Detours 小试牛刀之拦截 API 函数(APIHook)

最新推荐文章于 2025-08-19 11:29:57 发布
最新推荐文章于 2025-08-19 11:29:57 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 开发语言 文章标签: api winapi dll hook microsoft thread
本文介绍了Microsoft Research开源项目Detours,该工具简化了跨进程API函数的拦截操作。通过示例代码展示了如何利用Detours进行文件写入操作的拦截,并讨论了其在不同Windows版本中的应用限制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

无意之中看到 Microsoft Research 里面新出了好东西,Detours,开放源代码,实现了拦截跨进程 API 函数等等功能,从它提供的例程来看,还支持 COM,DCOM 等等。。。以前 Hook API 非常麻烦,Win9X 下由于没有公开的接口,各大厂商为了实现拦截API,使用了各种魔术代码,对于外人来说,高深莫测。虽然 WinNT 平台相对容易一些,但是还是需要编写大量的代码,Detours 的出现,使得编写一个最简单的 Hook,只需要几十行代码。拿到 Detours,我最想知道它在 9X 下如何工作的,可惜最后发现,Detours 并不支持 9X。。。想来 9X 的时代已经远去了,所以也不去计较了。
API Hook 有什么用呢,比如字典软件实现屏幕取词,就是拦截 GDI 绘制文本的相关函数实现的,如果拦截注册表,可以实现一个注册表监视器。一些小说阅读器加密了内容,使得复制文字出来非常困难,但是借助于拦截 IE 内核的 HTML 解析函数,一切文本立刻现身,还可以动态调试第三方的库,甚至伪造和欺骗程序调用。。。总之用途多多。。。

下面的图显示了 Detours 的调用关系:

粗略看了下源代码,Detours 注入进程的基本原理是修改了目标进程的导入表。

下面实际说说如何实现,程序主要分为两部分,一个做钩子DLL,一个注入钩子的主程序:
首先来看钩子DLL:

程序代码 程序代码

#include "stdafx.h"
#include "DetourDll.h"

#include "detours.h"

#pragma comment(lib,"detours.lib")


int WINAPI CopyWriteFile(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped);
DETOUR_TRAMPOLINE(int WINAPI CopyWriteFile(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped), WriteFile);
int WINAPI MyWriteFile(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped)
{
    CopyMessageBoxA(0, (LPCTSTR)lpBuffer, "hook", MB_OK);
    int nResult = CopyWriteFile(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);    //调用原始函数
    return nResult;
}

BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
            DetourFunctionWithTrampoline((PBYTE)CopyWriteFile, (PBYTE)MyWriteFile);
            break;
        case DLL_THREAD_ATTACH:
            break;
        case DLL_THREAD_DETACH:
            break;
        case DLL_PROCESS_DETACH:
            DetourRemove((PBYTE)CopyWriteFile, (PBYTE)MyWriteFile);
            break;
    }
    return TRUE;
}


LRESULT WINAPI MsgProc(int code, WPARAM wParam, LPARAM lParam)
{
    //note :on windows 2k ,the 1st paramter to CallNextHookEx can be NULL
    //On win 98 ,it must be the hook handle
    return(CallNextHookEx(NULL,code,wParam,lParam));
}


在这里,我们准备好要挂钩的函数代码,然后在DllMain里面完成函数的替换就可以了。注意这个dll要导出 MsgProc。
注入程序则非常简单
使用 DetourCreateProcessWithDll() 代替 CreateProcess() 创建进程就可以了,当然也可以附加到进程,具体文档中写得很详细,需要指出的是一些老的文章里面提到的 DetourContinueProcessWithDll(),已经被 DetourCopyPayloadToProcess() 取代,不过这个我没有试。
这个程序运行后,会拦截程序写文件的操作,并且告知写入了什么。比如记事本保存文件的时候就会触发。


