Detours使用方法,简单明了

最新推荐文章于 2024-04-30 15:51:57 发布
最新推荐文章于 2024-04-30 15:51:57 发布
阅读量7.5k 收藏 30
点赞数 5
分类专栏: Windows 文章标签: windows api c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43414877/article/details/119707266
版权

什么是Detours

detours是微软提供的一套工具,主要用于win32 API的拦截。

准备工作(环境)

首先下载detours的资源,地址:https://github.com/microsoft/detours

  • 下载到本地后解压至任意文件夹;
  • 打开cmd终端进到这个文件夹下,键入nmake;
  • 编译完成后:image.png
  • 新建一个工程,将include中的detours.h移动至工程文件下;
  • 将lib.X64(X86也有对应目录)下的detours.lib移动至工程文件下;

我们的样例是拦截GetLocalTime这一获取本地时间的API,然后将时间的分修改为52。

示例代码:

#include <iostream>
#include <Windows.h>
//包含Detour的头文件和库文件
#include "detours.h"
#pragma comment (lib,"detours.lib")
using namespace std;

//保存函数原型(用指针存储要拦截的API)
void (*OldGetLocalTime)(LPSYSTEMTIME) = GetLocalTime;

//拦截后要执行的操作(这里是将时间的分改为52)
void NewGetLocalTime(LPSYSTEMTIME lpSystemTime) {
	OldGetLocalTime(lpSystemTime);
	lpSystemTime->wMinute = 52;
}

//下钩子函数
void StartHook() {
	//开始事务
	DetourTransactionBegin();
	//更新线程信息
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数附加到原函数的地址上
	DetourAttach(&(PVOID&)OldGetLocalTime, NewGetLocalTime);
	//结束事务
	DetourTransactionCommit();
}

//撤钩子函数
void EndHook() {
	//开始detours事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数从原函数的地址上解除
	DetourDetach(&(PVOID&)OldGetLocalTime, NewGetLocalTime);
	//结束detours事务
	DetourTransactionCommit();
}

int main()
{
	//获取本地时间
	SYSTEMTIME time, time2;
	GetLocalTime(&time);
	cout << time.wHour << ":" << time.wMinute << endl;
	//下钩子
	StartHook();

	//下钩子后再次获取本地时间
	GetLocalTime(&time2);
	cout << time2.wHour << ":" << time2.wMinute << endl;

	//撤钩子
	EndHook();
	return 0;
}

运行结果

image.png
可以看到确实成功拦截了GetLocalTime这个win32 API。

补充

其实detours也可以拦截C/C++的库函数:

我们用stdlib.h中system函数来测试,原本的语句system(“notepad”)可以打开记事本程序,我们用detours拦截,并改为打开资源管理器。

注意:记得将工程改为release模式,因为debug模式下函数会被编译器劫持。

代码:

#include <iostream>
#include <Windows.h>
//包含Detour的头文件和库文件
#include "detours.h"
#pragma comment (lib,"detours.lib")
using namespace std;

//保存函数原型
int (*Oldsystem)(char const*) = system;

//拦截后的函数
void Newsystem(char const* command) {
	Oldsystem("explorer");
}

//下钩子函数
void StartHook() {
	//开始事务
	DetourTransactionBegin();
	//更新线程信息
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数附加到原函数的地址上
	DetourAttach(&(PVOID&)Oldsystem, Newsystem);
	//结束事务
	DetourTransactionCommit();
}

//撤钩子函数
void EndHook() {
	//开始事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数从原函数的地址上解除
	DetourDetach(&(PVOID&)Oldsystem, Newsystem);
	//结束事务
	DetourTransactionCommit();
}

int main()
{
	//下钩子
	StartHook();

	system("notepad");

