Detours 小试牛刀之拦截 API 函数(APIHook)

最新推荐文章于 2021-10-29 09:32:05 发布
最新推荐文章于 2021-10-29 09:32:05 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 开发语言 文章标签: api winapi dll hook microsoft thread

无意之中看到 Microsoft Research 里面新出了好东西,Detours,开放源代码,实现了拦截跨进程 API 函数等等功能,从它提供的例程来看,还支持 COM,DCOM 等等。。。以前 Hook API 非常麻烦,Win9X 下由于没有公开的接口,各大厂商为了实现拦截API,使用了各种魔术代码,对于外人来说,高深莫测。虽然 WinNT 平台相对容易一些,但是还是需要编写大量的代码,Detours 的出现,使得编写一个最简单的 Hook,只需要几十行代码。拿到 Detours,我最想知道它在 9X 下如何工作的,可惜最后发现,Detours 并不支持 9X。。。想来 9X 的时代已经远去了,所以也不去计较了。
API Hook 有什么用呢,比如字典软件实现屏幕取词,就是拦截 GDI 绘制文本的相关函数实现的,如果拦截注册表,可以实现一个注册表监视器。一些小说阅读器加密了内容,使得复制文字出来非常困难,但是借助于拦截 IE 内核的 HTML 解析函数,一切文本立刻现身,还可以动态调试第三方的库,甚至伪造和欺骗程序调用。。。总之用途多多。。。

下面的图显示了 Detours 的调用关系:

粗略看了下源代码,Detours 注入进程的基本原理是修改了目标进程的导入表。

下面实际说说如何实现,程序主要分为两部分,一个做钩子DLL,一个注入钩子的主程序:
首先来看钩子DLL:

程序代码 程序代码

#include "stdafx.h"
#include "DetourDll.h"

#include "detours.h"

#pragma comment(lib,"detours.lib")


int WINAPI CopyWriteFile(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped);
DETOUR_TRAMPOLINE(int WINAPI CopyWriteFile(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped), WriteFile);
int WINAPI MyWriteFile(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped)
{
    CopyMessageBoxA(0, (LPCTSTR)lpBuffer, "hook", MB_OK);
    int nResult = CopyWriteFile(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);    //调用原始函数
    return nResult;
}

BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
            DetourFunctionWithTrampoline((PBYTE)CopyWriteFile, (PBYTE)MyWriteFile);
            break;
        case DLL_THREAD_ATTACH:
            break;
        case DLL_THREAD_DETACH:
            break;
        case DLL_PROCESS_DETACH:
            DetourRemove((PBYTE)CopyWriteFile, (PBYTE)MyWriteFile);
            break;
    }
    return TRUE;
}


LRESULT WINAPI MsgProc(int code, WPARAM wParam, LPARAM lParam)
{
    //note :on windows 2k ,the 1st paramter to CallNextHookEx can be NULL
    //On win 98 ,it must be the hook handle
    return(CallNextHookEx(NULL,code,wParam,lParam));
}


在这里,我们准备好要挂钩的函数代码,然后在DllMain里面完成函数的替换就可以了。注意这个dll要导出 MsgProc。
注入程序则非常简单
使用 DetourCreateProcessWithDll() 代替 CreateProcess() 创建进程就可以了,当然也可以附加到进程,具体文档中写得很详细,需要指出的是一些老的文章里面提到的 DetourContinueProcessWithDll(),已经被 DetourCopyPayloadToProcess() 取代,不过这个我没有试。
这个程序运行后,会拦截程序写文件的操作,并且告知写入了什么。比如记事本保存文件的时候就会触发。


