【C++ Hook钩子技术(上)——Detour框架】如何玩转高端hook钩子技术,一个框架解决你的烦恼!便捷开发从此走上进阶之路

已于 2024-04-01 10:39:10 修改
阅读量2.9k 收藏 37
点赞数 33
文章标签: c++ 开发语言
于 2024-04-01 10:35:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luoqiaoliang/article/details/137219906
版权
本文详细介绍了C++中使用Detour库创建Hook框架,重点讲解了DetourHook技术的应用,如Detour事务函数的使用、Detour框架的搭建以及如何拦截并修改MessageBoxW函数。通过实例演示和xdbg反编译分析,让读者了解Hook技术的基本原理和注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

C++ Hook钩子技术·上——Detour框架

前言

你是否已经垂涎HOOK(钩子)技术已久,但是由于还怕它涉及系统底层而不敢轻易尝试。那么今天我将带你以一个HOOK框架入门C++初级进阶之路,从此让程序听你的话不再是梦。
本篇内容介绍如何使用Detour库来搭建Hook Windows系统API的框架,并对常用API MessageBoxW进行挂钩,改变弹窗标题和弹窗内容。并使用xdbg通过逆向查看Detour Hook在代码层面对原始目标挂钩程序流程的改变。
并非新技术和创新,大佬娱乐即可。
相互学习,共同进步,欢迎大家留言讨论。

一、Hook(钩子)技术

钩子技术(Hook)是一种在计算机编程中常用的技术,它允许程序拦截、修改或者扩展特定的操作或事件。在操作系统或应用程序中,钩子技术可以用于监视和干预系统级别或应用程序级别的事件流,比如键盘输入、鼠标操作、窗口消息等。

钩子技术通常分为两种类型:系统级钩子和应用程序级钩子。系统级钩子可以监控系统范围内的事件,而应用程序级钩子则只针对特定的应用程序。钩子技术在实际应用中有着广泛的用途,比如实现键盘记录器、窗口管理工具、安全软件等。

总的来说,钩子技术通过拦截系统或应用程序的事件,实现了对系统或应用程序行为的监控、修改和扩展,为软件开发和系统管理提供了便利。

二、HOOK与CallBack

钩子技术(Hook)和回调函数(Callback)在编程中都是用于实现程序的扩展和灵活性,但它们有着不同的作用和实现方式。

1.相同点

  • 事件响应: 钩子技术和回调函数都用于实现对特定事件的响应和处理。
  • 灵活性: 两者都可以增强程序的灵活性和扩展性,使得程序能够更好地处理不同的情况和需求。

2.差异性

  1. 作用:
  • 钩子技术主要用于拦截、监视和修改系统级别或应用程序级别的事件,比如键盘输入、鼠标操作、窗口消息等。
  • 回调函数主要用于在特定事件发生时被调用,通常用于异步编程或事件驱动编程中,比如网络请求完成后的回调函数、定时器触发后的回调函数等。
  1. 实现方式:
  • 钩子技术通常是通过操作系统提供的接口或库函数来实现的,可以在系统级别或应用程序级别进行钩子的安装和管理。
  • 回调函数是一种编程模式,通过将函数指针或函数引用传递给其他函数,以便在特定事件发生时被调用。
  1. 应用场景:
  • 钩子技术适用于需要拦截、监视和修改事件流的情况,比如实现键盘记录器、窗口管理工具等。
  • 回调函数适用于需要异步处理或事件驱动的情况,比如处理异步任务完成后的结果、处理定时器事件等。

综上所述,钩子技术和回调函数虽然都与事件响应相关,但它们的作用、实现方式和应用场景有着明显的区别。钩子技术更专注于事件的拦截和修改,而回调函数更专注于事件的响应和异步处理。

三、Detour Hook框架

Detours 是一种在 Windows 平台上实现函数钩子的库,通常称为 Detours 库。Detours 被广泛用于软件开发和系统编程中,特别是在进行程序注入、调试、监视和修改等方面。Detours 库允许开发者在运行时动态地修改已编译的二进制可执行文件中的函数调用,以便拦截并重定向到用户自定义的代码。

