Detours库使用与原理分析

最新推荐文章于 2025-04-17 11:25:51 发布
最新推荐文章于 2025-04-17 11:25:51 发布
阅读量4.1k 收藏 14
点赞数 5
分类专栏: 拦截技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wl_tian_dao_chou_qin/article/details/119388885
版权
本文详细介绍了Detours,一个由微软认证的开源Hook库,用于拦截和修改应用层及系统层API的功能。通过解压、编译源码,创建工程并实例化Hook,展示了如何在无源码情况下改变API行为。文章还深入剖析了Hook的原理,包括函数跳转和还原过程,最后指出该技术只能拦截本进程API,跨进程需注入代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1.什么Detours

2.编译方法

 3.使用方法

4.原理分析

1.什么Detours

Detours是经过微软认证的一个开源Hook库,其作用是拦截应用层及系统层API,注入进程代码等功能,能在无源码的情况下修改原API功能,具有线程安装效率高稳定的特点

源码及静态库下载地址: Detours源码与静态库下载

2.编译方法

2.1解压源码于任意路径 

2.2.打开Vs安装目录下的(D:\Program Files (x86)\Microsoft Visual Studio 12.0\Common7\Tools\Shortcuts )的cmd(VS2013 开发人员命令提示 vs下的工具 根据自己的安装路径),切换到vs安装路径(例如 D:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin 本机安装路径)  输入 vcvarsall.bat 回车即可(此命令默认生成32生成环境,如果需要其他环境可以加参数  例如生成64位  vcvarsall.bat  x64)

参数列表如下,可自行选择:

x86        生成 inter平台集32位的静态库 

amd64   生成amd平台集64位的静态库
x64       生成 inter amd平台集64位的静态库
arm       生成 arm平台集64位的静态库
x86_arm   生成 arm平台集32位的静态库

2.3切换到detours的src目录下(例如 Detours\src 下面),输入 nmake回车,即可编译

 如图所示即编译出对应 平台的lib库

 3.使用方法

3.1,创建一个工程,将 detours.h  detver.h detours.lib复制到工程根目录下

3.2.main.cpp代码如下

#include "stdafx.h"
#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>
//包含Detour的头文件和库文件
#include "./detours.h"
#pragma comment (lib,"./detours.lib")
//保存函数原型
static int (WINAPI *OldMesssageBoxW)(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCWSTR lpText,
	_In_opt_ LPCWSTR lpCaption,
	_In_ UINT uType) = MessageBoxW;

//改写函数
static int WINAPI NewMessageBoxW(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCWSTR lpText,
	_In_opt_ LPCWSTR lpCaption,
	_In_ UINT uType)
{
	return OldMesssageBoxW(NULL, L"new MessageBox", L"Please", MB_OK);

}

//开始下钩子
void StartHook()
{
	IntializeNativeFunctions();
	//开始事务
	DetourTransactionBegin();
	//更新线程信息  
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数附加到原函数的地址上
	//DetourAttach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);
	//结束事务
	DetourTransactionCommit();
}

//解除钩子
void EndHook()
{
	//开始事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截的函数从原函数的地址上解除
	DetourDetach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);
	//结束事务
	DetourTransactionCommit();
}
int _tmain(int argc, _TCHAR* argv[])
{
	MessageBoxW(NULL,"还没有Hook", L"测试", MB_OK);
    StartHook();
    MessageBoxW(NULL,"Hook后的", L"测试", MB_OK);

    Sleep(1000*60);
    EndHook();
}

运行之后 会发现 第一个messageBoxw 会输出 “还没有Hook” 而第二个则会输出  new MessageBox

4.原理分析 

三个概念:

1.TargetFun,这里是指被 拦截的函数本段代码 是指系统的MessageBoxw

2.TransactionFun,这里是指被 中间置换函数 OldMessageBoxW

3.detoursFun,这里是指替换TargetFun的函数 NewMessageBoxW

拦截过程如下:

此为未Hook前的messageBoxw的前5个字节(原理关键就在这前5个字节上)

 A.....MessageBoxW(NULL, L"还没有Hook", L"测试", MB_OK);

