Win API HOOK 之 Detours

最新推荐文章于 2022-04-26 00:04:26 发布
最新推荐文章于 2022-04-26 00:04:26 发布
阅读量714 收藏 1
点赞数
分类专栏: Windows编程

相信不少刚学HOOK的朋友,还在苦恼HOOK代码写起来麻烦,有的朋友甚至不会计算HOOK地址.
Detours 解决了所有的问题了.
Detours 是M$ 出的一个库.
下载地址:http://research.microsoft.com/en-us/projects/detours/  
最新版本是3.0. 下载后,需自行安装 编译.

配置:
1 将Detours安装目录中的src拷贝至VS安装目录/Microsoft Visual Studio 9.0/VC/bin
2 打开CMD控制台
3 将/Microsoft Visual Studio 9.0/VC/bin/vcvars32.bat拖入控制台运行
4 控制台进入到/Microsoft Visual Studio 9.0/VC/bin目录下,输入运行nmake


Detours功能:

1 拦截x86机器上的任意的win32 API函数。
2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 
Detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours替换目标API最前面的几条指令,使其无条件的跳转到用户提供的拦截函数。被替换的API函数的前几条指令被保存到trampoline 函数(就是内存中一个数据结构)中. trampoline保存了被替换的目标API的前几条指令和一个无条件转移,转移到目标API余下的指令。
当执行到目标API时,直接跳到用户提供的拦截函数中执行,这时拦截函数就可以执行自己的代码了。当然拦截函数可以直接返回,也可以调用trampoline函数,trampoline函数将调用被拦截的目标API,目标API调用结束后又会放回到拦截函数。下图就是Detours API拦截的逻辑流程:






示例代码:

#include "stdafx.h"

#include "detours.h"

#pragma comment(lib, "detours.lib")

#pragma warning(disable : 4098)




static int (WINAPI* MESSAGEBOXA)(HWND hWnd,

                                 LPCTSTR lpText,

                                 LPCTSTR lpCaption,

                                 UINT uType) = MessageBoxA;


int  WINAPI DealMsgProc(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)

{  

    BOOL bRet;


    strcpy((PCHAR)lpText, "Hello Kitty!");


    bRet = MESSAGEBOXA(hWnd, lpText, lpCaption, uType);


    return bRet;

}

  

VOID Hook()

{

    DetourTransactionBegin();  


    DetourUpdateThread(GetCurrentThread());  


    DetourAttach(&(PVOID&)MESSAGEBOXA, DealMsgProc);  


    DetourTransactionCommit();  

}



VOID UnHook ()

{

    DetourTransactionBegin();  


    DetourUpdateThread(GetCurrentThread());  


    DetourAttach(&(PVOID&)MESSAGEBOXA, DealMsgProc);  


    DetourTransactionCommit();  

}


BOOL APIENTRY DllMain( HANDLE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{

    if (ul_reason_for_call == DLL_PROCESS_ATTACH)

    {  

        Hook ();

    }  

    else if (ul_reason_for_call == DLL_PROCESS_DETACH)

    {  

        UnHook ();

    }  


    return TRUE;

}


下载地址:

