Detours 库使用(一)

最新推荐文章于 2024-02-19 11:15:00 发布
最新推荐文章于 2024-02-19 11:15:00 发布
阅读量2.8k 收藏 4
点赞数 2
分类专栏: Windows C++ 文章标签: Detours hook 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzf906819823/article/details/47375661
版权

Detours是微软开发的一个函数库,可用于捕获系统API。

Detours库的编译方法:http://blog.csdn.net/hewei0241/article/details/38326899

测试环境:win7 x86

PS:win x64 在注入的时候,所有测试程序是32位的。如果使用创建远程线程函数的方法来注入动态库,在win7 x64下,CreateRemoteThread会调用失败,错误码是5,就是没有权限访问。如果要在64位机器下使用,或许要google或者度娘研究下,或者使用其他注入的方法。

从微软官方下载Detours的源码,最终编译要得到一个detours.lib,用来Hook你要Hook的系统API。

这次的Demo是要Hook Socket编程中的send和recv函数。在自己的拦截函数里,把发送的内容保存到本地文件中,把内容记录下来。所以Demo公需要4个工程文件:

(1)一个目标程序,通过Socket连接发送消息,还需要一个辅助的服务端。

(2)一个注入程序,把动态库注入到目标程序

(3)一个Hook了目标函数,send和recv的动态库,使用Detourts库。

这是测试Demo的地址:http://download.csdn.net/detail/wzf906819823/8980741

1.要使用Detours库,导入detours.h头文件和链接detours.lib静态库 。使用这个库提供的API Hook系统API,例如在这个例子中的send和recv函数。

2.注入程序,遍历目标程序,把动态库注入目标程序。注入目标程序的方法是创建远程线程来加载这个动态库,动态库里Hook了send和recv这两个函数。在这两个函数里,把用户发送的内容保存到了文件里。

3.可以用Process Explorer查看目标程序是否已经注入我们的动态库。注入前:


注入后:发现DetoursTest_Client.exe这个进程内已经注入了我们自己的动态库,DetoursTest_HookDll.dll.