76E0FECF 8B FF                mov         edi,edi  
76E0FED1 55                   push        ebp  
76E0FED2 8B EC                mov         ebp,esp  
76E0FED4 6A 00                push        0  
76E0FED6 FF 75 14             push        dword ptr [ebp+14h]  
76E0FED9 FF 75 10             push        dword ptr [ebp+10h]  
76E0FEDC FF 75 0C             push        dword ptr [ebp+0Ch]  
76E0FEDF FF 75 08             push        dword ptr [ebp+8]  
76E0FEE2 E8 A3 FF FF FF       call        76E0FE8A

B.....此为执行后Hook()的messageBoxw汇编代码

76E0FECF E9 5C 2D F5 89       jmp         NewMessageBoxW (0D62C30h)  
76E0FED4 6A 00                push        0  
76E0FED6 FF 75 14             push        dword ptr [ebp+14h]  
76E0FED9 FF 75 10             push        dword ptr [ebp+10h]  
76E0FEDC FF 75 0C             push        dword ptr [ebp+0Ch]  
76E0FEDF FF 75 08             push        dword ptr [ebp+8]  
76E0FEE2 E8 A3 FF FF FF       call        76E0FE8A  

C....return OldMesssageBoxW(NULL, L"new MessageBox", L"Please", MB_OK);

6EDF00D8 8B FF                mov         edi,edi  
6EDF00DA 55                   push        ebp  
6EDF00DB 8B EC                mov         ebp,esp  
6EDF00DD E9 F2 FD 01 08       jmp         76E0FED4  

有没有发现规律A与B的红色部分都是5个字节,A部的红色代码为保存环境寄存器的,当Hook之后会强制性将这5个字节换成 jmp         NewMessageBoxW (0D62C30h)也就是强制跳转到我们拦截的新函数里面(这就是为什么会拦截的原因),同时会将OldMesssageBoxW (C部分)这个原本指向A(MessageBoxW) 的函数指针 指向一个全新的地址,而这个地址的前5个字节就是从原本A处复制来的环境寄存器的数据(认真看C部分的红色部分代码),然后再jmp         76E0FED4

认真看这个 76E0FED4 是不是就是A的首地址 再往后偏移5个字节,这样OldMesssageBoxW就能完成 原本messageBoxw的调用(所以在NewMessageBoxW不能再调用messageBoxw了,因为messageboxw的前5个字节已经修改成调用NewMessageBoxW,这样会造成死循环,应该调用OldMessageBoxw,因为这个OldMessageBoxw相当于未Hook前的Messageboxw)

以上为Hook的原理,而UnHook则是逆过来还原messageBox的前5个字节即可

说明 :

本例程只可拦截本进程的Api调用,因为进程虚拟地址空间的原因,想拦截其他进程的api,则必须将拦截代码注入到对应的进程虚拟地址空间,注入方法有多种(windows注册表,远程线程 全局钩子等等),detours也支持远程代码注入

