Detours库Windows API Hook

已于 2024-07-08 17:27:53 修改
阅读量33 收藏
点赞数
文章标签: windows 单片机 驱动开发
于 2024-07-08 16:54:41 首次发布
原文链接:https://blog.csdn.net/ly1390811049/article/details/104477650
版权

什么是Detours 
简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现API HOOK的功能。

  Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detours 被广泛应用在微软内部和其他行业中。 

在使用 Detours 劫持之前必须得拥有这两个东西:detours.h 和 detours.lib

从GitHub上下载源码

GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.

1、电脑中装了 VS2019或者更高,所以会有这个下图中的这个命令行程序,要以管理员身份运行
2、找到x64 Native Tools Command Prompt for VS 2019,x86 Native Tools Command Prompt for VS 2019,版本不同生成不同
3、先使用 cd 命令切换到所下载的源码目录下 (如果不是以管理员身份运行的,你将切换失败) :cd 你的路径
4、然后使用命令编译即可:nmake /f makefile
5、编译成功,会有集合文件夹

LONG DetourAttach(
     PVOID * ppPointer,
     PVOID pDetour     
);

这个函数的职责是挂接目标API,函数的第一个参数是一个指向将要被挂接函数地址的函数指针,第二个参数是指向实际运行的函数的指针,一般来说是我们定义的替代函数的地址。但是,在挂接开始之前,还有以下几件事需要完成: 需要对detours进行初始化.  需要更新进行detours的线程.  这些可以调用以下函数很容的做到: 

DetourRestoreAfterWith()   //恢复之前状态,避免反复拦截
DetourTransactionBegin()  //开始劫持
DetourUpdateThread(GetCurrentThread())//刷新当前的线程
DetourTransactionCommit()        //提交修改,立即HOOk

在这两件事做完以后,detour函数才是真正地附着到目标函数上。在此之后,调用DetourTransactionCommit()是detour函数起作用并检查函数的返回值判断是正确还是错误。 

#include "stdafx.h"
#include<detours.h>
#include<Windows.h>
#pragma comment(lib,"detours.lib")
 
void HookOn();
void HookOff();
 
static int (WINAPI *OldMesssageBoxA)
(
    HWND hWnd,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType
) = MessageBoxA;
 
static int (WINAPI *OldMesssageBoxW)
(
    HWND hWnd,
    LPCWSTR lpText,
    LPCWSTR lpCaption,
    UINT uType
) = MessageBoxW;
 
// 注意了,自定义函数得和被 HOOK 的函数一样,否则会发生异常。
int WINAPI MyFunction0
(
    HWND hWnd,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType
);
 
int WINAPI MyFunction1
(
    HWND hWnd,
    LPCWSTR lpText,
    LPCWSTR lpCaption,
    UINT uType
);
 
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        HookOn();
        break;
    case DLL_THREAD_ATTACH:
        break;
    case DLL_THREAD_DETACH:
        break;
    case DLL_PROCESS_DETACH:
        HookOff();
        break;
    }
    return TRUE;
}
 
void HookOn()
{
    //开始事务
    DetourTransactionBegin();
    //更新线程信息  
    DetourUpdateThread(GetCurrentThread());
    //将拦截的函数附加到原函数的地址上,这里可以拦截多个函数。
    DetourAttach(&(PVOID&)OldMesssageBoxA, MyFunction0);
    DetourAttach(&(PVOID&)OldMesssageBoxW, MyFunction1);
    //结束事务
    DetourTransactionCommit();
}
 
void HookOff()
{
	//恢复之前状态,避免反复拦截
	DetourRestoreAfterWith();
    //开始事务
    DetourTransactionBegin();
    //更新线程信息 
    DetourUpdateThread(GetCurrentThread());
    //将拦截的函数从原函数的地址上解除,这里可以解除多个函数。
    DetourDetach(&(PVOID&)OldMesssageBoxA, MyFunction0);
    DetourDetach(&(PVOID&)OldMesssageBoxW, MyFunction1);
    //结束事务
    DetourTransactionCommit();
}
 