	//撤钩子
	EndHook();
	return 0;
}

运行结果:
image.png同样拦截成功。

欢迎讨论和指正。

再学5分钟
关注
  • 5
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
detours_Detours1.5_
09-29
Debug compilation of detour's 1.5
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 9827
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
Detours使用
qq_39529180的博客
02-19 340
Detours 是一个用于在 ARM, ARM64, X86, X64 和 IA64 机器上拦截二进制函数的库。 Detours 最常用来拦截应用程序中的 win32 api 调用,比如添加调试工具。 拦截代码在运行时动态应用。 Detours 将目标函数的前几个指令替换为无条件跳转到用户提供的 detour 函数 它与WriteProcessMemory 有所不同 区别: WritePro...
detours 使用
03-10
最全的detours使用文档、教你如何使用微软detours技术
缺乏detours.h引用问题
01-15
Detours是Microsoft开发一个库,1拦截x86机器上的任意的win32 API函数。 2插入任意的数据段到PE文件中,修改DDL文件的导入表。这是已经编译好的头文件以及lib包,只需要复制到项目即可。
Detours使用说明.doc
05-30
"Detours is a library for intercepting arbitrary Win32 binary functions on x86 machines. Interception code is applied dynamically at runtime. Detours replaces the first few instructions of the target function with an unconditional jump to the user-provided detour function. Instructions from the target function are placed in a trampoline. The address of the trampoline is placed in a target pointer. The detour function can either replace the target function, or extend its semantics by invoking the target function as a subroutine through the target pointer to the trampoline."
detours介绍与使用
顺其自然~专栏
06-29 4677
Detours 是Microsoft开发一个库,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能: 1 拦截x86机器上的任意的win32 API函数。 2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours替换目标API最前面的几条指令,使其无条件的跳转到用户提供的拦截函数。被替换的API函数的前几条指令被保存到tram
Detours使用与原理分析
wl_tian_dao_chou_qin的专栏
08-05 2933
1.什么Detours Detours是经过微软认证的一个开源Hook库,其作用是拦截应用层及系统层API,注入进程代码等功能,能在无源码的情况下修改原API功能,具有线程安装效率高稳定的特点
Detours注入DLL钩子入门教程
DOwnstairs的专栏
03-26 3711
本教程非常初级,适合新手食用 开发环境,WIN10 64bit, VS2022 首先在GITHUB下载源码。GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.Detours is a software package for monitor...
Detour开发包之API拦截技术(转载)
johns78的专栏
11-02 595
标 题: 微软研究院Detour开发包之API拦截技术作 者: shangzh时 间: 2007-01-29,16:03链 接: http://bbs.pediy.com/showthread.php?t=38759我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访问源代码,我们可以轻而易举的使用重建
Detours简介
热门推荐
oneVs1的专栏
10-20 1万+
Detours 是Microsoft开发一个库,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能:1 拦截x86机器上的任意的win32 API函数。2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours
Detours(有例子)
12-14
Detours是一个在x86平台上截获任意Win32函数调用的工具库。中断代码可以在运行时动态加载。Detours使用一个无条件转移指令来替换目标函数的最初几条指令,将控制流转移到一个用户提供的截获函数。而目标函数中的一些指令被保存在一个被称为“trampoline” (译注:英文意为蹦床,杂技)的函数中,在这里我觉得翻译成目标函数的部分克隆/拷贝比较贴切。这些指令包括目标函数中被替换的代码以及一个重新跳转到目标函数的无条件分支。而截获函数可以替换目标函数,或者通过执行“trampoline”函数的时候将目标函数作为子程序来调用的办法来扩展功能。
detours4.0_opencvMFC_Detours4_detours_
10-04
Detours4.0最新版VS2008命令提示符下生成detours.lib。
Detours库简单使用程序
08-09
一个简单使用Detours库的例子。Hook系统API,send和recv函数。
Detours专业版,64位系统下能用的Detours
01-07
大家知道免费的Detours Express 3.0 以及一下的版本只能在32位系统下才有效果, 而专业版的价格高得吓人, 在查阅了众多网上资料,修改了部分头文件源代码. 终于把DetoursPro 编译成功,经测试 在Win7 64位旗舰版下能够正常使用..
detours.lib 下载- VC编程库
03-15
摘要:VC/C++源码,控件相关,detours.lib  发现许多VC编程朋友需要detours.lib这个文件,其它很多VC源码成品里面有这个文件,为了大家寻找方便,所以在这里专门提供detours.lib下载页面,感谢大家对源码爱好者的关注和支持。
Detours x86 与 x64 位编译好的静态库
08-25
Detours x86 与 x64 位编译好的静态库
flutter 生成单选组件
最新发布
weixin_40466351的博客
04-30 559
【代码】flutter 生成单选组件。
使用hutool工具导入excel Java
GSIBin
04-29 481
Hutool是一个Java工具类库,它提供了一系列实用的API,包括操作Excel的功能。要使用Hutool导入Excel,你可以使用ExcelReader类。以下是一个简单的例子,展示了如何使用Hutool导入Excel文件:
detours 1.5
12-01
Detours 1.5 是一款由微软研究院开发的软件包,用于在Windows操作系统上进行应用程序的二进制代码修改和勾取。Detours 1.5 提供了一些API和工具,允许开发者在不修改源代码的情况下,实现对已编译的应用程序的功能拦截、修改或重定向。 例如,Detours 1.5 可以用于实施函数钩子,即在应用程序的函数调用前后插入自定义的代码。这样,开发者可以在函数被调用时执行一些额外的操作,比如记录日志、修改参数或返回值等。通过使用Detours 1.5,开发者可以轻松地将这些功能集成到目标应用程序中,而无需修改其原始代码。 Detours 1.5 还提供了一些其他的功能,如API重定向、虚函数重定向和模块捕获等。这些功能使开发者能够在运行时修改和控制应用程序的行为,从而实现一些特定的需求。 总之,Detours 1.5 是一款功能强大的二进制代码修改和勾取工具包,为开发者提供了一种灵活且非侵入性的方式,对已编译的应用程序进行功能的拦截、修改和重定向。它在应用程序的调试、测试、分析等方面具有广泛的应用价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值