Detours 可以在 http://research.microsoft.com/en-us/projects/detours/ 下载。

最后还有个小问题没有解决,Detours 如何拦截 stdcall 以外的函数调用,比如 fastcall 或者 nakedcall。。。期待高手解决了。

API函数拦截
u014291956的专栏
12-26 936
在Windows中,我们有时需要拦截系统提供的API来实现某些特殊的功能,如针对不同的进程实现API权限控制或者监听用户输入输出,而API函数拦截就是实现这些功能的基础。其通过将系统函数替换为我们提供的函数,当进程内调用该函数时,系统自动调用我们替换后的函数,这样我们就可以实现不同的返回结果,但注意的是需要与系统函数相同的参数签名,否则会引起进程崩溃。关键技术点如下: 1)      根据MSD
API函数拦截范例
09-10
有详尽的描述和标注,用最易懂的语言阐述API拦截的基本原理以及相关应用。
微软研究院Detour开发包之API拦截技术
weixin_33827731的博客
04-18 261
我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访 问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业 化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Detou...
Detours学习之四:拦截二进制函数
jyl_sh的专栏
10-28 691
拦截二进制函数 Detours库支持拦截函数调用。拦截代码在运行时动态应用。Detours将目标函数的前几个指令替换为无条件跳转到用户提供的detour函数。来自目标函数的指令保存在trampoline函数中。trampoline由从目标函数中删除的指令和无条件地转移到目标函数的其余部分组成。 当执行到达目标函数时,控制直接跳转到用户提供的detour函数。detour函数执行任何适当的拦截预处理。detour函数可以将控制权返回给源函数,也可以调用trampoline函...
API拦截Detours
idasm的专栏
11-20 596
Detours是一个字x86机器上拦截任意Win32二进制函数的库。拦截代码在运行时动态的注入。Detours使用用户提供的拦截函数将一个无条件跳转指令替换目标函数起始的少数指令。拦截代码将目标函数替换为跳板函数。跳板函数的地址被放在目标函数指针中。拦截函数能够替换目标函数,也可以在跳板函数中通过目标函数指针作为子调用来执行目标函数,从而扩展目标函数的语义。 Detours在执行的时候被插入
APIHook(detours).rar_APIHOOK_API拦截_C++ Detours_detours_nativeap
09-22
在IT领域,API HookAPI拦截)是一种技术,允许开发者拦截和修改系统或应用程序中特定API函数的行为。这种技术在调试、监控、日志记录、性能分析以及恶意软件分析等场景下广泛应用。Detours微软研究实验室开发的...
APIHook.rar_Detours hook recv_WindowsAPICodePack.d_apihook.r_de
09-22
在提供的压缩包中,`APIHook`可能包含一个示例程序,演示了如何使用Detours库来拦截并修改`recv`函数的行为。这个示例可以作为其他API Hook实现的基础,开发者可以根据需要修改和扩展,以适应自己的项目需求。 总结...
apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip
04-04
本资料包“apihook拦截对Win Api函数的调用_可钩任意指定的进程.zip”显然关注于这个主题,提供了如何在任意指定的进程中实现API Hook的技术细节。 API Hook主要分为几种类型: 1. **全局Hook**:全局Hook在系统...
API函数拦截例子 skykernel.rar_API拦截_api 拦截_拦截 API_拦截sky
09-23
在Windows操作系统中,常见的API拦截技术包括使用SetWindowsHookEx函数来设置系统级钩子,或者使用Detours库进行函数拦截。在Linux和其他类Unix系统中,可以通过LD_PRELOAD环境变量来加载自定义的动态链接库,从而...
使用Detours库实现Windows API recv函数拦截技术解析
资源摘要信息:"本文将详细解释如何使用微软Detours库编写API拦截函数,并以拦截Windows平台上的recv函数为例。此外,文中还会提及如何基于此示例来拦截其他函数,提供了一种API Hook技术的实践应用。" 知识点: 1....
