使用x86的detours库编写hook-dll

最新推荐文章于 2024-04-19 10:21:00 发布
最新推荐文章于 2024-04-19 10:21:00 发布
阅读量917 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/deerleaper/article/details/17997787

以CreateFileW为例,一般都要hook带W的api,因为windows系统底层调用的基本上都是W版本的API。

1、定义detour库需要hook的windows api

//filehookdetour.h
#include <Windows.h>
#include <detours.h>

#pragma comment(lib,"detours.lib")


typedef HANDLE (WINAPI *HOOK_CreateFileW)(LPCWSTR lpFileName,
										DWORD dwDesiredAcces, 
										DWORD dwShareMode, 
										LPSECURITY_ATTRIBUTES lpSecurityAttributes,
										DWORD dwCreationDisposition, 
										DWORD dwFlagsAndAttributes,
										HANDLE hTemplateFile);

HOOK_CreateFileW						g_initCreateFileW = NULL;
HOOK_CreateFileW						g_finalCreateFileW = NULL;

HANDLE WINAPI MY_CreateFileW( LPCWSTR lpFileName,
							  DWORD dwDesiredAcces, 
							  DWORD dwShareMode, 
							  LPSECURITY_ATTRIBUTES lpSecurityAttributes,
							  DWORD dwCreationDisposition, 
							  DWORD dwFlagsAndAttributes,
							  HANDLE hTemplateFile)
{
	if (lpFileName)
	{
		//TO DO...
	}
	return g_finalCreateFileW(lpFileName, dwDesiredAcces, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile);
}


void InitHook()
{
	g_initCreateFileW = (HOOK_CreateFileW)DetourFindFunction("Kernel32.dll", "CreateFileW");
	g_finalCreateFileW = (HOOK_CreateFileW)DetourFunction((PBYTE)g_initCreateFileW, (PBYTE)MY_CreateFileW);
	
}

void UnHook()
{
	DetourRemove((PBYTE)g_finalCreateFileW,(PBYTE)MY_CreateFileW);
}

2、定义dll导出接口 

//filehook.h
#ifdef FILEHOOK_EXPORTS
#define FILEHOOK_API __declspec(dllexport)
#else
#define FILEHOOK_API __declspec(dllimport)
#endif

FILEHOOK_API  bool InstallHook(HINSTANCE hInstance);
FILEHOOK_API  bool RemoveHook();

3、定义define文件

LIBRARY FileHook
EXPORTS
InstallHook @1
RemoveHook @2

SECTIONS 
.phk READ WRITE SHARED 

编译之后的文件名为:FileHook.dll

4、定义DllMain 

//filehook.cpp

#include"filehook.h"
#include"filehookdetour.h"

#pragma data_seg(".phk")
HHOOK g_Hook = NULL;//放在共享数据区
#pragma data_seg()


BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
					 )
{
    switch (ul_reason_for_call)
	{
		case DLL_PROCESS_ATTACH:
			InitHook();//call InitHook() here
			break;
		case DLL_THREAD_ATTACH:
			break;
		case DLL_THREAD_DETACH:
			break;
		case DLL_PROCESS_DETACH:
			UnHook();//call UnHook() here
			break;
    }
    return TRUE;
}


LRESULT CALLBACK CallWndProc(int nCode,WPARAM wParam,LPARAM lParam)
{
	return CallNextHookEx(g_Hook, nCode,wParam,lParam);
}


bool InstallHook(HINSTANCE hInstance)
{
	if(g_Hook == NULL)
	{
		g_Hook = SetWindowsHookEx(WH_CALLWNDPROC,CallWndProc,hInstance,0);
		if(g_Hook)
		{ 
		   return true;
		}
		else
		{
		   return false;
		}
	}
	return true;
}


bool RemoveHook()
{
	if(g_Hook != NULL)
	{
		if(!UnhookWindowsHookEx(g_Hook))
		{	
			DWORD dwEr= GetLastError();
			if (dwEr==0)//句柄非法
			{
				ghPrintHook=NULL;
			}
			return false;
		}
		g_Hook = NULL;
	}
	return true;
}

5、调用 

void TestFileHook()
{
	typedef bool (*API_InstallHook)(HINSTANCE);
	API_InstallHook pInstallHook;
	typedef bool (*API_RemoveHook)();
	API_RemoveHook m_pRemoveHook;

	HINSTANCE hInstance = LoadLibrary(TEXT("FileHook.dll"));

	if(hInstance  != NULL)
	{
		pInstallHook = (API_InstallHook)GetProcAddress((hInstance  ,"InstallHook");
		pRemoveHook = (API_RemoveHook)GetProcAddress((hInstance  ,"RemoveHook");
	}
	
	pInstallHook(hInstance);
	//to do your actions here...
	
