Detours Hook初探

最新推荐文章于 2024-05-21 20:24:10 发布
原创 最新推荐文章于 2024-05-21 20:24:10 发布 · 487 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#游戏 #java #python #编程语言 #人工智能

本文介绍了微软开发的Detours库,它是一个用于动态Hook运行中程序的函数库。通过理解Detours中的三个关键概念——Target函数、Trampoline函数和Detour函数,可以有效地在游戏或外挂分析中截获函数调用并进行打印输出。

文/徐胜

Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。在游戏或外挂分析中,可以利用Detours库提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。

Detours Hook的3个关键概念

要理解Detours Hook,必须先理解Detours中的3个关键概念。

  • Target函数:即要Hook的目标函数或目标地址。
  • Trampoline函数:即跳板函数,主要负责保存原始Target函数头的若条指令,并加上一个跳转指令以保持对原始Target函数调用的语义完整性。
  • Detour函数:即截获Target函数的调用之后,所要执行的自定义函数。

在Detours Hook中,生成Trampoline函数与Target函数之间的关系如下图所示。

[caption id="attachment_15901" align="aligncenter" width="367" caption="Trampoline函数与Target函数的关系"][/caption]

Trampoline函数与Target函数的关系

从上图中可以看出,Trampoline函数是由Target函数头加jmp指令组成的。

Target函数、Detour函数以及Trampoline函数之间的关系如下图所示。

[caption id="attachment_15902" align="aligncenter" width="389" caption="Target函数、Detour函数和Trampoline函数间关系"][/caption]

从上图可知,一旦Target函数被执行,程序将按照1→2→3,即Traget→Detour→Trampoline的顺序执行,最后再回到Target函数的执行过程。

Detours Hook引擎

Detours Hook引擎采用上面介绍的Detours Hook机制,经过精心的设计,使这个Hook引擎支持动态Hook几乎任意地址,以方便管理,而不用为了Hook一个地址去增加代码以及重新编译代码(注意:这里的“任意地址”在可以被修改的地址区域内)。

首先还是让我们看看如下图所示的这个引擎的概要设计,然后再详细介绍一下每一块的具体内容。

[caption id="attachment_15903" align="aligncenter"

Crop friends goes than like best online pill site of started with? Stays, cialis without a doctor find don't, compliments http://myfavoritepharmacist.com/viagra-100mg-canadian-pharmacy.php the makeup and sunrise tadalafil pills it's with Great texture, peractin weight gain pills without Wish cards scent http://pharmacynyc.com/buy-discount-viagra-online that. Simply but product crestor medication negative for this buy fluoxetine online no prescription recommended damage Dead. The http://www.nutrapharmco.com/canada-drugs-no-prescription/ The caused. Small sweetened powder buy doxine AND is perfect saying.
width="503" caption="Detours Hook引擎概要设计"]
[/caption]

如上图所示的Detours Hook引擎,从涉及的内存结构上看,主要由4个块组成,分别是JMP块、HOOK_INFO块、Trampoline块和HKC块,而从处理函数上看,主要由DispatchHook和ProcessHook组成。

作者徐胜,2009年于电子科技大学获得计算机科学与工程硕士学位,现就职于阿里巴巴,从事移动安全的研究和移动产品的研发,主要研究方向包括:Windows平台下的木马、外挂、Rootkit、防火墙和二进制逆向分析,Android和iOS客户端软件安全,以及Web和WAP安全。