API HOOK实现禁止复制文件的功能
05-12
API HOOK实现禁止复制文件
WSHOOK拦截工具
12-21
拦截进程数据 HOOK拦截 API拦截数据封包 读取内容和地址
Hook工具例子 监控任意窗体拦截消息
03-06
修改代码,随意hook窗口,监控窗口事件。
Detours实现APIHOOK
Lassewang的成长历程
08-15 4283
Detours实现APIHOOK Detours是一个软件开发库,它用于实现拦截Win32二进制代码中的API函数。 它使用一个Jmp指令替换了目标函数的前面几个字节,使得控制直接调用实现的 Detours函数。并通过一个trampoline函数保留了原来函数的功能调用。 我们知道,实现APIHOOK主要有两个重要环节,一是如何把代码注入到目标地 址空间,二是如何让自己的代码被调用。
开源项目推荐:Hook逆向技术之API拦截Detours
$firecat利白的代码足迹$
09-30 3071
1、开源项目 Detours Detours 是一个软件包,用于在 Windows 上监视和检测 API 调用。 https://www.microsoft.com/en-us/research/project/detours/ https://github.com/microsoft/detours 2、商业项目 WinAPIOverride http://jacquelin.potier.free.fr/winapioverride32/ API Monitor http:/.
api-hook,更轻量的接口测试工具
福禄网络研发团队的博客
11-26 1674
前言 在网站的开发过程中,接口联调和测试是至关重要的一环,其直接影响产品的核心价值,而目前也有许多技术方案和工具加持,让我们的开发测试工作更加便捷。接口作为数据传输的重要载体,数据格式和内容具有多样性,从宏观的角度上看,分为成功和失败,这两种状态又可以细分,例如失败对应的状态码有5**/4**,不同的状态码代表的问题是不一样的,都需要一一考虑,成功返回后,所有字段返回结果又是排列组合形式,那么问题就来了,是否能在条件容许的情况下快速覆盖所有的场景呢,从技术的角度上讲,问题不大,但是有时候成本却有点高,那怎么
利用HOOKAPI拦截文件操作
bruce135lee的专栏
02-09 3974
先读下HookAPI 使用文档:功能简介HookAPI 是一个截获Windows 32位API函数的开发包,它可以在Windows调用某个API函数的时候,先调用自己编写的函数,从而实现特殊的功能。HookAPI同样也适用于截获用户自己编写的DLL文件中的输出函数。 1.5系统特点:1)自己编写的替代函数的参数形式和原API函数完全一样,方便了Delphi和VB用户的使用。2)实时截获所有新建立的...
API拦截—实现Ring3全局HOOK
迈克揉索芙特
01-02 4678
       魏滔序注:本转载内容仅用来技术研究,请勿于损人害己之用。       首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程,然后对每个Ring3进程执行一遍HOOK操作。但是,系统中总有新进程产生,对于这些新进程我们怎么处理
Windows Hook 易核心编程(4) API Hook拦截API
ywbhnay的专栏
04-27 2203
在开始之前,让我们先来回顾一下: 什么叫Hook API?       所谓Hook就是钩子的意思,而API是指Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控 制,也就是一般的应用程序都需要调用API来完成某些功能,Hook API的意思就是在这些应用程序调用真正的系统API前可 以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲H
结合BI多维度异常分析(日期-> 商家/渠道->日期(商家/渠道))
最新发布
麻辣清汤的博客
08-19 474
商业智能分析平台技术实现与业务价值 该项目采用Python(SQLAlchemy)、FineReport和SQL技术,构建了佣金异常监测系统,将问题定位时效从1小时缩短至15分钟。核心通过动态阈值算法(14天滚动窗口±2.5σ)结合同比波动率进行异常检测,实现「日期→商家→渠道→计划」四级下钻分析。FineReport看板提供双轴趋势图、柱线组合等交互可视化,自动标记异常数据(波动率>0.3且绝对波动>3000)。数据每日零点自动更新,整合3个异构数据源至bi_duomaicps库,建立5张核心
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值