	pRemoveHook();
	FreeLibrary(hInstance);
	hInstance = NULL;
}





hook实现dll注入详解
小丹尼的博客
09-22 2114
需要一个用来注入的dll(inject.dll)及一个调用程序(caller.exe)流程: caller.exeprocedure TestHook;var pwnd,hChild, hwndInject :hwnd;    msg:tmsg;begin   //通过窗口标题用FindWindow找到要注入的程序的主窗口句柄pwnd   pwnd := findwindow(Progman,
Detours注入DLL钩子入门教程
DOwnstairs的专栏
03-26 5427
本教程非常初级,适合新手食用 开发环境,WIN10 64bit, VS2022 首先在GITHUB下载源码。GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form.Detours is a software package for monitor...
detours.dll
01-05
DetoursExpress,API hook,微软的产品,拦截API调用,这是编译好的dll
HOOK&DLL编写
shen8686的专栏
11-02 2147
<br />//通过HOOK获取QQ游戏登录密码<br />//by redice 2008.7.19<br />//redice@163.com<br /><br />声明:本文章只为学习,文章提到的内容早就不能盗取QQ密码~~<br />不是什么新鲜货了,只是想重温一下钩子及 DLL编写...<br /><br />先发个程序运行效果图:<br /> <br /><br />不得不先说一下API函数SendMessage:<br /><br />使用SendMessage向编辑框窗口发送WM_GETT
HOOKDLL的实例
agoago_2009的专栏
09-04 3749
1.DLL创建:   #include #include #include #pragma data_seg("mydata")  HHOOK glhHook=NULL;         //安装的鼠标勾子句柄   HINSTANCE glhInstance=NULL; //DLL实例句柄  #pragma data_seg()  LRESULT CALLBACK Keyboa
detour动态链接
03-12
detour CreateFile,注入动态链接,可阻止程序继续向下运行
启动应用程序出现mprmsg.dll找不到问题解决
最新发布
wbcmbfy的博客
04-19 1440
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接,这时你可以下载这个mprmsg.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现mprmsg.dll丢失要怎么解决?
重写Detours3.0自带的Traceapi.dll实例
weixin_34128411的博客
11-01 276
Detours3.0下的Traceapi.dll实例可以Attach到任意Win32应用程序中并监控API调用的情况。 原版的Traceapi.dll使用Makefile编译并调用首先用syelogd实例监听然后调用withdll实例将traceapi.dll挂载到目标应用程序中。文件多,调用频繁,在以后的使用当中十分不方便。 重写思路: 直接重写监听实例syelogd...
Detours-4.0.1
08-09
VS2015编译好的的Detours 4.0.1版本的静态hook,支持x86,x64和其他Windows兼容处理器(IA64和ARM)下的。它包括对32位或64位进程的支持。微软自家的产品。
Detours(有例子)
12-14
Detours是一个在x86平台上截获任意Win32函数调用的工具。中断代码可以在运行时动态加载。Detours使用一个无条件转移指令来替换目标函数的最初几条指令,将控制流转移到一个用户提供的截获函数。而目标函数中的一些指令被保存在一个被称为“trampoline” (译注:英文意为蹦床,杂技)的函数中,在这里我觉得翻译成目标函数的部分克隆/拷贝比较贴切。这些指令包括目标函数中被替换的代码以及一个重新跳转到目标函数的无条件分支。而截获函数可以替换目标函数,或者通过执行“trampoline”函数的时候将目标函数作为子程序来调用的办法来扩展功能。
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态和Inject.exe注入程序。 Hook.dll动态封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe部分是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModulePath) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModulePath, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
谷歌浏览器劫持,使用微软detours。包含进程注入程序(testcpp3)和apihook程序(MSNDetourDLL)
11-28
谷歌浏览器劫持,使用微软detours。包含进程注入程序(testcpp3)和apihook程序(MSNDetourDLL),还包含detours32/64位。vs2010工程下载即可用。要注意的是,如果是windows64位系统,必须编译64位的程序。
Detour_DLLHOOK_
10-03
32/64 bit DLL API Hook
Hook API 原理 解析
weixin_33836223的博客
05-23 487
1 什么是Hook API 简单的说,一个应用程序要调用一个API函数,例如CreateFileW,那么应用程序必须要知道函数的地址,才能调用它,我对Hook API的理解是,把这个函数地址替换为另一个函数MyCreateFileW的地址,那么每当程序调用CreateFileW时,就会调用MyCreateFileW 2 Hook API有什么用 在《Rootkits——W...
CreateFile函数祥解
cikes的专栏
06-20 648
CreateFile函数祥解CreateFileThe CreateFile function creates or opens the following objects and returns a handle that can be used to accessthe object: files pipes mailslots communications resources disk de
detours 通过修改输入表注入DLL
Lassewang的成长历程
08-14 3186
前段时间有一个需求,就是在进程启动的第一时间实现dll的注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
Detours学习之十三:Detours API用于将dll和有效负载插入新进程的api
jyl_sh的专栏
10-29 3276
用于将dll和有效负载插入新进程的api DetourCreateProcessWithDllEx DetourCreateProcessWithDlls DetourCopyPayloadToProcess DetourCopyPayloadToProcessEx DetourFinishHelperProcess DetourIsHelperProcess DetourRestoreAfterWith 一、DetourCreateProcessWithDllEx 创建一个新进程并将DLL
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4534
三个主要的函数:NtQueryDirectoryFile、NtCreateFile、NtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
掌握Detours-master实现强大Hook功能
资源摘要信息:"Detours是一个由微软提供的,主要用途是实现函数Hook功能。所谓Hook,即是在不修改原有代码的前提下,通过拦截函数的调用,插入用户自定义的代码来改变程序的行为,或者获取到函数执行的详细信息。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值