windows使用detours实现进程拦截实操

最新推荐文章于 2024-08-20 16:45:11 发布
最新推荐文章于 2024-08-20 16:45:11 发布
阅读量2.6k 收藏 5
点赞数
分类专栏: vc 文章标签: c++ intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38526093/article/details/124416898
版权

Detours是微软开发的一个函数库,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截的API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours库函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址,所以函数B的函数形式形如

void* funcB(arg1,arg2,...){

void* retPtr= funcA(arg1,arg2,...)

}

所以我们在函数B中能做的事情就是拦截并修改目标函数参数或者修改原函数的返回值。那么我们如何拦截一个进程的命令行参数呢。在windows系统中,进程是存在父子关系的树状结构。每一个子进程都由它的父进程所创建。一般的 我们都是在资源管理器中点击程序的exe可执行文件来启动进程,那么此时资源管理器进程(explorer.exe) 就是被启动进程的父进程,还有我们熟悉的命令行程序cmd.exe,还有开发者们常用的开发工具如idea,visual studio,eclipse 等等都扮演着父进程的角色。父进程一般通过CreateProcess来创建子程,CreateProcess函数通过命令行参数即可以启动子进程。所以拦截进程的创建和启动就是通过拦截父进程中CreateProcess函数的参数和返回值来实现。我们要实现的函数B需要在一个独立的dll中实现,这个dll可以通过detours工具setdll.exe插入目标父进程的导入表

 或者detours工具withdll.exe启动时被目标父进程加载到进程空间,

 

以下的例子程序通过拦截idea64.exe中的CreateProcess函数 实现打印CreateProcess函数的命令行参数。如果原函数CreateProcess为A,那么MyCreateProcessW则为B。

// dllmain.cpp : 定义 DLL 应用程序的入口点。

#include "stdafx.h"
#include <stdio.h>
#include <windows.h>
#include "detours.h"
#pragma comment(lib,"detours.lib")

typedef BOOL(WINAPI* PMyCreateProcessW)(
    _In_opt_ LPCWSTR lpApplicationName,
    _Inout_opt_ LPWSTR lpCommandLine,
    _In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes,
    _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
    _In_ BOOL bInheritHandles,
    _In_ DWORD dwCreationFlags,
    _In_opt_ LPVOID lpEnvironment,
    _In_opt_ LPCWSTR lpCurrentDirectory,
    _In_ LPSTARTUPINFOW lpStartupInfo,
    _Out_ LPPROCESS_INFORMATION lpProcessInformation
    );

PMyCreateProcessW gOldCreateProcessW = NULL;


BOOL
WINAPI
MyCreateProcessW(
    _In_opt_ LPCWSTR lpApplicationName,
    _Inout_opt_ LPWSTR lpCommandLine,
    _In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes,
    _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
    _In_ BOOL bInheritHandles,
    _In_ DWORD dwCreationFlags,
    _In_opt_ LPVOID lpEnvironment,
    _In_opt_ LPCWSTR lpCurrentDirectory,
    _In_ LPSTARTUPINFOW lpStartupInfo,
    _Out_ LPPROCESS_INFORMATION lpProcessInformation
) {
    printf("lpApplicationName:【%ls】,lpCommandLine【%ls】\n\n", lpApplicationName, lpCommandLine);
    return gOldCreateProcessW(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes,
        bInheritHandles, dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation
        );
}

void Hook(){
    AllocConsole();
    freopen("CON", "r", stdin);
    freopen("CON", "w", stdout);
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    gOldCreateProcessW = (PMyCreateProcessW)DetourFindFunction("kernel32.dll", "CreateProcessW");
    DetourAttach(&gOldCreateProcessW,MyCreateProcessW);
    LONG ret = DetourTransactionCommit();
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        //printf("命令行参数:%s\n", GetCommandLineA());
        //MessageBoxA(NULL, GetCommandLineA(),GetCommandLineA(),MB_OK);
        Hook();
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

extern "C" _declspec(dllexport) void _stdcall add() {
    printf("zzz\n");
}

//CreateProcessW

编译后得到DetourJavaCDemo.dll

此时 我们使用setdll.exe将编译好的dll插入idea64.exe的导入表

D:\test4\Detours\bin.X64\setdll /d:D:\Users\DELL\source\repos\DetourJavaCDemo\x64\Release\DetourJavaCDemo.dll "C:\Program Files\JetBrains\IntelliJ IDEA 2017.3.5\bin\idea64.exe" 

