Windows 使用 Detours 进行 HOOK

最新推荐文章于 2024-05-19 20:58:45 发布
最新推荐文章于 2024-05-19 20:58:45 发布
阅读量2.7k 收藏 6
点赞数 1
分类专栏: Windows 文章标签: 1024程序员节 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yp18792574062/article/details/120939021
版权

一、detours 的下载和编译

1、下载 Detours:GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form. - GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.https://github.com/microsoft/Detours

2、编译

cd Detours\vc
打开 Detours.sln 编译运行

如果编译失败,重定向一下解决方案 

3、编译运行成功之后会生成 detours.lib

4、使用头文件和 detours.lib

二、使用 detours.lib 进行 Hook

这里我们进行 SendMessage 的 Hook,Hook 新定义的输出函数要和原函数参数是一样的

1、进行 API 的 Hook

主要函数

LONG WINAPI DetourAttach(_Inout_ PVOID *ppPointer,
                         _In_ PVOID pDetour);

第一个参数是原来的函数的地址,第二个参数是 Hook 之后的函数名称

void Hook() {
    DetourRestoreAfterWith();
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    //这里可以连续多次调用DetourAttach,表明HOOK多个函数
    DetourAttach(&(PVOID&)OldSendMessage, NewSendMessage);
    DetourTransactionCommit();
}

2、取消 Hook

void UnHook() {
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    //这里可以连续多次调用DetourDetach,表明撤销多个函数HOOK
    DetourDetach(&(PVOID&)OldSendMessage, NewSendMessage);
    DetourTransactionCommit();
}

3、具体代码

#include <Windows.h>
#include <iostream>
#include <thread>

#include "detours.h"

HWND hwnd;

static LRESULT(WINAPI* OldSendMessage)(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam) = SendMessage;
LRESULT WINAPI NewSendMessage(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam) {
    MessageBox(hwnd, TEXT("就不关闭!"), TEXT("关闭程序"), MB_OK | MB_ICONINFORMATION);
    return 0;
}

void Hook() {
    DetourRestoreAfterWith();
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    //这里可以连续多次调用DetourAttach,表明HOOK多个函数
    DetourAttach(&(PVOID&)OldSendMessage, NewSendMessage);
    DetourTransactionCommit();
}

void UnHook() {
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    //这里可以连续多次调用DetourDetach,表明撤销多个函数HOOK
    DetourDetach(&(PVOID&)OldSendMessage, NewSendMessage);
    DetourTransactionCommit();
}

LRESULT CALLBACK WndProc(HWND hwnd, UINT message, WPARAM wParam, LPARAM lParam) {
    switch (message) {
    case WM_CLOSE:
        DestroyWindow(hwnd);
        break;
    case WM_DESTROY:
        // MessageBox(hwnd, TEXT("关闭程序!"), TEXT("结束"), MB_OK | MB_ICONINFORMATION);
        PostQuitMessage(0);
        break;
    default:
        return DefWindowProc(hwnd, message, wParam, lParam);
    }
    return 0;
}

int main(void) {
    Hook();
    static TCHAR szAppName[] = TEXT("TextWindow");
    MSG msg;
    WNDCLASS wndclass;
    // wndclass.cbSize = sizeof(WNDCLASSEX);
    wndclass.style = CS_HREDRAW | CS_VREDRAW;                         //窗口样式
    wndclass.lpszClassName = szAppName;                               //窗口类名
    wndclass.lpszMenuName = NULL;                                     //窗口菜单:无
    wndclass.hbrBackground = (HBRUSH)GetStockObject(WHITE_BRUSH);    //窗口背景颜色
    wndclass.lpfnWndProc = WndProc;                                   //窗口处理函数
    wndclass.cbWndExtra = 0;                                          //窗口实例扩展:无
    wndclass.cbClsExtra = 0;                                          //窗口类扩展:无
    wndclass.hInstance = GetModuleHandle(0);                                   //窗口实例句柄
    wndclass.hIcon = LoadIcon(NULL, IDI_APPLICATION);               //窗口最小化图标:使用缺省图标
    wndclass.hCursor = LoadCursor(NULL, IDC_ARROW);                 //窗口采用箭头光标
    UnregisterClass(wndclass.lpszClassName, GetModuleHandle(0));
    if (!RegisterClass(&wndclass)) {    
        MessageBox(NULL, TEXT("窗口注册失败"), TEXT("错误"), MB_OK | MB_ICONERROR);
        return 0;
    }

    hwnd = CreateWindow(szAppName, TEXT("测试窗口"), WS_OVERLAPPEDWINDOW,
        0, 0, 500, 400, NULL, NULL, GetModuleHandle(0), NULL);