// 调用被 HOOK 的函数可以用被 HOOK 函数的指针,不能用原函数。
int WINAPI MyFunction0(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType)
{
     return OldMesssageBoxA(NULL, "Hooking your MessageBoxA!", "Warming", MB_OKCANCEL);
}
 
int WINAPI MyFunction1(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)
{
    return OldMesssageBoxW(NULL, L"Hooking your MessageBoxW!", L"Warming", MB_OKCANCEL);
}

原理

Detours定义了三个概念:
 
(1) Target函数:要拦截的函数,通常为Windows的API。
(2) Trampoline函数:Target函数的复制品。因为Detours将会改写Target函数,所以先把Target函数复制保存好,一方面仍然保存Target函数的过程调用语义,另一方面便于以后的恢复。
(3) Detour 函数:用来替代Target函数的函数。
 
Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令(共5个字节)把对Target函数的调用引导到自己的Detour函数, 把Target函数的开头的5个字节加上JMP Address_of_ Target _ Function+5作为Trampoline函数。例子如下:
 
拦截前:Target _ Function:
;Target函数入口,以下为假想的常见的子程序入口代码
push   ebp
mov   ebp,   esp
push   eax
push   ebx
Trampoline:
;以下是Target函数的继续部分
……
 
拦截后: Target _ Function:
jmp   Detour_Function
Trampoline:
;以下是Target函数的继续部分
……
 
Trampoline_Function:
; Trampoline函数入口, 开头的5个字节与Target函数相同
push   ebp
mov   ebp,   esp
push   eax
push   ebx
;跳回去继续执行Target函数
jmp   Target_Function+5

HOOK后的MessageBoxA

替换后的MyFunction0

 调用MessageBox

 

上面是5字节的HOOK,如果函数的开始5字节不是完整的汇编指令集,Detours会自动Hook大于5字节且在保证最少字节数的情况下汇编指令完整的。

HOOK之前

HOOK之后   HOOK了8字节

 

利用Detours实现任意位置的HOOK

PVOID g_pTestHook;
 
void TestSrc()
{
	MessageBoxA(NULL, "TestSrc", "", 0);
}
 
void  __declspec(naked) TestHooK()
{
	MessageBoxA(NULL, "Test Src Start", "", 0);
	MessageBoxA(NULL, "Test Src End", "", 0);
 
	_asm {
		jmp g_pTestHook
	}
}
 
void HookOn()
{
	TestSrc();
 
	g_pTestHook = PVOID((DWORD)TestSrc + 1);  //HOOK 函数的第二个字节
 
	DetourTransactionBegin();
 
	DetourUpdateThread(GetCurrentThread());
 
	DetourAttach(&g_pTestHook, TestHooK);
 
	DetourTransactionCommit();
 
	TestSrc();
}

库函数介绍

HOOK相关的函数

DetourTransactionBegin

LONG DetourTransactionBegin(VOID);
//如果成功,则返回NO_ERROR;否则,返回0。否则,返回错误代码。

开始事务

开始事务之后,程序可以调用 DetourAttach或 DetourAttachEx API HOOK目标函数,调用DetourDetach API恢复目标函数,或者调用 DetourUpdateThread API在事务更新中线程。

在程序调用DetourTransactionCommit或 DetourTransactionCommitEx API 提交事务之后,附加,分离和线程操作才会生效 。或者,程序可以使用DetourTransactionAbort API 中止事务 。

DetourUpdateThread

LONG DetourUpdateThread(
    _In_ HANDLE hThread        //待处理事务更新线程的句柄
    );
 
//如果成功,则返回NO_ERROR;否则,返回0。否则,返回错误代码。

DetourUpdateThreadDetourTransactionBegin API 打开的事务提交时,使用指定的线程进行更新 。

提交事务时,不会更新未在事务中登记的线程。结果,他们可能试图执行新旧代码的非法组合。

DetourAttach HOOK函数

LONG DetourAttach(
    _Inout_ PVOID * ppPointer, //被HOOk函数地址   这个一个二级指针成功调用之后被改变成新的函数地址 前5个字节然后jmp到原函数的第六个字节
    _In_    PVOID pDetour        //替换的函数地址
    );

