Detours学习之七:Detours示例程序构建

原创 于 2021-10-28 11:55:09 发布 · 3.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统内核 #Detours #C/C++ #内核编程 #安全编程

本文详细介绍了Detours库的示例程序,涵盖COM接口绕过、DCOM/RPC跟踪、API修改、内存跟踪等多个技术应用,帮助开发者理解如何在运行时动态修改程序行为。

Detours示例程序构建

        要构建示例应用程序,请在samples目录中键入nmake。注意,为了使用许多其他示例程序,必须构建setdll和syslog示例。

      每个样例目录都有一个测试,可以通过键入nmake test调用它来演示样例的用法。除了极少数例外,所有的.exe程序也接受/?命令显示使用信息。

        跟踪示例通过syelogd.exe守护进程记录其输出,并挂钩CreateProcessW以将自己加载到任何子进程。例如,输入withdll -d:traceapi.dll cmd.exe将创建一个命令shell,在这个命令shell下,所有进程都将通过traceapi.dll记录它们的API调用。

Detours包括以下示例:

的名字 描述
Commem 演示如何绕过COM接口的成员函数。
cp 绕过DCOM/RPC堆栈中的多个函数来度量发送DCOM消息的开销。
Disas 测试Detours反汇编程序表。
dt 绕过Win32 Sleep函数和一个私有函数。
最低0.47元/天 解锁文章
图解Detours
bcbobo21cn的专栏
05-07 1887
一 MFC程序中Hook MessageBox 新建如下的两个工程; 主对话框代码: // HookMessageBookDlg.cpp : implementation file // #include "stdafx.h" #include "HookMessageBook.h" #include "HookMessageBookDlg.h" #ifdef _DEBUG #defin
图解Detour安装及简单使用实(Win7+VC6)
bcbobo21cn的专栏
05-06 5787
相关下载: http://pan.baidu.com/s/1o7OEMc6 detour6.rar是本文工程 DetoursExpress30是微软下载的detour安装文件 detoured是编译好的库 参考 http://www.cnblogs.com/weiqubo/archive/2011/06/01/2065534.html http://blog.
Detours(有子)
12-14
Detours是一个在x86平台上截获任意Win32函数调用的工具库。中断代码可以在运行时动态加载。Detours使用一个无条件转移指令来替换目标函数的最初几条指令,将控制流转移到一个用户提供的截获函数。而目标函数中的一些指令被保存在一个被称为“trampoline” (译注:英文意为蹦床,杂技)的函数中,在这里我觉得翻译成目标函数的部分克隆/拷贝比较贴切。这些指令包括目标函数中被替换的代码以及一个重新跳转到目标函数的无条件分支。而截获函数可以替换目标函数,或者通过执行“trampoline”函数的时候将目标函数作为子程序来调用的办法来扩展功能。
detour
03-16
detour window api hook 钩子函数 微软detour的几个应用
Detours的作用和实
weixin_34357267的博客
04-30 425
Detours 可以用来拦截Win32的API函数,从而让程序按照我们自定义的方式进行处理,而不是Windows默认的。 Detours 也是通过Dll的方式,拦截Api函数。 为什么是修改API的前5个字节? 现在NewCode[]里的指令相当于Jmp MyMessageBoxW 既然已经获取到了Jmp MyMessageBoxW 现在该是将Jmp MyMessag...
一个非常好的detours库应用和test
07-27
一个非常好的detours库应用和test 子 谢谢大家来瞧瞧
Detours学习之二:常见问题(FAQ)
jyl_sh的专栏
10-28 1123
常见问题(FAQ) 本文介绍的内容包含了一个关于Detours的常见问题列表。这些问题是按主题类别和有趣 的领域分组的。 兼容性 Detours与Windows 10兼容吗? 是的。Detours完全兼容Windows 10桌面和服务器应用程序。虽然Detours可以用于Windows Store应用程序的开发和测试,但Windows 10的Windows Store新应用程序不能使用Detours。 为什么我的Windows 10商店应用程序不能包含Detours? ...
Detours学习之六:32位和64位进程路由
jyl_sh的专栏
10-28 1396
32位和64位进程 Detours最常见的使用场景是通过路由绕过现有应用程序中的功能,而不修改原始应用程序二进制文件。在这些场景中,用户提供的DetourCreateProcessWithDll函数被打包在DLL中,DLL在启动时使用DetourCreateProcessWithDll API加载到应用程序中。从父进程调用DetourCreateProcessWithDll API;它通过为detour DLL插入导入表项来更改应用程序的内存副本。这个新的导入表条目导致OS加载程序在应用程序...
基于Detours库的API Hook示例程序
Detours库是一种由微软研究院开发的强大工具,主要用于在Windows平台上...该程序的价值在于其简洁性与实用性,为初学者提供了一个低门槛但高价值的学习模板,同时也为高级开发者展示了如何构建可扩展的Hook框架基础。
detours4.0_opencvMFC_Detours4_detours_
10-04
7. `samples` 目录:可能包含使用 Detours示例应用程序或测试用。 8. `bin.X86` 和 `lib.X86` 目录:可能分别包含了针对 x86 架构的可执行文件和静态库文件。 在实际应用中,开发者可以使用 Detours4.0 来实现...
Detours
在线笔记
10-08 1497
1. 官网下载detours http://research.microsoft.com/en-us/projects/detours/ 2. 限制: 1. 32位系统 2. x86架构 3. 编译: VS2010 CMD CD E:\detours nmake 生成lib.86, ps: Microsoft Detours 2.1简介 http://www
编译好的detours 3.0 express,samples齐全
05-04
编译好的detours 3.0 express,samples齐全。自己编译弄了半天,先是在xp上编译,一直报错。后来发现直接win7就行。
DetoursPro 32+64 + Expresss3.0 samples齐全
05-30
DetoursPro 32+64 + Expresss3.0 samples齐全
Detours Pro 支持32位和64位编译的lib和头文件
06-16
64位的听说微软商店卖9999美元,也不清楚怎么弄来的.包含32位和64位的cpp h 和编译好的lib文件,直接#pragma comment(lib, "Detours.lib")就可以使用! 完全支持64位模式编译64位的EXE,LIB和DLL!
Detours库简单使用程序
08-09
一个简单使用Detours库的子。Hook系统API,send和recv函数。
Detours v3.0 Build 316 专业版,支持x32/x64
10-03
Detours v3.0 Build 316 专业版,支持64位Windows系统,经过测试x64系统下运行良好。
detours学习
buck84的专栏
12-14 1772
最近学习detours3.0,总结下学习过程,给后来学习者一点参考,也便于自己以后复习 首先应该知道detours可以干什么,学习之前最好看一下detours文档,这个文档很简单,只有4篇文章,相对比较容易理解,如果不想看英文(建议看原始英文文档),这儿有中文的可以参考。 因为detours是采用nmake建立的工程,不是常用的visualstudio系列,所以看起来可能麻烦一点,这儿有det
重写Detours3.0自带的Traceapi.dll实
weixin_34128411的博客
11-01 286
Detours3.0下的Traceapi.dll实可以Attach到任意Win32应用程序中并监控API调用的情况。 原版的Traceapi.dll使用Makefile编译并调用首先用syelogd实监听然后调用withdll实将traceapi.dll挂载到目标应用程序中。文件多,调用频繁,在以后的使用当中十分不方便。 重写思路: 直接重写监听实syelogd...
Mhook与Detours
02-01 520
Detours vs. Mhook Detours is available for free with a noncommercial license but it only supports the x86 platform. Detours can also be licensed for commercial use which also gives you full x64 sup
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jyl_sh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值