    ShowWindow(hwnd, SW_SHOW);
    UpdateWindow(hwnd);
    std::thread close_work = std::thread([&]() {
        for (int i = 0; i < 5; ++i) {
            std::cout << "close work: " << 5 - i << std::endl;
            std::this_thread::sleep_for(std::chrono::milliseconds(1000));
        }
        ::SendMessage(hwnd, WM_CLOSE, 0, 0);
        });
    while (GetMessage(&msg, NULL, 0, 0)) {
        TranslateMessage(&msg);
        DispatchMessage(&msg);
    }
    if (close_work.joinable()) {
        close_work.join();
    }
    std::cout << "Finish" << std::endl;
    UnHook();
    getchar();
    return 0;
}

4、运行结果

正常情况下如果不 Hook 的话,5s 过后窗口就退出了,使用 Hook 的话 5s 过后程序也不会退出

光头小杨
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于detoursWindows Hook
小龙在线
06-19 440
Detours是一个用于在Windows上监视和检测API调用的软件包。Detours 是一个由 Microsoft Research 开发的库,它允许开发人员在运行时动态地拦截(或“钩子”)Windows API 函数调用。这对于诸如调试、日志记录、模拟、扩展或修改应用程序行为等任务特别有用。通过使用 Detours,开发者可以透明地替换任何已存在的函数,同时保持其原始功能(如果需要)的可用性。
Detours-master_detours_hook_
09-30
微软的Detours,实现Hook的功能,功能很强大,可以编译后直接使用
使用Detours进行HOOK
qq_18811919的博客
03-31 661
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
Detours HOOK
cyynid的博客
05-05 799
创建一个目标程序,内容随意,需要能够编译成exe文件,并且调用了Messagebox,越简单越好,生成exe文件,这里要注意,32位和64位不能混用,不然会注入失败,这里选择了64位。tip:这里还有一个坑,添加预编译头文件到项目中后,我出现了即便导入lib库,依旧无法识别外部符号的问题,不知道原理,但是建议改为不使用预编译头,而不是添加文件。面对上述问题,是因为.NET Framework没有安装,修改安装后即可,但似乎即便没有安装,生成的lib文件也是可用的。1个是dllmain.cpp(DLL入口)
简明的Detours Hook教程
天外飞猪的家
12-24 1万+
tag: Hook, Detours,Windows,CreateRemoteThread,MessageBox 前言     项目开发中需要跟踪其它程序的API调用情况。但厂商又无源码提供,故只好自己动手去Trace了。     Google/Baidu了许久,也搜集了很多代码。也经过实验和测试,总结了本文供大家参考。     本文针对Windows Hook技术在编程中的应用进行讨论,
摸索Detours 2:使用Detours 进行简单的Hook
小鸣的专栏
09-05 1329
1.准备工作 首先,在VS里创建一个C++的控制台项目,然后配置一下项目的包含目录和库目录 32位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X86添加到库目录。 64位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X64添加到库目录。 然后在新建的文档...
使用detourswindows hook函数
生命不息 折腾不止
02-21 2388
一、hook函数 基于windows消息处理机制的一个平台,windows维持一份钩子列表,消息来后,钩子函数优先被调用,调用结束后,还是会回到源函数中执行; 二、hook作用 修改逻辑、打印内存 ,便于逆向分析; 三、工具detours 简介 钩子函数框架,可以适合arm、16位、32位、64位的操作系统 ; 关注点:基地址、函数偏移、被勾函数的原型; 四、实现钩子:如果A....
Detours Hook 工具源码阅读一
最新发布
ramonji的博客
05-19 1070