DetourAttachEx  HOOK函数

LONG DetourAttachEx(
    _Inout_   PVOID * ppPointer, //被HOOk函数地址   这个一个二级指针成功调用之后被改变成新的函数地址 前5个字节然后jmp到原函数的第六个字节
    _In_      PVOID pDetour,  //替换的函数地址
    _Out_opt_ PDETOUR_TRAMPOLINE * ppRealTrampoline //用于接收中转函数地址的信息 包括中转函数的地址,代码(前5个字节)等
    _Out_opt_ PVOID * ppRealTarget  //用于接收目标函数的最终地址
    _Out_opt_ PVOID * ppRealDetour  //用于接收替换函数的最终地址
    );
 
 
struct _DETOUR_TRAMPOLINE
{
    BYTE            rbCode[30];     // target code + jmp to pbRemain 中转函数地址
    BYTE            cbCode;         // size of moved target code.  修改前几个字节  5
    BYTE            cbCodeBreak;    // padding to make debugging easier.
    BYTE            rbRestore[22];  // original target code.
    BYTE            cbRestore;      // size of original target code.
    BYTE            cbRestoreBreak; // padding to make debugging easier.
    _DETOUR_ALIGN   rAlign[8];      // instruction alignment array.
    PBYTE           pbRemain;       // first instruction after moved code. [free list]
    PBYTE           pbDetour;       // first instruction of detour function.
};

DetourDetach  取消HOOK

LONG DetourDetach(
    _Inout_ PVOID * ppPointer,  //被HOOK函数地址的二级指针
    _In_    PVOID pDetour        //替换函数的地址
    );
用于查找目标函数的API

DetourFindFunction

PVOID DetourFindFunction(
    _In_ LPCSTR pszModule,  //应在其中找到函数的DLL或二进制文件的路径。
    _In_ LPCSTR pszFunction  //要找到的函数的名称。
    );
//如果成功,则返回函数pszFunction的地址;否则,返回NULL。

DetourFindFunction 尝试通过动态链接命名模块的导出表来检索命名函数的函数指针,如果失败,则使用DbgHelp API(如果可用)调试符号。

DetourCodeFromPointer

PVOID DetourCodeFromPointer(
    _In_      PVOID pPointer,  //指向函数的指针。
    _Out_opt_ PVOID *ppGlobals //变量,用于接收函数的全局数据的地址。
    );
//返回指向实现该功能的代码的指针。

返回一个指向实现函数指针的代码的指针。

DetourCodeFromPointer返回指向实现函数指针所指向的函数的代码的指针。当二进制文件与DLL静态链接时,指向DLL函数的指针通常不指向DLL中的代码,而是指向二进制文件的导入表中的跳转语句。DetourCodeFromPointer返回实际目标函数的地址,而不是跳转语句。

用于获取加载的二进制文件信息的API

DetourEnumerateModules 枚举模块

HMODULE DetourEnumerateModules(
    _In_opt_ HMODULE hModuleLast  //终止模块的句柄,NULL枚举全部
    );

 DetourGetEntryPoint 返回模块的入口点

PVOID DetourGetEntryPoint(
    _In_opt_ HMODULE hModule   //模块句柄
    );

DetourGetModuleSize 返回模块的加载大小

ULONG DetourGetModuleSize(
    _In_ HMODULE hModule   //模块句柄
    );

DetourEnumerateExports 枚举模块的导出函数 

BOOL DetourEnumerateExports(
    _In_     HMODULE hModule,  //模块的句柄
    _In_opt_ PVOID pContext,   //程序的上下文
    _In_     PF_DETOUR_ENUMERATE_EXPORT_CALLBACK pfExport  //枚举回调函数
    );
 
typedef BOOL (CALLBACK *PF_DETOUR_ENUMERATE_EXPORT_CALLBACK)(_In_opt_ PVOID pContext,
                                                             _In_ ULONG nOrdinal,
                                                             _In_opt_ LPCSTR pszName,
                                                             _In_opt_ PVOID pCode);

