体用途是：拦截Win32 API调用，将其引导到自己的子程序，从而实现Win32 API的定制。

Detours的原理
----1． Win32进程的内存管理
----众所周知，Windows NT实现了虚拟存储器，每一个Win32 进程拥有4GB的虚存空间，关于Win32进程的虚存结构及其操作的具体细节请参阅 Win32 API手册，以下仅指出与Detours相关的几点：

进程要执行的指令也放在虚存空间中。
可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行，再改写其内容，从而修改正在运行的程序。
可以使用VirtualAllocEx从一个进程为另一正运行的进程分配虚存，再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行，并把要执行的指令以二进制机器码的形式写入，从而为一个正在运行的进程注入任意的代码。
----2．拦截Win32 API的原理

----Detours定义了三个概念：

Target函数：要拦截的函数，通常为Windows的API。
Trampoline函数：Target函数的复制品。因为Detours将会改写Target函数，所以先把 Target函数复制保存好，一方面仍然保存Target函数的过程调用语义，另一方面便于以后的恢复。
Detours 函数：用来替代Target函数的函数。
---- Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令（共5个字节）把对Target函数的调用引导到自己的Detours函数，把 Target函数的开头的5个字节加上JMP Address_of_ Target _ Function＋5作为Trampoline 函数。例子如下：

1 拦截前：Target _ Function：
2         ；Target函数入口，
3       以下为假想的常见的子程序入口代码
4          push         ebp
5          mov         ebp,    esp
6          push         eax
7          push         ebx
8      Trampoline:
9         ；以下是Target函数的继续部分
10 　　　　　　　　......
11
12
13     拦截后：Target _ Function：
14          jmp         Detour_Function
15     　 Trampoline:
16         ；以下是Target函数的继续部分
17         ......
18
19
20     　 Trampoline_Function:
21          ; Trampoline函数入口, 开头的5个字节与
22           Target函数相同
23          push         ebp
24          mov         ebp,    esp
25          push         eax
26          push         ebx
27         ；跳回去继续执行Target函数
28          jmp      Target_Function＋ 5

使用Detours需要有detours.lib和detours.h,这个可以从网上下载

具体使用例子：用TP_PathFileExists来拦截系统消息PathFileExists

1 DETOUR_TRAMPOLINE(BOOL  WINAPI Detour_PathFileExists  (LPCTSTR pszPath), PathFileExists);
2
3
4 extern " C " BOOL  WINAPI TP_PathFileExists  (LPCTSTR pszPath)
5     {
6          if ( Detour_PathFileExists( pszPath))
7              return TRUE;
8          if (lstrlen(pszPath) < 1 ) return FALSE;
9          if (pszPath[ 0 ] == ' \\ ' )
10         {
11             HANDLE  hFile;
12             hFile = CreateFile(pszPath
13                 ,GENERIC_READ
14                 ,FILE_SHARE_READ | FILE_SHARE_WRITE
15                 ,NULL
16                 ,OPEN_EXISTING
17                 ,FILE_ATTRIBUTE_NORMAL
18                 ,NULL);
19
20
21              if (INVALID_HANDLE_VALUE == hFile)
22                  return FALSE;
23              else
24             {
25                 CloseHandle(hFile);
26                  return TRUE;
27             }
28         }
29          else
30         {
31             WIN32_FIND_DATA lpFindFileData;
32             HANDLE hFind = FindFirstFile( pszPath, & lpFindFileData);
33              if ( INVALID_HANDLE_VALUE == hFind) return FALSE;
34              else {FindClose(hFind); return TRUE;}
35         }
36     }
37
38
39
40
41 BOOL TP_InitSysHook()
42 {
43     DWORD dwVersion = GetVersion();
44      if (dwVersion < 0x80000000 )
45     {
46         DetourFunctionWithTrampoline((PBYTE)Detour_PathFileExists,    (PBYTE)TP_PathFileExists);
47          return TRUE;
48     }
49      return TRUE;
50 }
51
52
53 BOOL TP_ReleaseSysHook()
54 {
55     DWORD dwVersion = GetVersion();
56      if (dwVersion < 0x80000000 )
57     {
58         DetourRemove((PBYTE)Detour_PathFileExists,     (PBYTE)TP_PathFileExists);
59          return TRUE;
60     }
61      return TRUE;
62 }

转载于:https://www.cnblogs.com/weisteve/archive/2011/03/06/1972058.html