当然最好是使用管理员权限运行命令、否则报出无权访问(error:5)

 

 成功将dll插入idea64.exe的导入表之后,生成了idea64.exe~,idea64.exe~则是 idea64.exe被插入前的备份

 

 下面再以withdll启动idea64.exe

 由于上面代码中使用

   AllocConsole();
    freopen("CON", "r", stdin);
    freopen("CON", "w", stdout);

为idea64分配了一个控制台窗口。可以看出由idea64启动的子进程命令行参数被打印了出来。

 

 

天水麒麟姜伯约
关注
专栏目录
微软开源项目 Detours 详细介绍与使用实例分享
dvlinker的技术专栏
08-15 1万+
本文详细介绍微软开源库Detours,并分享使用Detours实现函数hook的实例。
基于detoursWindows Hook
小龙在线
06-19 530
Detours是一个用于在Windows上监视和检测API调用的软件包。Detours 是一个由 Microsoft Research 开发的库,它允许开发人员在运行时动态地拦截(或“钩子”)Windows API 函数调用。这对于诸如调试、日志记录、模拟、扩展或修改应用程序行为等任务特别有用。通过使用 Detours,开发者可以透明地替换任何已存在的函数,同时保持其原始功能(如果需要)的可用性。
使用微软Detours库进行模块枚举
最新发布
CSDN
08-20 2146
Detours 是微软开发的一个强大的 Windows API 钩子库,用于监视和拦截函数调用。它广泛应用于微软产品团队和众多独立软件开发中,旨在无需修改原始代码的情况下实现函数拦截和修改。Detours 在调试、监控、日志记录和性能分析等方面表现出色,已成为开发者的重要工具。本章将指导读者运用 Detours实现模块查询与枚举功能,帮助读者熟悉该库的使用技巧。
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 9943
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
使用Detours进行API拦截
dpull.com
01-30 1161
index next | previous | C++ Example 1.0 documentation » 其他 » Table Of Contents 使用Detours进行API拦截 安装Detours简单的API拦截示例 Previous topic 其他 Next topic reStructuredText 入门
(一) Windows环境下的Detours编译
Code Captain的专栏
10-24 5305
软件名称 版本 安装路径 下载地址 mysql 5.6 C:\Program Files\MySQL\MySQL Server 5.6\bin 点此下载 visual studio 2013 ...
进程拦截
lq18111292117的博客
11-14 312
https://blog.csdn.net/jiangwei0910410003/article/details/39292117
使用Detours拦截API的程序
01-29
Detours库是Microsoft Research开发的一个强大的工具,它允许程序员透明地拦截和修改Windows API调用,从而实现上述目的。本篇文章将深入探讨如何使用Detours库来实现API拦截。 首先,Detours库的核心原理是基于...
使用Detours实现Windows API recv函数拦截技术解析
资源摘要信息:"本文将详细解释如何使用微软Detours库编写API拦截函数,并以拦截Windows平台上的recv函数为例。此外,文中还会提及如何基于此示例来拦截其他函数,提供了一种API Hook技术的实践应用。" 知识点: 1....
Detours实现API拦截资料及源码
02-18
共包括: 1.pdf资料,API Hooking with MS Detours 2.源码,APIHookingComplete.zip 3.编译好的目标码,APIBin.zip 网上可下载得到MS-Detours