DetourEnumerateImports 枚举导入函数 

BOOL DetourEnumerateImports(
    _In_opt_ HMODULE hModule,  //模块的句柄
    _In_opt_ PVOID pContext,  //特定于程序的上下文,该上下文将传递给pfImportFile和 pfImportFunc
    _In_opt_ PF_DETOUR_IMPORT_FILE_CALLBACK pfImportFile, //每个模块导入的文件将调用一次回调函数
    _In_opt_ PF_DETOUR_IMPORT_FUNC_CALLBACK pfImportFunc  //每个模块导入的函数将调用一次回调函数
    );
 
typedef BOOL (CALLBACK *PF_DETOUR_IMPORT_FILE_CALLBACK)(_In_opt_ PVOID pContext,
                                                        _In_opt_ HMODULE hModule,
                                                        _In_opt_ LPCSTR pszFile);
 
typedef BOOL (CALLBACK *PF_DETOUR_IMPORT_FUNC_CALLBACK)(_In_opt_ PVOID pContext,
                                                        _In_ DWORD nOrdinal,
                                                        _In_opt_ LPCSTR pszFunc,
                                                        _In_opt_ PVOID pvFunc);

DetourEnumerateImportsEx 枚举从模块导入函数 

BOOL DetourEnumerateImportsEx(
    _In_opt_ HMODULE hModule,   //模块的句柄
    _In_opt_ PVOID pContext,  //上下文将传递给pfImportFile和 pfImportFunc
    _In_opt_ PF_DETOUR_IMPORT_FILE_CALLBACK pfImportFile,  //每个模块导入的文件将调用一次回调函数
    _In_opt_ PF_DETOUR_IMPORT_FUNC_CALLBACK_EX pfImportFunc  //每个模块导入的函数将调用一次回调函数
    );
 
 
typedef BOOL (CALLBACK *PF_DETOUR_IMPORT_FUNC_CALLBACK_EX)(_In_opt_ PVOID pContext,
                                                           _In_ DWORD nOrdinal,
                                                           _In_opt_ LPCSTR pszFunc,
                                                           _In_opt_ PVOID* ppvFunc);

 DetourFindPayload 定位二进制文件中映射的payloads

_Writable_bytes_(*pcbData)
_Readable_bytes_(*pcbData)
_Success_(return != NULL)
PVOID DetourFindPayload(
    _In_opt_ HMODULE hModule,  //模块句柄
    _In_     REFGUID rguid,
    _Out_    DWORD * pcbData
    );

 DetourGetContainingModule 根据函数地址,查找所在的模块

HMODULE DetourGetContainingModule(
    _In_ PVOID vpAddr         //函数地址
    );

DetourGetSizeOfPayloads 获取Payload的大小  

DWORD DetourGetSizeOfPayloads(
    _In_ HMODULE hModule
    );
修改PE文件相关的API
  1. DetourBinaryOpen打开一个PE二进制文件。
  2. DetourBinaryEnumeratePayloads枚举二进制文件中的payloads。
  3. DetourBinaryFindPayload查找指定的payload。
  4. DetourBinarySetPayload设置或者替换一个指定的payload。
  5. DetourBinaryDeletePayload删除一个指定的payload。
  6. DetourBinaryPurgePayloads删除二进制中的所有payloads。
  7. DetourBinaryEditImportsModifythePEbinaryimporttable。
  8. DetourBinaryResetImports复位PE二进制导入地址表。
  9. DetourBinaryWrite把PE映像写入到一个文件中。
  10. DetourBinaryClose关闭PE二进制映像。
  11. DetourBinaryBind使用BindImage绑定二进制映像。

DLL和区段注入进程相关的API

DetourCreateProcessWithDllEx  启动程序并注入DLL

BOOL DetourCreateProcessWithDllEx(
    _In_opt_    LPCTSTR lpApplicationName,  //CreateProcess API定义的应用程序名称
    _Inout_opt_ LPTSTR lpCommandLine,   //CreateProcess API定义的命令行
    _In_opt_    LPSECURITY_ATTRIBUTES lpProcessAttributes, //CreateProcess API定义的流程属性
    _In_opt_    LPSECURITY_ATTRIBUTES lpThreadAttributes, //CreateProcess API定义的线程属性
    _In_        BOOL bInheritHandles,  //CreateProcess API定义的句柄标志
    _In_        DWORD dwCreationFlags,  //CreateProcess API定义的创建标志
    _In_opt_    LPVOID lpEnvironment,    //CreateProcess API定义的流程环境变量
    _In_opt_    LPCTSTR lpCurrentDirectory, //CreateProcess API定义的当前目录
    _In_        LPSTARTUPINFOW lpStartupInfo,  //CreateProcess API定义的启动信息
    _Out_       LPPROCESS_INFORMATION lpProcessInformation,  //CreateProcess API定义的处理句柄信息
    _In_        LPCSTR lpDllName, //要插入到新进程中的DLL的路径名。为了同时支持32位和64位应用程序,如果DLL包含32位代码,则DLL名称应以“ 32”结尾;如果DLL包含64位代码,则DLL名称应以“ 64”结尾。如果目标进程的大小与父进程的大小不同,则Detours会自动在路径名中将“ 32”替换为“ 64”或将“ 64”替换为“ 32”。
    _In_opt_    PDETOUR_CREATE_PROCESS_ROUTINEW pfCreateProcessW //指向程序特定替代CreateProcess API的指针;如果应使用标准CreateProcess API创建新进程,则为NULL。
    );