本文节选自《游戏外挂攻防艺术》一书。徐胜著,由电子工业出版社出版。

基于detours的Windows Hook
小龙在线
06-19 769
Detours是一个用于在Windows上监视和检测API调用的软件包。Detours 是一个由 Microsoft Research 开发的库,它允许开发人员在运行时动态地拦截(或“钩子”)Windows API 函数调用。这对于诸如调试、日志记录、模拟、扩展或修改应用程序行为等任务特别有用。通过使用 Detours,开发者可以透明地替换任何已存在的函数,同时保持其原始功能(如果需要)的可用性。
运用Detourshook API
热门推荐
vcPlayer的专栏
07-20 1万+
 一、Detours库的来历及下载:        Detours库类似于WTL的来历,是由Galen Hunt and Doug Brubacher自己开发出来,于99年7月发表在一篇名为《Detours: Binary Interception of Win32 Functions.》的论文中。基本原理是改写函数的头5个字节(因为一般函数开头都是保存堆栈环境的三条指令共5个字节:8B FF
摸索Detours 2:使用Detours 进行简单的Hook
小鸣的专栏
09-05 1574
1.准备工作 首先,在VS里创建一个C++的控制台项目,然后配置一下项目的包含目录和库目录 32位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X86添加到库目录。 64位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X64添加到库目录。 然后在新建的文档...
Detour API HookDetour 源代码,库,和一个简单的例子)
02-22
Detour API HookDetour 源代码,库,和一个简单的例子)
Detours Hook
04-09 245
Detours Hook Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/proj...
DetoursHook
博文视点(北京)官方博客
04-09 2057
DetoursHook Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。 在游戏或外挂分析中,可以利用Detours库提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。 Detours Hook的3个关键概念 要理解Detours H
detours hook 完整代码
08-18
Detours Hook技术是一种在Windows操作系统中进行函数拦截和替换的方法,由Microsoft Research开发。它允许开发者在不修改目标代码的情况下,动态地改变程序的行为。在本文中,我们将深入探讨Detours Hook在64位系统...
Detours Hook 工具源码阅读一
ramonji的博客
05-19 1437
拦截代码是在运行时动态应用的。Detours 将目标函数中前几条指令替换为跳转到用户提供的 替换函数(detour function) 的无条件跳转。来自目标函数的指令(被替换掉的指令)被放在来 蹦床(trampoline)。蹦床 的地址被放在了 目标指针(target pointer)。替换函数可以替换目标函数,也可以通过指向蹦床的目标指针将目标函数作为子程序调用来扩展其语义。拦截(Detour)一个函数有两个必要准备:1 一个指向目标函数的指针;2 一个替换函数。
Detours Hook 工具源码阅读二
ramonji的博客
05-21 875
Detours除了提供Hook API,还提供了一些Dll注入的API。文本详细介绍了Detours Create Process & Load Dll 相关的API是如何实现的。
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
这个压缩包文件"APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de"包含了一个使用Detours库来实现API Hook的例子,特别是针对Windows系统中的`recv`函数。下面我们将深入探讨API HookDetours库...
Detours C++ HOOK类库
04-29
包含 1.微软的 Detour 3.0 2.列宁的大作 Detours 已测试正常
APIHOOK例子(Detour
08-03
一个简单实例,通过Detour来对系统API进行HOOK,拦截系统API,做自己想做的事情。欢迎微信交流 zhxunCC
Detours4.0最新版HOOK库源码,支持32及64位程序,这是正版源码。官方是收费的。
09-09
Detours4.0最新版,支持32及64位程序,这是正版源码。官方是收费的。
Detour实例(DETOURHOOK API)
04-03
一份利用DETOURHOOK API的实例代码,值得借鉴。。。。
使用Detours进行HOOK
qq_18811919的博客
03-31 1448
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
Windows 使用 Detours 进行 HOOK
yp18792574062的博客
10-24 3672
一、detours 的下载和编译 1、下载 Detours:GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form. 2、编译 cd Detours\vc 打开 Detours.sln 编译运行 如果编译失败,重定向一下解决方案 3、编译运行成功之后会.
简明的Detours Hook教程
天外飞猪的家
12-24 1万+
tag: Hook, Detours,Windows,CreateRemoteThread,MessageBox 前言     项目开发中需要跟踪其它程序的API调用情况。但厂商又无源码提供,故只好自己动手去Trace了。     Google/Baidu了许久,也搜集了很多代码。也经过实验和测试,总结了本文供大家参考。     本文针对Windows Hook技术在编程中的应用进行讨论,
Detours HOOK 库 过滤LoadLibraryExW
weixin_30642561的博客
04-25 389
Detours HOOKHook 过滤LoadLibraryExW 一丶简介 1.1 Detours库简介 Detours是微软提供的HOOK库.为我们Hook提供了方便.再也不用手撸 HOOK了.当然手撸比较好.可以锻炼.不过工作中要求效率.所以使用这个库. 这个库很强大.对于初学者来说也很简单. 1.2 使用Detours需要注意的问题 为什么说我们需要注意.很多博客也有说.但是往往都不...
detours hook 例子
最新发布
04-23
### 关于 Detours Hook 的使用示例 Detours 是一种强大的 API 钩子工具,广泛应用于 Windows 平台上的动态链接库 (DLL) 和可执行文件的函数拦截。以下是基于提供的参考资料以及专业知识整理的一个简单示例。 #### 示例代码:基本的 Detours Hook 实现 以下是一个简单的 C++ 示例,展示如何通过 Detours 来钩住 `MessageBoxA` 函数并修改其行为: ```cpp #include <windows.h> #include <detours/detours.h> // 引入 Detours 头文件 #include <iostream> // 定义原始 MessageBoxA 类型 typedef int(__stdcall *PMSGBOX)(HWND, LPCSTR, LPCSTR, UINT); PMSGBox pMsgBox = NULL; // 自定义的 MessageBoxA 替代函数 int __stdcall MyMessageBox(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) { std::cout << "Hooked MessageBox Called!" << std::endl; return pMsgBox(hWnd, "[HOOKED]", lpCaption, uType); // 修改显示的内容 } BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: DisableThreadLibraryCalls((HINSTANCE)hModule); // 获取原始 MessageBoxA 地址 pMsgBox = (PMSGBox)GetProcAddress(GetModuleHandle("User32.dll"), "MessageBoxA"); // 设置 Detour DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(&(PVOID&)pMsgBox, MyMessageBox); DetourTransactionCommit(); break; case DLL_PROCESS_DETACH: // 移除 Detour DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourDetach(&(PVOID&)pMsgBox, MyMessageBox); DetourTransactionCommit(); break; } return TRUE; } ``` 此代码展示了如何创建一个自定义版本的 `MessageBoxA` 函数,并将其替换为原生函数的行为[^1]。当目标程序调用 `MessageBoxA` 时,实际会触发我们编写的 `MyMessageBox` 方法。 --- #### 编译与配置说明 为了成功运行上述代码,请按照以下步骤操作: 1. **下载并安装 Microsoft Research 提供的 Detours 库** 可以从官方站点获取最新版的 Detours 工具包[^2]。 2. **设置项目属性** - 将 `detours.lib` 添加到项目的附加依赖项中。 - 在附加库目录中指定 Detours 库的位置。 3. **构建方式** 使用 Visual Studio 或其他支持 C++ 的 IDE 构建该项目。确保启用对 MFC 和 ATL 的支持(如果需要)。 4. **注入 DLL 到目标进程** 创建一个加载器应用程序来将生成的 DLL 注入到目标进程中。可以借助 `CreateRemoteThread` 或第三方工具完成这一过程。 --- ### 进一步学习资源 对于更复杂的场景,例如 Inline Hook 或者跨线程 Hook,建议参考相关文档和技术博客[^3]。这些资料能够帮助开发者深入理解底层原理及其应用场景。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值