1.Detour 事务函数

DetourRestoreAfterWith:Detours 库提供的一个函数修饰符,用于指定在使用 Detours 库进行函数钩取后是否需要在每次函数调用后恢复钩取前的函数状态。它的作用是指定是否在每次函数调用后自动还原钩取前的状态。
DetourTransactionBegin:用于开始一个钩取事务。钩取事务是对目标函数进行钩取操作的一种逻辑单元,通过使用事务可以确保一系列钩取操作的原子性和一致性。
DetourUpdateThread:用于通知 Detours 库当前线程的状态发生了变化。在进行函数钩取后,为了确保钩取能够正确地应用到当前线程,需要使用 DetourUpdateThread 来通知 Detours 库当前线程的状态已经发生了变化【更新线程状态、确保钩取生效、解决线程同步问题】。
DetourAttach/DetourDetach:用于将目标函数进行钩取(attach)和取消钩取(detach)操作。
DetourTransactionCommit:用于提交函数钩取事务,确认钩取操作的应用。

2.Detour 使用流程

  1. 调用 DetourTransactionBegin 开始一个钩取事务。
  2. 调用 DetourUpdateThread 更新当前线程的状态,确保钩取能够及时生效。
  3. 使用 DetourAttach 或 DetourDetach 等函数将目标函数进行钩取/取消。
  4. 调用 DetourTransactionCommit 提交钩取事务,确认钩取操作的应用。

3.Detour Hook 框架

本篇文章拟使用对Windows API——MessageBoxW函数进行挂钩操作。

int
WINAPI
MessageBoxW(
    _In_opt_ HWND hWnd,
    _In_opt_ LPCWSTR lpText,
    _In_opt_ LPCWSTR lpCaption,
    _In_ UINT uType);