 DetourCreateProcessWithDlls 启动程序并注入DLL

BOOL DetourCreateProcessWithDlls(
    _In_opt_          LPCTSTR lpApplicationName,
    _Inout_opt_       LPTSTR lpCommandLine,
    _In_opt_          LPSECURITY_ATTRIBUTES lpProcessAttributes,
    _In_opt_          LPSECURITY_ATTRIBUTES lpThreadAttributes,
    _In_              BOOL bInheritHandles,
    _In_              DWORD dwCreationFlags,
    _In_opt_          LPVOID lpEnvironment,
    _In_opt_          LPCTSTR lpCurrentDirectory,
    _In_              LPSTARTUPINFOW lpStartupInfo,
    _Out_             LPPROCESS_INFORMATION lpProcessInformation,
    _In_              DWORD nDlls,
    _In_reads_(nDlls) LPCSTR *rlpDlls,
    _In_opt_          PDETOUR_CREATE_PROCESS_ROUTINEW pfCreateProcessW
    );

DetourCopyPayloadToProcess

BOOL DetourCopyPayloadToProcess(
    _In_                     HANDLE hProcess,  //进程句柄
    _In_                     REFGUID rguid,    //区段id
    _In_reads_bytes_(cbData) PVOID pvData,     //指向区段的指针
    _In_                     DWORD cbData      //区段的大小
    );

