使用x86的detours库编写hook-dll

最新推荐文章于 2024-04-19 10:21:00 发布
原创 最新推荐文章于 2024-04-19 10:21:00 发布 · 917 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

以CreateFileW为例,一般都要hook带W的api,因为windows系统底层调用的基本上都是W版本的API。

1、定义detour库需要hook的windows api

//filehookdetour.h
#include <Windows.h>
#include <detours.h>

#pragma comment(lib,"detours.lib")


typedef HANDLE (WINAPI *HOOK_CreateFileW)(LPCWSTR lpFileName,
										DWORD dwDesiredAcces, 
										DWORD dwShareMode, 
										LPSECURITY_ATTRIBUTES lpSecurityAttributes,
										DWORD dwCreationDisposition, 
										DWORD dwFlagsAndAttributes,
										HANDLE hTemplateFile);

HOOK_CreateFileW						g_initCreateFileW = NULL;
HOOK_CreateFileW						g_finalCreateFileW = NULL;

HANDLE WINAPI MY_CreateFileW( LPCWSTR lpFileName,
							  DWORD dwDesiredAcces, 
							  DWORD dwShareMode, 
							  LPSECURITY_ATTRIBUTES lpSecurityAttributes,
							  DWORD dwCreationDisposition, 
							  DWORD dwFlagsAndAttributes,
							  HANDLE hTemplateFile)
{
	if (lpFileName)
	{
		//TO DO...
	}
	return g_finalCreateFileW(lpFileName, dwDesiredAcces, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile);
}


void InitHook()
{
	g_initCreateFileW = (HOOK_CreateFileW)DetourFindFunction("Kernel32.dll", "CreateFileW");
	g_finalCreateFileW = (HOOK_CreateFileW)DetourFunction((PBYTE)g_initCreateFileW, (PBYTE)MY_CreateFileW);
	
}

void UnHook()
{
	DetourRemove((PBYTE)g_finalCreateFileW,(PBYTE)MY_CreateFileW);
}

2、定义dll导出接口 

//filehook.h
#ifdef FILEHOOK_EXPORTS
#define FILEHOOK_API __declspec(dllexport)
#else
#define FILEHOOK_API __declspec(dllimport)
#endif

FILEHOOK_API  bool InstallHook(HINSTANCE hInstance);
FILEHOOK_API  bool RemoveHook();

3、定义define文件

LIBRARY FileHook
EXPORTS
InstallHook @1
RemoveHook @2

SECTIONS 
.phk READ WRITE SHARED 

编译之后的文件名为:FileHook.dll

4、定义DllMain 

//filehook.cpp

#include"filehook.h"
#include"filehookdetour.h"

#pragma data_seg(".phk")
HHOOK g_Hook = NULL;//放在共享数据区
#pragma data_seg()


BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
					 )
{
    switch (ul_reason_for_call)
	{
		case DLL_PROCESS_ATTACH:
			InitHook();//call InitHook() here
			break;
		case DLL_THREAD_ATTACH:
			break;
		case DLL_THREAD_DETACH:
			break;
		case DLL_PROCESS_DETACH:
			UnHook();//call UnHook() here
			break;
    }
    return TRUE;
}


LRESULT CALLBACK CallWndProc(int nCode,WPARAM wParam,LPARAM lParam)
{
	return CallNextHookEx(g_Hook, nCode,wParam,lParam);
}


bool InstallHook(HINSTANCE hInstance)
{
	if(g_Hook == NULL)
	{
		g_Hook = SetWindowsHookEx(WH_CALLWNDPROC,CallWndProc,hInstance,0);
		if(g_Hook)
		{ 
		   return true;
		}
		else
		{
		   return false;
		}
	}
	return true;
}


bool RemoveHook()
{
	if(g_Hook != NULL)
	{
		if(!UnhookWindowsHookEx(g_Hook))
		{	
			DWORD dwEr= GetLastError();
			if (dwEr==0)//句柄非法
			{
				ghPrintHook=NULL;
			}
			return false;
		}
		g_Hook = NULL;
	}
	return true;
}

5、调用 

void TestFileHook()
{
	typedef bool (*API_InstallHook)(HINSTANCE);
	API_InstallHook pInstallHook;
	typedef bool (*API_RemoveHook)();
	API_RemoveHook m_pRemoveHook;

	HINSTANCE hInstance = LoadLibrary(TEXT("FileHook.dll"));

	if(hInstance  != NULL)
	{
		pInstallHook = (API_InstallHook)GetProcAddress((hInstance  ,"InstallHook");
		pRemoveHook = (API_RemoveHook)GetProcAddress((hInstance  ,"RemoveHook");
	}
	
	pInstallHook(hInstance);
	//to do your actions here...
	
