Detours 2.1

最新推荐文章于 2013-12-24 17:17:26 发布
置顶 最新推荐文章于 2013-12-24 17:17:26 发布
阅读量854 收藏
点赞数
文章标签: api dll 测试 平台 扩展 开发工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaoxin790103/article/details/2176477
版权

导读:

概   述
        系统研究方式的创新,取决于对现有操作系统和应用程序功能进行扩展及测试手段简化的能力。通过使用相应程序的源代码,我们通常不需要开发嵌入新的代码或重新改造操作系统、应用程序来进行扩展。但问题是当今的系统研究人员很少能够有机会获得相关的源代码。
        Detours是一强大的工具,提供了简单易用的函数接口来拦截WIN32 API调用和为一个已在运行的进程装入一个DLL。
        Detours是一个可以在x86,x64,和IA64平台上测试任意Win32函数的程序库。Detours可以通过为目标函数重写在内存中的代码而拦截win32函数。Detours软件包还可以将任意的dll和数据片段(称之为有效载荷)注入到任意的win32二进制文件当中。
        Detours将未经测试的目标函数(可以通过trampoline函数调用)作为一个为测试使用的子程序进行保护。这个trampoline函数的设计,可以让多种新的扩展应用到现有的二进制软件当中。
        我们已经使用Detours创建了一个自动运行的分布式分区系统,用于测量和分析DCOM协议栈,并且创建基于COM的系统API转换层。Detours 可以被广泛使用在微软内部和其他行业相关业务中。

Detours 2.1版本已经发布了,它包含了以下新特性:
  完整的Detours API文档 
  附加和拆卸处理模块 
  支持附加和拆卸Detours的时候更新对等线程 
  静态和动态注入单个API 
  支持监视注入后的进程  
  改进后更加健壮的API可以将一个挂钩函数,通过一个进程附着到dll上 
  新的API通过复制将有效载荷注入到目标进程中 
  支持x64和IA64平台上的64-位源代码(仅专业版可用) 
  支持Visual Studio 2005,Visual Studio .NET 2003, Visual Studio .NET (VC8)以及Visual Studio (VC7)开发工具 


Detours 2.1 提供两个版本:
1.Detours Express 2.1该版本可用于学术研究,不可用于商业用途以及自己的产品中,仅支持32位代码 
2.Detours Professional 2.1 包含一个可以将Detours及其功能函数应用到自己产品当中的许可证。该版本不仅支持32位x86平台,而且还对x64 和 IA64 平台上的64位代码提供支持。  
  

