使用Detours进行HOOK

原创 已于 2025-03-10 15:44:00 修改
· 1.1k 阅读 · 5 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #信息安全 #系统安全 #安全 #网络

于 2024-03-31 14:53:31 首次发布
本文介绍了Detours,微软研发的用于Windows应用的动态代码重定向工具,可用于跟踪、调试和性能分析。文章详细讲解了如何配置Detours并展示了如何使用SleepHook功能在Sleep函数调用时弹出窗口。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

Detours介绍
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。
它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的
行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及
行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用
重定向到开发人员自己编写的代码中。这使得开发人员可以在应用程序执行过程中拦截、检
查和修改其行为,从而实现各种目的,比如记录函数调用、插入日志、进行性能分析、实现安
全措施等。Detours提供了一个灵活的API,使得开发人员可以轻松地编写自己的重定向代码,
并且支持对32位和64位的应用程序。它在Windows平台上被广泛应用于软件开发、调试和研
究领域,特别是在需要对二进制程序进行修改和分析的场景下,Detours是一个非常有用的工具。
NuGet安装Detours配置
1.使用新版VS支持NuGet安装
对项目右键单击管理NuGet程序包

在这里插入图片描述

2.	在浏览中输入Detours并搜索下载第一个并安装

在这里插入图片描述
在这里插入图片描述

3.安装完成会项目目录中可以看到Detours

在这里插入图片描述
在这里插入图片描述

4.配置include目录
正常情况下NuGet将自动适配如果出现问题手动进行如下配置。
该目录位于packages\Detours.4.0.1\lib\native\include下打开VS的项目属性打开
C/C++ -> 常规 -> 附件包含目录将include输入进去。

在这里插入图片描述

5.配置lib库文件
	在C/C++ -> 输入 -> 附加依赖项中填写libs目录中对应位数的lib文件。

在这里插入图片描述

源码编译Detours
如果NuGet安装出现问题的情况下也可以使用源码编译Detours下面讲解如何编译lib库。
下载:https://github.com/microsoft/detours
解压后目录结构如下:

请添加图片描述

总共有两个文件夹samples和src,下面分别编译x64和x86的lib库首先打开VS的
x64 Native Tools Command Prompt for VS 2022工具可以如下方式打开

请添加图片描述

运行之后cd到src目录输入nmake进行编译lib库

请添加图片描述

可以看到成功了lib文件会保存到根目录的lib.X64文件夹下面,同道理编译X86用的是
x86 Native Tools Command Prompt for VS 2022跟X64一样的编译。
安装源码编译的Detours
新建一个vs项目准备使用Detours,在使用之前确保已经编译好了在项目右键找到如下:
第一步:配置属性->VC++目录->包含目录

请添加图片描述

选择Detours根目录下的include文件夹

第二步:配置属性->VC++目录->库目录
填写Detours对应根目录的lib库目录,比如我是64位的那就是lib.X64目录跟链接器的区别是一个是目录一个是绝对路径的lib文件。

请添加图片描述

第三步:配置属性->链接器->输入->附加依赖项

请添加图片描述

选择对应版本的lib库添加到附加依赖项里面即可。

请添加图片描述

Detours进行Sleep Hook
下面是进行的Sleep Hook演示代码,在调用Sleep函数的时候进行一个弹窗。

#include <Windows.h>
#include "detours.h"
static VOID(WINAPI* OldSleep)(_In_ DWORD dwMilliseconds) = Sleep;
VOID WINAPI NewSleep(_In_ DWORD dwMilliseconds)
{
    MessageBoxA(0, "hook ok", "hook ok", 0);
    return OldSleep(dwMilliseconds);
}
void Hook(PVOID* oldAddress, PVOID newAddress)
{
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    DetourAttach(oldAddress, newAddress);
    DetourTransactionCommit();
}

void UnHook(PVOID* oldAddress, PVOID newAddress)
{
    DetourTransactionBegin();
    DetourUpdateThread(GetCurrentThread());
    DetourDetach(oldAddress, newAddress);
    DetourTransactionCommit();
}