	pRemoveHook();
	FreeLibrary(hInstance);
	hInstance = NULL;
}





运用Detourshook API
vcPlayer的专栏
07-20 1万+
 一、Detours的来历及下载:        Detours类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是保存堆栈环境的三条指令共5个字节:8B FF
hook实现dll注入详解
小丹尼的博客
09-22 2114
需要一个用来注入的dll(inject.dll)及一个调用程序(caller.exe)流程: caller.exeprocedure TestHook;var pwnd,hChild, hwndInject :hwnd;    msg:tmsg;begin   //通过窗口标题用FindWindow找到要注入的程序的主窗口句柄pwnd   pwnd := findwindow(Progman,
detours.dll
01-05
DetoursExpress,API hook,微软的产品,拦截API调用,这是编译好的dll
detour动态链接
03-12
detour CreateFile,注入动态链接,可阻止程序继续向下运行
HOOK&DLL编写
shen8686的专栏
11-02 2147
<br />//通过HOOK获取QQ游戏登录密码<br />//by redice 2008.7.19<br />//redice@163.com<br /><br />声明:本文章只为学习,文章提到的内容早就不能盗取QQ密码~~<br />不是什么新鲜货了,只是想重温一下钩子及 DLL编写...<br /><br />先发个程序运行效果图:<br /> <br /><br />不得不先说一下API函数SendMessage:<br /><br />使用SendMessage向编辑框窗口发送WM_GETT
HOOKDLL的实例
agoago_2009的专栏
09-04 3749
1.DLL创建:   #include #include #include #pragma data_seg("mydata")  HHOOK glhHook=NULL;         //安装的鼠标勾子句柄   HINSTANCE glhInstance=NULL; //DLL实例句柄  #pragma data_seg()  LRESULT CALLBACK Keyboa
启动应用程序出现mprmsg.dll找不到问题解决
最新发布
wbcmbfy的博客
04-19 1440
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接,这时你可以下载这个mprmsg.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现mprmsg.dll丢失要怎么解决?
重写Detours3.0自带的Traceapi.dll实例
weixin_34128411的博客
11-01 276
Detours3.0下的Traceapi.dll实例可以Attach到任意Win32应用程序中并监控API调用的情况。 原版的Traceapi.dll使用Makefile编译并调用首先用syelogd实例监听然后调用withdll实例将traceapi.dll挂载到目标应用程序中。文件多,调用频繁,在以后的使用当中十分不方便。 重写思路: 直接重写监听实例syelogd...
Detours注入DLL钩子入门教程
DOwnstairs的专栏
03-26 5427
本教程非常初级,适合新手食用 开发环境,WIN10 64bit, VS2022 首先在GITHUB下载源码。GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.Detours is a software package for monitor...
Detours-4.0.1
08-09
VS2015编译好的的Detours 4.0.1版本的静态hook,支持x86,x64和其他Windows兼容处理器(IA64和ARM)下的。它包括对32位或64位进程的支持。微软自家的产品。
Detours(有例子)
12-14
Detours是一个在x86平台上截获任意Win32函数调用的工具。中断代码可以在运行时动态加载。Detours使用一个无条件转移指令来替换目标函数的最初几条指令,将控制流转移到一个用户提供的截获函数。而目标函数中的一些指令被保存在一个被称为“trampoline” (译注:英文意为蹦床,杂技)的函数中,在这里我觉得翻译成目标函数的部分克隆/拷贝比较贴切。这些指令包括目标函数中被替换的代码以及一个重新跳转到目标函数的无条件分支。而截获函数可以替换目标函数,或者通过执行“trampoline”函数的时候将目标函数作为子程序来调用的办法来扩展功能。
vc++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝_chorus和hook区别
12-26
利用API Hook截获CreateFile和CloseHandle达到加解密DOC文件和防拷贝的目的 visual c++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝
Hook API 原理 解析
weixin_33836223的博客
05-23 487
1 什么是Hook API 简单的说,一个应用程序要调用一个API函数,例如CreateFileW,那么应用程序必须要知道函数的地址,才能调用它,我对Hook API的理解是,把这个函数地址替换为另一个函数MyCreateFileW的地址,那么每当程序调用CreateFileW时,就会调用MyCreateFileW 2 Hook API有什么用 在《Rootkits——W...
易语言api hook CreateFileA
511遇见
05-27 4206
当调用CreateFileA创建文件时,我们劫持它,hook成我们自己的东西,易语言里的写到文件就是API(CreateFileA ) hook 说明 1、未hook前会生成一个111.txt,内容是“1111111111” 写到文件 (取运行目录 () + “\111.txt”, 到字节集 (“1111111111”)) 2、hook后就会转向我们自定义的MyCreateFileA h.安装Hook (“kernel32”, “CreateFileA”, 到整数 (&MyCreate
用户层下拦截系统api的原理与实现
默数悲伤
04-15 2185
  写这篇文章是为了复习一些知识,最近在做毕业设计,之中大量地使用了这种技术,主要是用在拦截winsock函数,对于其他系统api,其效果也是一样的.  拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要
CreateFile函数祥解
cikes的专栏
06-20 648
CreateFile函数祥解CreateFileThe CreateFile function creates or opens the following objects and returns a handle that can be used to accessthe object: files pipes mailslots communications resources disk de
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值