我是调参侠
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
detours 使用
03-10
最全的detours使用文档、教你如何使用微软detours技术
封装Detours用于Python中x64函数hook
Qwertyuiop2016的博客
12-22 804
我为啥要定义成二级指针?因为为啥DetourAttach要把它定义成二级指针?开始我也不理解这个问题,直到我想在Python里调用原函数,发生了无限递归的异常。为啥C++写的代码不会触发无限递归,它同样是用的函数指针来调用,要想知道原因只能自己使用x64dbg调试看看。经过漫长的调试发现,我传进去的ppPointer指针指向的值会被修改,它不在指向原函数(被hook函数),而是指向Detours新构建的一个函数指针,这也就能解释为啥不会无限递归了这里再接上。
HOOK API技术
【黑键】
10-13 4060
HOOk API技术 HOOK学习笔记与心得 奇技淫巧之调试被远程线程注入的DLL windows核心编程_系统消息与自定义钩子hook使用 [Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术] Hook :Microsoft Detours 2.1简介 detours3.0文档 Hook简单实用 detours ...
Detours使用
qq_39529180的博客
02-19 341
Detours 是一个用于在 ARM, ARM64, X86, X64 和 IA64 机器上拦截二进制函数的Detours 最常用来拦截应用程序中的 win32 api 调用,比如添加调试工具。 拦截代码在运行时动态应用。 Detours 将目标函数的前几个指令替换为无条件跳转到用户提供的 detour 函数 它与WriteProcessMemory 有所不同 区别: WritePro...
detours介绍与使用
热门推荐
liujiayu2的专栏
12-23 1万+
Detours是微软开发的一个函数,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作: 一.下载Detours      在http://research.microsoft.com/sn/detours 可免费下载Detours 二.安装Detours         一路NEXT 三.生成Detours         在安装后的文件夹下找不到直接可以拿来用的
Detours注入DLL钩子入门教程
DOwnstairs的专栏
03-26 3730
本教程非常初级,适合新手食用 开发环境,WIN10 64bit, VS2022 首先在GITHUB下载源码。GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.Detours is a software package for monitor...
Detours的作用和实例
weixin_34357267的博客
04-30 333
Detours 可以用来拦截Win32的API函数,从而让程序按照我们自定义的方式进行处理,而不是Windows默认的。 Detours 也是通过Dll的方式,拦截Api函数。 为什么是修改API的前5个字节? 现在NewCode[]里的指令相当于Jmp MyMessageBoxW 既然已经获取到了Jmp MyMessageBoxW 现在该是将Jmp MyMessag...
Detours简介 (拦截x86机器上的任意的win32 API函数)
jiangxinyu的专栏
10-18 9827
Detours 当然是用detours,微软明显高腾讯一筹,同上,至今没失败过.写这种HOOK一定要再写个测试程序,不要直接HOOK你的目的程序,例如QQ,因为这样不方面更灵活的测试. 说明一下:Detours是微软开发的一个函数(源代码可在http://research.microsoft.com/sn/detours 免费获得)用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改
关于Detours/Minhook挂钩引擎的UnHook
Fly Follow the Heart
09-19 5677
关于Detours/Minhook挂钩引擎的UnHook         文章本身可能用处不大,很少有人会用到所说的这些,权当积累。         一直在使用Detours 和 MinHook 两个Hook引擎进行一些系统API的挂钩,实现特殊的功能。就如标题所用词,UnHook,很少将一个已经Hook的函数再次进行UnHook,所以一直没有注意到问题所在。同事的提醒,让自己有了一点兴趣
Detours简单使用程序
08-09
一个简单使用Detours的例子。Hook系统API,send和recv函数。
编译好的detours
07-31
Detours 是一个在x86平台上截获任意Win32函数调用的工具。中断代码可以在运行时动态加载。编译好的detours静态可直接使用vs系列的IDE加载使用
detours(有头文件)
08-03
在CSDN中看到了有人上传,但没有头文件,所以这里上传了一份,供大家学习
基于开源CrashRpt与微软开源Detours技术深度改造的异常捕获及源码分享
最新发布
04-21
在应用程序中安装一个异常捕获模块,已经成为一种标配了。通过这个异常捕获模块,去感知(捕获)应用程序中发生的异常或崩溃,...4)具体如何使用本异常捕获,压缩包中提供了一个demo程序,可以参照demo中的做法。
一个非常好的detours应用和test 例子
07-27
一个非常好的detours应用和test 例子 谢谢大家来瞧瞧
DetoursHook
博文视点(北京)官方博客
04-09 1895
DetoursHook Detours是微软开发的一个函数,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。 在游戏或外挂分析中,可以利用Detours提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。 Detours Hook的3个关键概念 要理解Detours H
Detours使用与原理分析
wl_tian_dao_chou_qin的专栏
08-05 2939
1.什么Detours Detours是经过微软认证的一个开源Hook,其作用是拦截应用层及系统层API,注入进程代码等功能,能在无源码的情况下修改原API功能,具有线程安装效率高稳定的特点
Detours实现APIHOOK
Lassewang的成长历程
08-15 4053
Detours实现APIHOOK Detours是一个软件开发,它用于实现拦截Win32二进制代码中的API函数。 它使用一个Jmp指令替换了目标函数的前面几个字节,使得控制直接调用实现的 Detours函数。并通过一个trampoline函数保留了原来函数的功能调用。 我们知道,实现APIHOOK主要有两个重要环节,一是如何把代码注入到目标地 址空间,二是如何让自己的代码被调用。
detours-x86.lib
01-25
detours-x86.lib是微软Detours的x86平台静态链接文件,用于在Windows平台上进行函数Hook和API调用重定向。Detours是一款由Microsoft Research开发的工具,允许开发者在运行时拦截Win32二进制文件中的函数调用,改变其行为或者重定向到其他函数。 detours-x86.lib文件可以被用于开发C/C++程序,通过静态链接的方式将Detours与程序一起打包。使用detours-x86.lib可以帮助开发者实现对目标程序的函数Hook,使得程序在运行时能够被修改或者重定向,从而实现一些特定的功能,比如监控程序的行为、修改函数的返回值或者行为等。 在使用过程中,开发者可以通过链接detours-x86.lib文件来实现对目标程序的Hook,从而更容易地编写和部署Hook代码。这个静态链接文件中包含了Detours所提供的一些基本函数和数据结构的定义,方便开发者在自己的项目中直接使用这些功能,而不用重复编写底层的Hook逻辑。 总之,detours-x86.lib是一个用于在Windows平台上进行函数Hook和API调用重定向的静态链接文件,可以帮助开发者更加方便地使用Detours的功能,并实现一些特定的应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值