模块和头文件

Detours 3.0 微软api hook库帮助文档
05-17
微软的hook支持api hook和指定函数地址hook,操作简单方便,文档中还有例子可供参考。
QT下 hook自定义API
04-11
Detours是一个强大的Windows平台工具,它可以方便地hook任何Win32 API函数。它的工作原理是通过修改目标函数的机器码,使其跳转到我们自定义的处理代码,也就是所谓的"mock API"。 要使用Detours库在QT中hook自定义...
windows使用detours实现进程拦截实操
weixin_38526093的博客
04-26 2840
Detours是微软开发的一个函数库,可用于捕获系统API。可以从github下载源码并编译。Detours通过更改被拦截的API函数的跳转地址为用户自定义的函数地址来实现拦截。比如我们知道要拦截API函数A,我们需要自定义一个函数B,在实现拦截之前,此时函数A所在的线程正常调用A。开始拦截的时候,Detours库函数将A的入口地址修改为B的函数指针。此前线程对函数A的调用将会被替换为被函数B的调用,当然前提是函数A和函数B的函数签名完全一致。在将函数A的入口地址修改函数B的地址时已经保留了函数A的原始地址
Detours实现API拦截(1)
weixin_33725722的博客
11-25 214
Detours使用说明由于原版是英文,所以翻译时不能完全正确,同时也加入本人的见解。我用的是Detours 1.5,这个版本的LIB要重新编译才能使用不然会提示连接出错。库的源文件在src里,把它重新编译一次可生成DETOURS.LIB和头文件。这是关键不然用了LIB文件夹的库文件你就搞爆头也总是出错。本人经验。在SAMPLES里有很多例子。你要把它完全搞懂那你肯定是高手,往下的就不要看了,呵呵。...
Detours API HOOK快速入门
Gary's Blog --- A C++ programmer
03-25 6116
什么是Detours简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现API HOOK的功能。Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detou
Detours学习之十三:Detours API用于将dll和有效负载插入新进程的api
jyl_sh的专栏
10-29 3155
用于将dll和有效负载插入新进程的api DetourCreateProcessWithDllEx DetourCreateProcessWithDlls DetourCopyPayloadToProcess DetourCopyPayloadToProcessEx DetourFinishHelperProcess DetourIsHelperProcess DetourRestoreAfterWith 一、DetourCreateProcessWithDllEx 创建一个新进程并将DLL
利用Detours进行API拦截
Leo的历练之道
12-11 7057
原文地址:http://www.codeproject.com/Articles/30140/API-Hooking-with-MS-Detours 在这篇文章里,我将要介绍API拦截技术的相关理论和实现方式。API拦截是一项强大的技术,他让你可以拦截某些函数,重定位到自定义的函数上。在将控制权交给原始API之前,你可以在这个自定义的函数里做任何想做的事。 1.介绍 本文中,我将讨论API
apihook.rar_APIHOOK_api hook_hook_hook api_visual c
09-14
在"apihook.rar_APIHOOK_api hook_hook_hook api_visual c"这个压缩包中,我们可能找到了关于API Hook的详细资料,包括理论介绍和实际应用。 API Hook的原理主要包括两种常见的实现方式:钩子函数和拦截库。 1. **...
apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip
04-04
本资料包“apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip”显然关注于这个主题,提供了如何在任意指定的进程中实现API Hook的技术细节。 API Hook主要分为几种类型: 1. **全局Hook**:全局Hook在系统...
深入解析API Hook技术与Detours应用
Windows平台上,微软提供了一种名为Detours的库,它是一种用于实现API钩子的技术工具,它提供了简单和强大的方式来拦截Win32 API函数调用,而不需要修改目标函数或应用程序。 Detours 库是由微软研究院开发的,它...
使用Detours库拦截API的程序
01-29
利用Detours开源库进行API拦截的例子
Detours学习之十二:Detours API用于修改二进制文件的api
jyl_sh的专栏
10-29 851
用于修改二进制文件的api DetourBinaryOpen DetourBinaryEnumeratePayloads DetourBinaryFindPayload DetourBinarySetPayload DetourBinaryDeletePayload DetourBinaryPurgePayloads DetourBinaryEditImports DetourBinaryResetImports DetourBinaryWrite DetourBinaryClose 一
利用detours实现API劫持
zhyh1435589631的专栏
05-30 3891
一直想玩黑客技术,今天正好找到一个detours的库,这是微软的出品的用来搞这类活动的库,下载下来,用了一下,把messagebox给劫持了,感觉各种好happy,23333333333 这里需要特别注意的一点是,一定要在release模式下使用,否则是显示不出效果的。// ====================== 【API劫持】=========================== // @
Detours学习之八:DetoursAPI 函数参考
jyl_sh的专栏
10-28 680
Detours API 函数参考 The Table of Contents provides an alphabetical listing of the available API functions, which can be grouped as follows: 目录按字母顺序列出可用的API功能,可分为以下类别: APIs For Detouring Target Functions 用于迂回目标函数的api DetourTransactionBegin DetourUpdateThre
Detours学习之十:用于查找目标函数的api
jyl_sh的专栏
10-28 1016
用于查找目标函数的api DetourFindFunction DetourCodeFromPointer 一、DetourFindFunction 通过名称找到目标函数的地址。 定义 PVOID DetourFindFunction(_In_ LPCSTR pszModule, _In_ LPCSTR pszFunction); 参数 pszModule:应该在其中找到函数的DLL或二进制文件的路径。 pszFunction:要查找的函数名。 返回值 如果成功,返回
微软研究院Detour开发包之API拦截技术
weixin_33827731的博客
04-18 249
我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访 问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业 化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Detou...
Detours中文帮助
liutaoxwl的专栏
01-08 8082
Detours概述 (翻译: liutao_free@sohu.com) Microsoft Research Detours包概述 Detours是一个字x86机器上拦截任意Win32二进制函数的库。拦截代码在运行时动态的注入。Detours使用用户提供的拦截函数将一个无条件跳转指令替换目标函数起始的少数指令。拦截代码将目标函数替换为跳板函数。跳板函数的地址被放在目标函数指针中
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值