Detours 可以在 http://research.microsoft.com/en-us/projects/detours/ 下载。

最后还有个小问题没有解决,Detours 如何拦截 stdcall 以外的函数调用,比如 fastcall 或者 nakedcall。。。期待高手解决了。

三断笛
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[转]C/C++ HOOK API(原理深入剖析之-LoadLibraryA)
Neil
05-06 702
9月都快结束了,之前一直忙到写自己的东西加上上班。基本没有时间研究下汇编和C C++方面的感兴趣的东西。再怎么说嘛,9月还是得写一篇撒,以后每月至少一篇吧。给自己定了,希望大家监督。嘿嘿!这篇文章就来谈谈平常很常见的HOOK技术,这里呢。写得比较简单,方法很多。只讲原理!希望大鸟们别吐我口水哈 - -。好!切入正题。首先是概念吧。什么是钩子(HOOK)?钩子(Hook),是Window
Windows 使用 Detours 进行 HOOK
yp18792574062的博客
10-24 2688
一、detours 的下载和编译 1、下载 Detours:GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form. 2、编译 cd Detours\vc 打开 Detours.sln 编译运行 如果编译失败,重定向一下解决方案 3、编译运行成功之后会.
Windows消息拦截技术的应用(Hook钩子)
lzzw的学习之路
08-25 8034
一、前 言 众所周知,Windows程式的运行是依靠发生的事件来驱动。换句话说,程式不断等待一个消息的发生,然后对这个消息的类型进行判断,再做适当的处理。处理完此次消息后又回到等待状态。从上面对Windows程式运行机制的分析不难发现,消息在用户与程式之间进行交流时起了一种中间“语言”的作用。在程式中接收和处理消息的主角是窗口,它通过消息泵接收消息,再通过一个窗口过程对消息进行相应的处理。 消息拦截的实现是在窗口过程处理消息之前拦截到消息并做相关处理后再传送给原窗口过程。通常情况下,程序员可以在窗口过程
开源项目推荐:Hook逆向技术之API拦截Detours
$firecat利白的代码足迹$
09-30 1815
1、开源项目 Detours Detours 是一个软件包,用于在 Windows 上监视和检测 API 调用。 https://www.microsoft.com/en-us/research/project/detours/ https://github.com/microsoft/detours 2、商业项目 WinAPIOverride http://jacquelin.potier.free.fr/winapioverride32/ API Monitor http:/.
API拦截—实现Ring3全局HOOK
迈克揉索芙特
01-02 4575
       魏滔序注:本转载内容仅用来技术研究,请勿于损人害己之用。       首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程,然后对每个Ring3进程执行一遍HOOK操作。但是,系统中总有新进程产生,对于这些新进程我们怎么处理
APIHook(detours).rar_APIHOOK_API拦截_C++ Detours_detours_nativeap
09-22
在IT领域,API HookAPI拦截)是一种技术,允许开发者拦截和修改系统或应用程序中特定API函数的行为。这种技术在调试、监控、日志记录、性能分析以及恶意软件分析等场景下广泛应用。Detours微软研究实验室开发的...
apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip
04-04
本资料包“apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip”显然关注于这个主题,提供了如何在任意指定的进程中实现API Hook的技术细节。 API Hook主要分为几种类型: 1. **全局Hook**:全局Hook在系统...
使用Detours拦截API的程序
01-29
首先,Detours库的核心原理是基于钩子(Hook)技术,它通过动态二进制代码注入来替换目标函数的入口点,使得每次调用该函数时,实际上都会先执行我们设定的拦截代码。这种方式使得开发者可以在不修改原始代码的情况...
Detours-Express-2.1-master.zip_APIHOOK_detours_maplestory
09-24
APIHOOK_detours_maplestory:使用Detours库在Windows上实现Maplestory的API钩子》 在软件开发中,API钩子是一种强大的技术,它允许开发者监控或修改其他程序对特定API函数的调用行为。在Windows环境中,Detours...
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
在提供的压缩包中,`APIHook`可能包含一个示例程序,演示了如何使用Detours库来拦截并修改`recv`函数的行为。这个示例可以作为其他API Hook实现的基础,开发者可以根据需要修改和扩展,以适应自己的项目需求。 总结...
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
06-26
分享一个大神的hook示例,理论上能Hook任意地址和获取寄存器数据
Detours学习之十三:Detours API用于将dll和有效负载插入新进程的api
jyl_sh的专栏
10-29 2668
用于将dll和有效负载插入新进程的api DetourCreateProcessWithDllEx DetourCreateProcessWithDlls DetourCopyPayloadToProcess DetourCopyPayloadToProcessEx DetourFinishHelperProcess DetourIsHelperProcess DetourRestoreAfterWith 一、DetourCreateProcessWithDllEx 创建一个新进程并将DLL
使用Sniffer截获流经本机网卡的IP数据包
raphyer的专栏
10-07 3558
Win2K下的Sniffer工具源代码 详细信息   Win2K下的Sniffer源代码。[代码性质] VC完整应用程序代码[代码作者] zw[文件大小] 130K [更新日期] 2002-11-26 19:47:00 [下载次数] 6015  http://www.vckbase.com/code/downcode.asp?id=1692IP包监听程序(For 9x)源代码 详细信息
Detours Hook
04-09 145
Detours Hook Detours微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/proj...
detours 通过修改输入表注入DLL
Lassewang的成长历程
08-14 3072
前段时间有一个需求,就是在进程启动的第一时间实现dll的注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
微软研究院Detour开发包之API拦截技术
niushitang的专栏
11-19 607
我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。 通过访 问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业 化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Deto
Detour开发包介绍(1):概述
jiangqin115的专栏
09-21 1010
微软研究院Detours开发包是一个用来在二进制级别上对程序中的函数(Function)或者过程(Procedure)进行修改的工具库。一般我们将这种技术称为Hook。在现实中,这种技术可以应用在很多场景下。比如截获某些Windows API,在实际调用到系统函数前进行一些过滤工作;软件中使用到了一些没有源代码的第三方库,但是又想增强其中某些函数的功能;修改函数返回值;为调试以及性能测试加入附加的
api hook 拦截 复制
最新发布
08-04
API Hook是一种用于拦截应用程序的API调用的技术。拦截复制API的目的是为了在复制操作发生之前或之后对其进行自定义处理。 通过API Hook,我们可以修改或扩展应用程序的行为。当拦截复制API时,可以在复制操作执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值