微软开源项目 Detours 详细介绍使用实例分享
dvlinker的技术专栏
08-15 1万+
本文详细介绍微软开源Detours,并分享使用Detours实现函数hook的实例。
如何生成Detours.lib——Detours使用准备
热门推荐
sliufen的专栏
02-24 1万+
 Detours是微软开发的一个函数,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作:一.下载Detours     在http://research.microsoft.com/sn/detours 可免费下载Detours,当前的最新版本是Detours Express 2.1 is available for immediate download under
使用Detours拦截API的程序
01-29
利用Detours开源进行API拦截的例子
Detours简单使用程序
08-09
一个简单使用Detours的例子。Hook系统API,send和recv函数。
Detours-4.0.1 静态hook资源
最新发布
gitblog_06741的博客
04-17 362
Detours-4.0.1 静态hook资源 【下载地址】Detours-4.0.1静态hook资源 Detours 4.0.1 是一个由微软官方开发的静态hook,适用于Windows系统的多种处理器架构,包括x86、x64、IA64和ARM。该经过VS2015编译,支持32位和64位进程操作,是开发者在Win...
Detours使用方法
gaojunhuiwww的专栏
08-28 1395
Detours是一个软件包,用于在应用程序下重新路由(拦截)Win32 API。
detours介绍使用
顺其自然~专栏
06-29 6293
Detours 是Microsoft开发一个,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能: 1 拦截x86机器上的任意的win32 API函数。 2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours替换目标API最前面的几条指令,使其无条件的跳转到用户提供的拦截函数。被替换的API函数的前几条指令被保存到tram
detours使用
cbh84663973的专栏
12-05 5343
Detours是微软开发的一个函数,可用于捕获系统API。在用其进行程序开发之前,得做一些准备工作: 一.下载Detours      在http://research.microsoft.com/sn/detours 可免费下载Detours 二.安装Detours         一路NEXT 三.生成Detours         在安装后的文件夹下找不到直接可以拿来用的
微软Detours Hook编译使用
优快云
08-14 3770
Detours 是微软开发的一个强大的Windows API钩子,用于监视和拦截函数调用。它广泛应用于微软产品团队和众多独立软件开发中,旨在无需修改原始代码的情况下实现函数拦截和修改。Detours 在调试、监控、日志记录和性能分析等方面表现出色,已成为开发者的重要工具。本章将指导读者编译并使用Detours,通过实现一个简单的弹窗替换功能,帮助读者熟悉该使用技巧。
Detours x86 x64 位编译好的静态
08-25
在多平台开发中,确保目标应用程序的位数匹配是至关重要的,因为不兼容的会导致运行时错误。 Detours 的静态文件包含预编译的二进制代码,可以直接链接到你的项目中,无需在编译时依赖额外的动态链接...
易语言源码微软detours易语言演示源码.rar
03-30
Detours则是由微软开发的一个强大的调试和系统监控工具,它允许程序员在不修改原代码的情况下,钩取(hook)系统调用或者用户定义的函数,实现对系统行为的拦截和修改,常用于系统级的调试、性能分析以及安全防护...
微软detours易语言演示源码-易语言
06-13
这通常涉及将Detours的动态链接(DLL)文件和相关的头文件(如果有的话)易语言源码一起打包,并在源码中通过适当的函数调用来加载和使用这些。在提供的"detours"文件中,可能包含了实现这一过程的源码文件...
编译好的detours
07-31
Detours 是一个在x86平台上截获任意Win32函数调用的工具。中断代码可以在运行时动态加载。编译好的detours静态可直接使用vs系列的IDE加载使用
Detours C++ HOOK类
04-29
包含 1.微软的 Detour 3.0 2.列宁的大作 Detours 已测试正常
detours(有头文件)
08-03
在优快云中看到了有人上传,但没有头文件,所以这里上传了一份,供大家学习
Detours使用说明
05-17 1万+
 Detours使用说明 1 介绍... 12 Detours API hook. 12.1 hook DLL 中的函数... 22.2 hook自定义c 函数... 32.3 hook类成员函数... 42.4 DetourCreateProcessWithDll 52.5 Detouring by Address. 5 1 介绍  Api hoo
Detours使用
q123456789098的专栏
08-26 471
Detours使用 Detours开发包被下载回来会不能直接使用,安装完毕后需要自己使用nmake生成相应的DLL以及lib文件。这里我已经编译好了,随文附上,一共有四个文件,分别是detoured.dll、detoured.lib、detours.lib、detours.h。 我们需要编写一个DLL,然后将该DLL注入到目标进程的空间中,(注意这里我们需要将生成的hook.dll和deto
Detours 使用(一)
wzf906819823的专栏
08-09 3098
Detours是微软开发的一个函数,可用于捕获系统API。 Detours的编译方法:http://blog.youkuaiyun.com/hewei0241/article/details/38326899 测试环境:win7 x86 PS:win x64 在注入的时候,所有测试程序是32位的。如果使用创建远程线程函数的方法来注入动态,在win7 x64下,CreateRemoteThread会
微软开发Detours函数(好东西啊)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-30 1380
Detours是微软开发的一个函数, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是:  拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。  为一个已在运行的进程创建一新线程,装入自己的代码并运行。  ---- 本文将简介Detours原理Detours函数的用法, 并利用Detours函数在Windo
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值