拦截代码是在运行时动态应用的。Detours 将目标函数中前几条指令替换为跳转到用户提供的 替换函数(detour function) 的无条件跳转。来自目标函数的指令(被替换掉的指令)被放在来 蹦床(trampoline)。蹦床 的地址被放在了 目标指针(target pointer)。替换函数可以替换目标函数,也可以通过指向蹦床的目标指针将目标函数作为子程序调用来扩展其语义。拦截(Detour)一个函数有两个必要准备:1 一个指向目标函数的指针;2 一个替换函数。
Detours 3.0 HOOK
11-23
Detours 3.0 HOOK库是一个强大的工具集,由微软研究部门开发,主要用于Windows操作系统上的函数拦截和行为修改。这个库允许开发者在不修改原始代码的情况下,对目标程序进行功能扩展或监控,广泛应用于调试、性能...
detours hook 完整代码
08-18
Detours Hook技术是一种在Windows操作系统中进行函数拦截和替换的方法,由Microsoft Research开发。它允许开发者在不修改目标代码的情况下,动态地改变程序的行为。在本文中,我们将深入探讨Detours Hook在64位系统...
hook windows api小测试
07-28
虽然汇编语言直接控制硬件,但对于大多数开发者来说,C/C++和其他高级语言提供的库和工具(如Detours库)更容易实现API Hook。 总之,“hook Windows API小测试”是一个实践性质的学习项目,它帮助开发者了解如何...
Detours C++ HOOK类库
04-29
"Detours C++ HOOK类库" 是一个用于在Windows平台上进行函数钩子技术实现的高级工具集。这个库由微软开发,版本为3.0,同时也包含了列宁(可能是社区开发者)的一个改进版本。Detours库使得程序员能够便捷地拦截和...
C++获取屏幕分辨率(屏幕窗口大小),屏幕显示比例(DPI)几种方法
热门推荐
yp18792574062的博客
03-08 1万+
获取屏幕的分辨率的几种方法 #include &lt;Windows.h&gt; #include &lt;iostream&gt; int main(void) { HWND hd = GetDesktopWindow(); // 方法一 RECT rect; // 只获得窗口客户区的大小 GetClientRect(hd, &amp;rect); int client_wid...
Windows 模拟弱网环境(Network Emulator for Windows Toolkit)
yp18792574062的博客
10-28 8870
https://my.oschina.net/wangxindong/blog/800720
Windows下好玩的一些命令(会持续更新)
yp18792574062的博客
03-09 4676
查看文件的MD5值 certutil -hashfile filename MD5 建立远程桌面连接 mstsc 当然也可以使用TeamViewer 显示桌面键盘 osk 检查windows版本 winver 查看cmd窗口下的所有命令 help 知道命令之后查看命令的使用方法 ...
Windows C++ 窗口全屏
yp18792574062的博客
03-30 4455
1、在一些场景中我们需要将应用程序窗口进行全屏显示,比如一些会议程序,为了观看的清晰度,会将整个渲染窗口全屏显示。下面主要就实现一下这个功能 2、首先创建一个窗口 LRESULT CALLBACK WndProc(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam) { switch (uMsg) { case WM_LBUTTONDOWN: break; case WM_PAINT: break
Windows下安装conan
yp18792574062的博客
01-12 4319
1、首先安装python 地址:https://www.python.org/ftp/python/3.8.1/python-3.8.1-amd64.exe 关于Windows下如何安装python,可以参考Windows下安装python 安装成功后再命令行输入:python --version,如果出现下面的画面表示安装成功 2、因为安装python的时候会自动安装pip,所...
Detourshook 所有线程
05-20
Detours库是一个微软开发的钩子库,可以用于在运行时修改二进制代码。在Windows系统中,Detours库可以通过修改导入表或者IAT表来实现hook功能。当应用程序调用某个函数时,Detours会将该函数的调用地址替换为自己的函数地址,从而实现hook功能。 如果要hook所有线程,可以使用Detours的全局钩子功能。全局钩子会监控所有线程的函数调用,并在需要的时候进行hook操作。在使用Detours全局钩子时,需要在DllMain函数中设置全局钩子,并在钩子函数中进行相关操作。同时需要注意,全局钩子会对所有线程产生影响,可能会影响系统的稳定性和安全性,因此需要谨慎使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值