使用Detours实现hook的实例分享
dvlinker的技术专栏
08-10 2007
分享使用Detours开源库实现hook的实例。
WFP驱动--进程规则拦截
03-20
实现了对进程信息的获取,监控,并进行拦截操作,使用WFP,交流请私信,不定期看csdn
Detours(有例子)
12-14
Detours是一个在x86平台上截获任意Win32函数调用的工具库。中断代码可以在运行时动态加载。Detours使用一个无条件转移指令来替换目标函数的最初几条指令,将控制流转移到一个用户提供的截获函数。而目标函数中的一些指令被保存在一个被称为“trampoline” (译注:英文意为蹦床,杂技)的函数中,在这里我觉得翻译成目标函数的部分克隆/拷贝比较贴切。这些指令包括目标函数中被替换的代码以及一个重新跳转到目标函数的无条件分支。而截获函数可以替换目标函数,或者通过执行“trampoline”函数的时候将目标函数作为子程序来调用的办法来扩展功能。
微软Detours 1.5 进程API拦截开发包详细介绍
而“2使用1.5做成的2个例子”可能是指两个使用Detours实现的简单示例程序或案例,这有助于开发者快速理解和学习如何使用Detours库进行进程拦截。 进一步细化这些知识点: - 进程拦截技术:它是一种高级的系统...
利用Detours进行API拦截
Leo的历练之道
12-11 6935
原文地址:http://www.codeproject.com/Articles/30140/API-Hooking-with-MS-Detours 在这篇文章里,我将要介绍API拦截技术的相关理论和实现方式。API拦截是一项强大的技术,他让你可以拦截某些函数,重定位到自定义的函数上。在将控制权交给原始API之前,你可以在这个自定义的函数里做任何想做的事。 1.介绍 本文中,我将讨论API拦
windows下的API拦截---利用detours库操作
Leo的历练之道
01-29 6321
API拦截技术是一种比较常见的技术,对某个软件使用的系统API进行拦截,可以改变软件的行为,从而达到自己的目的。关于拦截技术的原理,Jeffy在《Windows核心编程》里面介绍的非常详尽,就是通过PE文件的导入表获取到保存了Windows API函数地址的那个地方,然后把API的内存地址保存起来,把存放API地址的那个地方的内容改成我们自定义函数的地址,这样就实现拦截效果了。可以简单看下流程
API拦截Detours
idasm的专栏
11-20 562
Detours是一个字x86机器上拦截任意Win32二进制函数的库。拦截代码在运行时动态的注入。Detours使用用户提供的拦截函数将一个无条件跳转指令替换目标函数起始的少数指令。拦截代码将目标函数替换为跳板函数。跳板函数的地址被放在目标函数指针中。拦截函数能够替换目标函数,也可以在跳板函数中通过目标函数指针作为子调用来执行目标函数,从而扩展目标函数的语义。 Detours在执行的时候被插入
Detours的作用和实例
weixin_34357267的博客
04-30 366
Detours 可以用来拦截Win32的API函数,从而让程序按照我们自定义的方式进行处理,而不是Windows默认的。 Detours 也是通过Dll的方式,拦截Api函数。 为什么是修改API的前5个字节? 现在NewCode[]里的指令相当于Jmp MyMessageBoxW 既然已经获取到了Jmp MyMessageBoxW 现在该是将Jmp MyMessag...
使用detourswindows hook函数
生命不息 折腾不止
02-21 2409
一、hook函数 基于windows消息处理机制的一个平台,windows维持一份钩子列表,消息来后,钩子函数优先被调用,调用结束后,还是会回到源函数中执行; 二、hook作用 修改逻辑、打印内存 ,便于逆向分析; 三、工具detours 简介 钩子函数框架,可以适合arm、16位、32位、64位的操作系统 ; 关注点:基地址、函数偏移、被勾函数的原型; 四、实现钩子:如果A....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天水麒麟姜伯约

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值