编译环境为VS2019 ,x86 release版本,新建动态库项目。
最低0.47元/天 解锁文章
Detours HOOK
cyynid的博客
05-05 959
创建一个目标程序,内容随意,需要能够编译成exe文件,并且调用了Messagebox,越简单越好,生成exe文件,这里要注意,32位和64位不能混用,不然会注入失败,这里选择了64位。tip:这里还有一个坑,添加预编译头文件到项目中后,我出现了即便导入lib库,依旧无法识别外部符号的问题,不知道原理,但是建议改为不使用预编译头,而不是添加文件。面对上述问题,是因为.NET Framework没有安装,修改安装后即可,但似乎即便没有安装,生成的lib文件也是可用的。1个是dllmain.cpp(DLL入口)
Detours C++ HOOK类库
04-29
包含 1.微软的 Detour 3.0 2.列宁的大作 Detours 已测试正常
blook:现代C++库,轻松实现函数hook
最新发布
gitblog_00916的博客
04-02 875
blook:现代C++库,轻松实现函数hook blook A modern C++ library for hacking. 项目地址: https://gitcode.com/gh_mirrors/bl/blook ...
我的Hook学习笔记
rivershan的专栏
09-24 2万+
                                            关于Hook 一、基本概念:    钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。    钩子实际上
Hook API (C++)
jiangxinyu的专栏
03-16 5058
一、基本概念:钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子
C/C++ HOOK API(原理深入剖析之-LoadLibraryA)
热门推荐
masefee C/C++游戏编程
09-18 2万+
9月都快结束了,之前一直忙到写自己的东西加上上班。基本没有时间研究下汇编和C C++方面的感兴趣的东西。再怎么说嘛,9月还是得写一篇撒,以后每月至少一篇吧。给自己定了,希望大家监督。嘿嘿!这篇文章就来谈谈平常很常见的HOOK技术,这里呢。写得比较简单,方法很多。只讲原理!希望大鸟们别吐我口水哈 - -。好!切入正题。首先是概念吧。什么是钩子HOOK)? 钩子(Hook),是Win
C++中的钩子技术
weixin_30681121的博客
11-09 155
   你创建一个钩子时,WINDOWS系统会创建一个数据结构,该结构包含了您创建的钩子的信息,安装钩子则是把该结构体插入到系统钩子列表中去,注意:新插入的放置到旧的前面。当指定的钩子事件被触发后,局部钩子只需要调用进程中的钩子函数来预处理事件,全局钩子则需要把处理插入到其他地址空间,要做到这一点,就需要有一个动态连接库,把钩子函数放到库中。但有两个是例外,就是日志钩子和日志回放钩子,它是一种比较...
C++ detours实现简单的系统函数拦截
保持对编程的热情!
10-22 2479
哎,将近半年没写了,失踪人口回归,因为博主参加工作了。之前上学的时候,看到很多在学校读书的大牛参加工作之后也很少更新博客,之前不以为意。现在发现确实是工作的空闲时间不如上学的时候,所以也想念以前在大学里面一个人在图书馆一台电脑一瓶矿泉水一天的时光,哈哈。但是呢,有空写写博客,也不是一件坏事呢。 今天实现一个简单的调用detours.lib的静态库实现一个对系统函数(system)的拦截。
c++----detours2.1
g710710的专栏
10-10 2371
一.遇见的问题 项目detours使用2.1版本 project->settings->general     设置为use mfc in a library 在win32 console application建项目可能用到了mfc东西,自然要加点东西 1 Linking... nafxcwd.lib(afxmem.obj) : error LNK2005: "voi
DetoursHook
博文视点(北京)官方博客
04-09 2005
DetoursHook Detours是微软开发一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。 在游戏或外挂分析中,可以利用Detours库提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。 Detours Hook的3个关键概念 要理解Detours H
C++ Hook钩子技术()——抓取企鹅消息】Detour Hook框架实战,抓取Tencent企鹅消息,挂钩函数,解析数据一步到位!
luoqiaoliang的博客
04-22 1562
光学不练假把式,当我们接触一个新知识的时候并非会认为这个知识很有用。只有当我们实际使用后才知道Hook是有多好“玩”,本期将带领各位进行Detour Hook框架的实战,抓取QQ消息并对抓取数据进行解析,注意这里是抓取本地消息并非获取他人的消息。博客仅供学习,不能用于其他商业和非法用途。另外,本期代码涉及到隐私内容,并不会完全公布代码,仅分享部分重要代码,再次申明本内容仅供学习!
c++ hook 全局钩子 全局键盘钩子
01-16
c++ hook 全局钩子 全局键盘钩子
C++ Windows Hook Demo
05-06
安装消息钩子监视键盘消息,DLL中定义钩子回调函数,安装全局消息钩子,监测所有程序的键盘操作
Detours Hook
04-09 207
Detours Hook Detours是微软开发一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/proj...
C++ Hook(钩子)编程,通过内联汇编,使类成员函数代替全局函数(静态函数)
jiaxiaokai的博客
05-11 4725
编程语言:C/C++ 编译环境:Visual Studio 2008 核心方法::通过内联汇编,构造类对象独享的函数(委托),完成了类成员函数到普通全局函数的转化,并在Windows Hook(钩子)编程中得到成功的实践。 关键字:C++,委托,内联汇编,Hook,成员函数     引文: 前段时间曾编写了一个自认为很完善的.NET平台上的Hook(钩子)动态链接库(DLL),并进一
一个简单的键盘钩子程序
要饭's Blog
07-21 1896
      实现适时监视键盘,并将按键信息保存在TXT文件中的程序       Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关
c++钩子函数
心情第一
07-22 2786
结合自定义消息映射方面,作为学习的一个总结. Step1:创建win32动态链接库(an empty project DLL),命名为HookDLL 1:增加一个类,命名为DLL.cpp 2:增加头文件 #include <windows.h> #include "DLL.h" 3:创建全局变量 #pragma data_seg("Shared") HHOOK mHoo...
消息钩子函数入门篇
raphyer的专栏
10-02 8227
Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的。而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,
C++封装Detours库挂钩函数
陈子青的博客
10-07 599
DetourTransactionCommit():执行当前的Transaction过程。在这个函数中才会真正进行截获或者解除截获操作。DetourUpdateThread():列入一个DetourTransaction过程中要进行update的线程。DetourTransactionBegin():开始一次截获或者解除截获过程。DetourAttach():添加一个要截获的目标函数。DetourDetach():用来解除截获的函数。这个函数的作用稍微有一些复杂,会在后面专门说明。
Detour技术在Windows API钩子中的应用案例
APIHookingComplete这个压缩包子文件的名称表明,它可能包含了一个或多个完整的Detour例子,这些例子可能覆盖了如何使用Detour库从头到尾完整地设置一个API Hook的流程。文件内容可能包括了初始化、钩子应用、函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值