MS的detours库 API hook

最新推荐文章于 2024-08-14 22:00:00 发布
原创 最新推荐文章于 2024-08-14 22:00:00 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #api #include #c

本文介绍了一种利用Detours库Hook Windows API函数CreateProcess的方法,通过修改CreateProcessA和CreateProcessW函数的行为来实现进程创建过程中的自定义逻辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include "stdafx.h"
#include "detours.h"
#include <stdio.h>

#pragma comment(lib, "detours.lib")

WCHAR    s_wzDllPath[256];
char    s_szDllPath[256];    

extern "C"
{

DETOUR_TRAMPOLINE(BOOL WINAPI Real_CreateProcessW(
    LPCWSTR lpApplicationName,
    LPWSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCWSTR lpCurrentDirectory,
    LPSTARTUPINFOW lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation), CreateProcessW);

DETOUR_TRAMPOLINE(BOOL WINAPI Real_CreateProcessA(
    LPCTSTR lpApplicationName,
    LPTSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCTSTR lpCurrentDirectory,
    LPSTARTUPINFO lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation), CreateProcessA);


}


BOOL WINAPI Call_CreateProcessW(
    LPCWSTR lpApplicationName,
    LPWSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCWSTR lpCurrentDirectory,
    LPSTARTUPINFOW lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation)
{
    BOOL rv = 0;

    WCHAR msgtxt[300];
    memset(msgtxt, '
 
classfree
关注
运用Detourshook API
vcPlayer的专栏
07-20 1万+
 一、Detours的来历及下载:        Detours类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是保存堆栈环境的三条指令共5个字节:8B FF
Detours API HOOK快速入门
03-17
Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detours 被广泛应用在微软内部和其他行业中
微软Detours3.0
09-04
微软Detours3.0. 下载地址: http://research.microsoft.com/en-us/projects/detours/
DLL劫持及调用数据跟踪二: 利用 MSDetours
qffhq 点积
03-26 1284
MS 出来了Hook API的SDK:Detours, 利用dll inject技术把Hook DLL注入到目标进程中,以实际API的劫持。 官方的Demo以Messagebox API为例作了说明,实际应用时根据自己的需要修改DLL文件名以及过程参数。   已知某加密狗的接口如下: long  CheckDog(); 返回狗是否存在,1存在,0或者 long  SedData(unsi
API Hooking with MS Detours
Gary's Blog --- A C++ programmer
03-25 1237
 http://www.codeproject.com/KB/DLL/funapihook.aspx 中文的一些介绍 ---- Detours是微软开发的一个函数(源代码可在http://research.microsoft.com/sn/detours 免费获得), 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是:拦截WIN32
WINDOWS下HOOK函数的方法
weixin_30569001的博客
11-15 311
前两天和dvff谈论的一些技术总结。 程序代码: ///////////////////////////////////////////////////////////////////////////////////////HOOKAPI DEMO PROGRAM//文件名:HOOKTEST.C////描述: 演示WINNT下HOOK系统API过程...
MS Detours技术实现API拦截教程与源码解析
- “API_Hooking_with_MS_Detours - CodeProject.pdf”是一份来自CodeProject网站的文档资料,CodeProject是一个面向软件开发人员的在线社区和技术资源,这份PDF文档可能详细介绍了MS Detours的使用方法和API ...
Detours实现API拦截资料及源码
02-18
共包括: 1.pdf资料,API Hooking with MS Detours 2.源码,APIHookingComplete.zip 3.编译好的目标码,APIBin.zip 网上可下载得到MS-Detours
深入解析API HOOK技术及其封包拦截机制
4. 拦截技术实现方法:实现API HOOK常见的方法包括修改目标进程的内存、使用Detours、使用MS Detours、使用EasyHook等。这些方法各有优缺点,开发者需根据具体的需求和环境来选择合适的方法。 5. API HOOK的安全...
64位APIHook技术:简化x64汇编API钩子实现
1. MS Detours:这是微软提供的一套用于API Hooking的,它允许开发者拦截Win32 API函数。通过MS Detours,可以很方便地实现对64位Windows系统API的拦截。 2. 共享内存:在某些情况下,开发者会创建一个共享内存...
Detour API Hook(Detour 源代码,,和一个简单的例子)
02-22
Detour API Hook(Detour 源代码,,和一个简单的例子)
detours hook 完整代码
08-18
win7 x64 可用于64位进程 ring3 级detours钩子ntquerysysteminformation
detours-1.5
01-10
detours-1.5需在 vc 7 下编译
64位系统下编译Detours的傻瓜式处理
09-14
在64位系统下编译Detours会报错。本资源是帮助那些编译遇到困难的朋友。包内包含Detours需要修改的代码,以及一个编译用的批处理文件,一个readme。 详情请参阅 http://blog.youkuaiyun.com/genesisbible/article/details/6771988
Detours简单hook
weixin_30293135的博客
10-09 112
#include <windows.h> #include "../Detours/include/detours.h" #pragma comment(lib, "F:/小海在Po学校学习/小海的项目/Detours_Test/Detours/lib.X86/detours.lib") static int (WINAPI *OLDMessageBox)(HWND, L...
VS2013 编译Microsoft Detours
♥公众号♥:打代码的苏比特
06-18 1072
前两天编译一直出问题,一直不知问题出在哪儿,今天又弄了一下,可算弄好了。于是写了个教程。系统环境:win7 64位 Visual Studio 2013首先下载Detours,下载链接如下,点击download即可下载 https://www.microsoft.com/en-us/download/details.aspx?id=52586 下载解压后的目录是这样的 把src目录整
Windows Hook原理与实现
weixin_34150503的博客
06-06 247
https://blog.youkuaiyun.com/m0_37552052/article/details/81453591 转载于:https://www.cnblogs.com/endenvor/p/10985058.html
微软Detours Hook编译与使用
最新发布
优快云
08-14 4020
Detours 是微软开发的一个强大的Windows API钩子,用于监视和拦截函数调用。它广泛应用于微软产品团队和众多独立软件开发中,旨在无需修改原始代码的情况下实现函数拦截和修改。Detours 在调试、监控、日志记录和性能分析等方面表现出色,已成为开发者的重要工具。本章将指导读者编译并使用Detours,通过实现一个简单的弹窗替换功能,帮助读者熟悉该的使用技巧。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值