本文转自
http://www.ittc.com.cn/center/mircosoft.asp

zhaoxin790103
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
已编译好detours2.1
04-26
包含detours.h、detoured.lib、detours.lib、detoured.dll
detour 2.1
07-16
Detours是微软开发的一个函数库, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是: 拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。 为一个已在运行的进程创建一新线程,装入自己的代码并运行。 ---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windows NT上编写了一个程序,该程序能使有“调试程序”的用户权限的用户成为系统管理员,附录利用Detours库函数修改该程序使普通用户即可成为系统管理员 (在NT4 SP3上)。 一. Detours的原理 ---- 1. WIN32进程的内存管理 ---- 总所周知,WINDOWS NT实现了虚拟存储器,每一WIN32进程拥有4GB的虚存空间, 关于WIN32进程的虚存结构及其操作的具体细节请参阅WIN32 API手册, 以下仅指出与Detours相关的几点: ---- (1) 进程要执行的指令也放在虚存空间中 ---- (2) 可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行,再改写其内容,从而修改正在运行的程序 ---- (3) 可以使用VirtualAllocEx从一个进程为另一正运行的进程分配虚存,再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行,并把要执行的指令以二进制机器码的形式写入,从而为一个正在运行的进程注入任意的代码 ---- 2. 拦截WIN32 API的原理 ---- Detours定义了三个概念: ---- (1) Target函数:要拦截的函数,通常为Windows的API。 ---- (2) Trampoline函数:Target函数的复制品。因为Detours将会改写Target函数,所以先把Target函数复制保存好,一方面仍然保存Target函数的过程调用语义,另一方面便于以后的恢复。 ---- (3) Detour 函数:用来替代Target函数的函数。 ---- Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令(共5个字节)把对Target函数的调用引导到自己的Detour函数, 把Target函数的开头的5个字节加上JMP Address_of_ Target _ Function+5作为Trampoline函数。例子如下: 拦截前:Target _ Function: ;Target函数入口,以下为假想的常见的子程序入口代码 push ebp mov ebp, esp push eax push ebx Trampoline: ;以下是Target函数的继续部分 …… 拦截后: Target _ Function: jmp Detour_Function Trampoline: ;以下是Target函数的继续部分 …… Trampoline_Function: ; Trampoline函数入口, 开头的5个字节与Target函数相同 push ebp mov ebp, esp push eax push ebx ;跳回去继续执行Target函数 jmp Target_Function+5 ---- 3. 为一个已在运行的进程装入一个DLL ---- 以下是其步骤: ---- (1) 创建一个ThreadFuction,内容仅是调用LoadLibrary。 ---- (2) 用VirtualAllocEx为一个已在运行的进程分配一片虚存,并把权限更改为可读可写可执行。 ---- (3) 把ThreadFuction的二进制机器码写入这片虚存。 ---- (4) 用CreateRemoteThread在该进程上创建一个线程,传入前面分配的虚存的起始地址作为线程函数的地址,即可为一个已在运行的进程装入一个DLL。通过DllMain 即可在一个已在运行的进程中运行自己的代码。 二. Detours库函数的用法 ---- 因为Detours软件包并没有附带帮助文件,以下接口仅从剖析源代码得出。 ---- 1. PBYTE WINAPI DetourFindFunction(PCHAR pszModule, PCHAR pszFunction) ---- 功能:从一DLL中找出一函数的入口地址 ---- 参数:pszModule是DLL名,pszFunction是函数名。 ---- 返回:名为pszModule的DLL的名为pszFunction的函数的入口地址 ---- 说明:DetourFindFunctio
Microsoft Detours 2.1简介
NetRoc的专栏
05-28 915
NetRochttp://www.DbgTech.net/ 本文从主站点转贴过来的,附件和pdf请访问http://www.DbgTech.net/下载一、简介《Windows高级调试》第一章中提到了一个基于Microsoft Detours库的内存泄露检查工具LeakDiag。本文对这个库进行一些介绍。一句话来说,Detours是一个用来在二进制级别上对程序中的函数(Func
c++----detours2.1
g710710的专栏
10-10 2289
一.遇见的问题 项目detours使用2.1版本 project->settings->general     设置为use mfc in a library 在win32 console application建项目可能用到了mfc东西,自然要加点东西 1 Linking... nafxcwd.lib(afxmem.obj) : error LNK2005: "voi
detours_2.1_精简库
05-20
微软的API HOOK库,最低支持VS2005,经过精简的版本,带lib和.h
detours 2.1
11-22
detours 2.1 api hook library<br>microsoft
Microsoft Detours 2.1简介 (支持64位)
12-24 2397
本文从主站点转贴过来的,附件和pdf请访问http://www.DbgTech.net/下载 一、简介 《Windows高级调试》第一章中提到了一个基于Microsoft Detours库的内存泄露检查工具LeakDiag。本文对这个库进行一些介绍。 一句话来说,Detours是一个用来在二进制级别上对程序中的函数(Function)或者过程(Procedure)进行修改的工具库
Detours2.1
09-11
Detours2.1是一款强大的钩子库,由微软研究院开发,用于监视和修改其他应用程序的函数调用。这个工具在IT行业中主要用于系统级调试、性能分析、软件逆向工程以及插件开发等领域。Detours2.1的一个显著特点是它不再...
Detours v2.1 的静态库
01-22
Detours ver2.1 的静态库, 仅支持 Win32 程序(你懂的),记得写评论哦!
微软官方detours
05-31
微软公布的detours程序代码,虽然不是原版,但我从网上搜了几个,都一起上传了,希望对大家有帮助,嘿嘿
detours2.1 VC6中编译方法及源代码及使用例子及编译好的BIN
07-12
detours2.1在vc6中编译方法 1.在纯VC6环境中新建 win32 static library 项目名设为detours 2.把detours2.1 scr目录中的源文件全部添加到项目 3.在Project->Seting->C/C++->Preprocessor definitions中添加DETOURS...
Detours2.1静态库编译和使用方法
xiufeng_wang的专栏
07-24 3196
 编译方法:1、建立win32静态库类型工程;2、删除stdafx.h和stdafx.cpp文件;3、在工程设置的C++选项的预编译头文件中取消使用预编译文件,即更改为不使用预编译头文件stdafx.h;4、在工程设置的预声明常量中加入DETOURS_X86,即设置为x86平台下编译;5、加入除detoursd.和detoursd.cpp外的所有文件;6、删除detours
Detour开发包介绍(1):概述
Jack Zhou的专栏
09-19 3002
微软研究院Detours开发包是一个用来在二进制级别上对程序中的函数(Function)或者过程(Procedure)进行修改的工具库。一般我们将这种技术称为Hook。在现实中,这种技术可以应用在很多场景下。比如截获某些Windows API,在实际调用到系统函数前进行一些过滤工作;软件中使用到了一些没有源代码的第三方库,但是又想增强其中某些函数的功能;修改函数返回值;为调试以及性能测试加入附加的
detours 1.5
最新发布
12-01
Detours 1.5 是一款由微软研究院开发的软件包,用于在Windows操作系统上进行应用程序的二进制代码修改和勾取。Detours 1.5 提供了一些API和工具,允许开发者在不修改源代码的情况下,实现对已编译的应用程序的功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值