无情时尚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
detours(有头文件)
08-03
在CSDN中看到了有人上传,但没有头文件,所以这里上传了一份,供大家学习
使用Detours进行HOOK
最新发布
qq_18811919的博客
03-31 671
Detours微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
Detours简介
热门推荐
oneVs1的专栏
10-20 1万+
Detours 是Microsoft开发一个,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能:1 拦截x86机器上的任意的win32 API函数。2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours
Detours 使用(一)
wzf906819823的专栏
08-09 2898
Detours微软开发的一个函数,可用于捕获系统APIDetours的编译方法:http://blog.csdn.net/hewei0241/article/details/38326899 测试环境:win7 x86 PS:win x64 在注入的时候,所有测试程序是32位的。如果使用创建远程线程函数的方法来注入动态,在win7 x64下,CreateRemoteThread会
VS217编译安装Detours
HiMark
08-08 999
A、添加工程的头文件目录:工程—属性—配置属性—c/c+±–常规—附加包含目录:加上头文件存放目录。 B、添加文件引用的lib静态路径:工程—属性—配置属性—链接器—常规—附加目录:加上lib文件存放目录。 C 然后添加工程引用的lib文件名:工程—属性—配置属性—链接器—输入—附加依赖项:加上lib文件名 编译Detours生成Lib文件 1 将下载的Detours放到目录下: C:\P...
API-HOOK.rar_Hook windows api
09-24
7. **Detours**:微软开发,提供了一种方便的方式来实现API Hook,适用于C++环境。 在Visual C++ 6环境中,开发者通常会利用Microsoft的SDK和MFC来实现API Hook。具体步骤可能包括: 1. 定义钩子函数,这...
精选_基于DetoursHOOK API_源码打包
03-08
总的来说,“精选_基于DetoursHOOK API_源码打包”是一个宝贵的资源,它可以帮助开发者深入了解和掌握Windows平台上的API Hooking技术,提升在系统级编程和软件调试方面的能力。通过实际操作和学习提供的源码,能...
Detours 3.0 HOOK
11-23
Detours 3.0 HOOK是一个强大的工具集,由微软研究部门开发,主要用于Windows操作系统上的函数拦截和行为修改。这个允许开发者在不修改原始代码的情况下,对目标程序进行功能扩展或监控,广泛应用于调试、性能...
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
这个压缩包文件"APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de"包含了一个使用Detours来实现API Hook的例子,特别是针对Windows系统中的`recv`函数。下面我们将深入探讨API HookDetours...
Detours-Express-2.1-master.zip_APIHOOK_detours_maplestory
09-24
APIHOOK_detours_maplestory:使用DetoursWindows上实现Maplestory的API钩子》 在软件开发中,API钩子是一种强大的技术,它允许开发者监控或修改其他程序对特定API函数的调用行为。在Windows环境中,Detours...
Detours简单使用程序
08-09
一个简单使用Detours的例子。Hook系统API,send和recv函数。
Detours4.0最新版HOOK源码,支持32及64位程序,这是正版源码。官方是收费的。
09-09
Detours4.0最新版,支持32及64位程序,这是正版源码。官方是收费的。
一个非常好的detours应用和test 例子
07-27
一个非常好的detours应用和test 例子 谢谢大家来瞧瞧
Detours-4.0.1
08-09
VS2015编译好的的Detours 4.0.1版本的静态hook,支持x86,x64和其他Windows兼容处理器(IA64和ARM)下的。它包括对32位或64位进程的支持。微软自家的产品。
C++封装Detours挂钩函数
陈子青的博客
10-07 458
DetourTransactionCommit():执行当前的Transaction过程。在这个函数中才会真正进行截获或者解除截获操作。DetourUpdateThread():列入一个在DetourTransaction过程中要进行update的线程。DetourTransactionBegin():开始一次截获或者解除截获过程。DetourAttach():添加一个要截获的目标函数。DetourDetach():用来解除截获的函数。这个函数的作用稍微有一些复杂,会在后面专门说明。
Detours使用与原理分析
wl_tian_dao_chou_qin的专栏
08-05 3213
1.什么Detours Detours是经过微软认证的一个开源Hook,其作用是拦截应用层及系统层API,注入进程代码等功能,能在无源码的情况下修改原API功能,具有线程安装效率高稳定的特点
使用Detours完成一个安全检测小工具
panfengblog
03-27 1808
使用Detours完成一个安全检测小工具 Detours可以拦截任意的API调用,拦截代码是在动态运行时加载的。github链接:PFSafetyGuard???? 1. Get start 1.1 项目介绍 项目主要有四个部分: testCode:测试程序,主要包含一些我们需要抓取的API和异常操作 PFDLL:定义了需要HOOK的winAPI和替换的函数 syringe:注射器程序,主要将PFDLL程序中的替换函数替换测试程序testCode中的API PFSafetyGuard:图形界面程序
Detours配置记录
panfengblog
03-27 1008
Detours配置记录 记录一下Detours的配置过程 首先在Detours-github下载Detours源码,然后解压,在src目录下使用vs2019的x86_x64 Cross Tools Command Prompt for VS 2019工具进行编译 nmake /f Makefile 编译完成后会在目录下得到bin、lib和include文件夹,如下图所示 然后再在VS中新建一个dll项目,再项目属性中添加include和lib的位置,这样detours的配置就完成
Detour hookx86 x64编译
qing666888的专栏
08-09 9578
Detours Detours是经过微软认证的一个开源Hook,编译好的下载地址:https://download.csdn.net/download/qing666888/10593942 Detours 4.0.1现在是MIT许可下的开源软件。Detours在GitHub上,网址为https://github.com/Microsoft/Detours。源代码与Detours 3...
Detours hook 所有线程
05-20
Detours是一个微软开发的钩子,可以用于在运行时修改二进制代码。在Windows系统中,Detours可以通过修改导入表或者IAT表来实现hook功能。当应用程序调用某个函数时,Detours会将该函数的调用地址替换为自己的函数地址,从而实现hook功能。 如果要hook所有线程,可以使用Detours的全局钩子功能。全局钩子会监控所有线程的函数调用,并在需要的时候进行hook操作。在使用Detours全局钩子时,需要在DllMain函数中设置全局钩子,并在钩子函数中进行相关操作。同时需要注意,全局钩子会对所有线程产生影响,可能会影响系统的稳定性和安全性,因此需要谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值