int main()
{
    Hook(&(PVOID&)OldSleep, NewSleep);
    Sleep(0);
    return 0;
}
基于detours的Windows Hook
小龙在线
06-19 623
Detours是一个用于在Windows上监视和检测API调用的软件包。Detours 是一个由 Microsoft Research 开发的库,它允许开发人员在运行时动态地拦截(或“钩子”)Windows API 函数调用。这对于诸如调试、日志记录、模拟、扩展或修改应用程序行为等任务特别有用。通过使用 Detours,开发者可以透明地替换任何已存在的函数,同时保持其原始功能(如果需要)的可用性。
摸索Detours 3:使用Detours 采用dll 方式进行Hook
小鸣的专栏
09-09 1554
1.准备工作 新建一个DLL项目,当然 依旧是要按照前面所说的配置一下包含目录和库目录。然后就可以开始了。 2.开始,注入用Dll 使用DLL进行Hook的时候,主要处理DLL_PROCESS_ATTACH和DLL_PROCESS_DETACH 这两项,在编写相应的处理代码之前,当然是要先定义和引入需要Hook的函数,和替换的函数,如下: static int (WINAPI* Ol...
Detour开发包介绍(2):使用
jiangqin115的专栏
09-21 1253
一般来说,使用Detours的代码都具有固定的模式。Detours 1.5和Detours 2.1的接口函数变了很多,这里按照2.1版本对基本的使用方法进行说明。常用的函数有下面几个: DetourTransactionBegin():开始一次截获或者解除截获过程。 DetourUpdateThread():列入一个在DetourTransaction过程中要进行update的线程。这
摸索Detours 2:使用Detours 进行简单的Hook
小鸣的专栏
09-05 1505
1.准备工作 首先,在VS里创建一个C++的控制台项目,然后配置一下项目的包含目录和库目录 32位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X86添加到库目录。 64位的话将摸索Detours 1:使用Vs2019 编译Detours中编译的include添加包含目录、lib.X64添加到库目录。 然后在新建的文档...
013-Detours
最新发布
zhengtianzuo的博客
03-13 367
Detours通过动态修改目标函数指令实现API拦截
DetoursHook
博文视点(北京)官方博客
04-09 2007
DetoursHook Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。 在游戏或外挂分析中,可以利用Detours库提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。 Detours Hook的3个关键概念 要理解Detours H
Detours Hook
04-09 209
Detours Hook Detours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/proj...
Detours使用说明
linuxheik的专栏
05-09 1008
Detours使用说明 分类: c++ 自动化测试 windows编程技术2009-05-17 16:02 5919人阅读 评论(6) 收藏 举报   Detours使用说明   1 介绍 2 Detours API hook 2.1 hook DLL 中的函数 2.2 hook自定义c 函数 2.3 hook类成员函数 2.4 DetourCreateProces
简明的Detours Hook教程
热门推荐
天外飞猪的家
12-24 1万+
tag: Hook, Detours,Windows,CreateRemoteThread,MessageBox 前言     项目开发中需要跟踪其它程序的API调用情况。但厂商又无源码提供,故只好自己动手去Trace了。     Google/Baidu了许久,也搜集了很多代码。也经过实验和测试,总结了本文供大家参考。     本文针对Windows Hook技术在编程中的应用进行讨论,
Detours-master_detours_hook_
09-30
使用Detours,你可以实现以下几种类型的hook: 1. **函数拦截(Function Interception)**:这是Detours的基本功能,可以替换任何导出或非导出的函数,无论该函数是在你的进程还是其他进程中。 2. **内存拦截...
Detours微软Hook
10-21
Detours微软Hook库是一个专业级别的工具,它为需要在Windows平台上进行深入系统级开发的程序员提供了一套功能强大的钩子实现框架。通过Detours,开发者可以实现对操作系统和应用程序行为的精确控制,从而完成各种...
Detour API Hook(Detour 源代码,库,和一个简单的例子)
02-22
Detour API Hook(Detour 源代码,库,和一个简单的例子)
Windows 使用 Detours 进行 HOOK
yp18792574062的博客
10-24 3382
一、detours 的下载和编译 1、下载 Detours:GitHub - microsoft/Detours: Detours is a software package for monitoring and instrumenting API calls on Windows. It is distributed in source code form. 2、编译 cd Detours\vc 打开 Detours.sln 编译运行 如果编译失败,重定向一下解决方案 3、编译运行成功之后会.
Detours内联HOOK
sanqiuai的博客
05-10 735
1.Detours文件夹中有所需要用到的lib文件和h文件 2.将Detours文件夹拖动到工作目录下 3.附加包含目录,这样在添加头文件时就不需要填写目录而是直接可以填写头文件名,VS可以根据附加包含目录知道头文件在工作目录的哪个文件夹里 4.在工程里面添加一个筛选器Detours 5将工作目录下的detours41x86.lib直接拖动到工程中的筛选器里面。 ps:(当然也可以不拖到库文件到工程中,因为这样有时候可能会感觉很混乱。 在连接器-输出里面的附加依赖项中添加 detours41x86
如何生成Detours.lib——Detours使用准备
sliufen的专栏
02-24 1万+
 Detours是微软开发的一个函数库,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作:一.下载Detours     在http://research.microsoft.com/sn/detours 可免费下载Detours,当前的最新版本是Detours Express 2.1 is available for immediate download under
Detours HOOK 库 过滤LoadLibraryExW
weixin_30642561的博客
04-25 350
Detours HOOKHook 过滤LoadLibraryExW 一丶简介 1.1 Detours库简介 Detours是微软提供的HOOK库.为我们Hook提供了方便.再也不用手撸 HOOK了.当然手撸比较好.可以锻炼.不过工作中要求效率.所以使用这个库. 这个库很强大.对于初学者来说也很简单. 1.2 使用Detours需要注意的问题 为什么说我们需要注意.很多博客也有说.但是往往都不...
Detours库Windows API Hook
南宫封清的博客
02-24 8596
什么是Detours 简单地说,Detours是微软提供的一个开发库,使用它可以简单、高校、稳定地实现APIHOOK的功能。   Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Det...
detours使用
cbh84663973的专栏
12-05 5341
Detours是微软开发的一个函数库,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作: 一.下载Detours      在http://research.microsoft.com/sn/detours 可免费下载Detours 二.安装Detours         一路NEXT 三.生成Detours库         在安装后的文件夹下找不到直接可以拿来用的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值