Detours库使用与原理分析

1.什么Detours

2.编译方法

3.使用方法

4.原理分析

1.什么Detours

Detours是经过微软认证的一个开源Hook库，其作用是拦截应用层及系统层API，注入进程代码等功能，能在无源码的情况下修改原API功能，具有线程安装效率高稳定的特点

源码及静态库下载地址： Detours源码与静态库下载

2.编译方法

2.1解压源码于任意路径

2.2.打开Vs安装目录下的（D:\Program Files (x86)\Microsoft Visual Studio 12.0\Common7\Tools\Shortcuts ）的cmd(VS2013 开发人员命令提示 vs下的工具根据自己的安装路径),切换到vs安装路径（例如 D:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin 本机安装路径）输入 vcvarsall.bat 回车即可（此命令默认生成32生成环境，如果需要其他环境可以加参数例如生成64位 vcvarsall.bat x64）

参数列表如下，可自行选择：

x86 生成 inter平台集32位的静态库

amd64 生成amd平台集64位的静态库
x64 生成 inter amd平台集64位的静态库
arm 生成 arm平台集64位的静态库
x86_arm 生成 arm平台集32位的静态库

2.3切换到detours的src目录下（例如 Detours\src 下面），输入 nmake回车，即可编译

如图所示即编译出对应平台的lib库

3.使用方法

3.1，创建一个工程，将 detours.h detver.h detours.lib复制到工程根目录下

3.2.main.cpp代码如下

#include "stdafx.h"
#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>
//包含Detour的头文件和库文件
#include "./detours.h"
#pragma comment (lib,"./detours.lib")
//保存函数原型
static int (WINAPI *OldMesssageBoxW)(_In_opt_ HWND hWnd,_In_opt_ LPCWSTR lpText,_In_opt_ LPCWSTR lpCaption,_In_ UINT uType) = MessageBoxW;//改写函数
static int WINAPI NewMessageBoxW(_In_opt_ HWND hWnd,_In_opt_ LPCWSTR lpText,_In_opt_ LPCWSTR lpCaption,_In_ UINT uType)
{return OldMesssageBoxW(NULL, L"new MessageBox", L"Please", MB_OK);}//开始下钩子
void StartHook()
{IntializeNativeFunctions();//开始事务DetourTransactionBegin();//更新线程信息  DetourUpdateThread(GetCurrentThread());//将拦截的函数附加到原函数的地址上//DetourAttach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);//结束事务DetourTransactionCommit();
}//解除钩子
void EndHook()
{//开始事务DetourTransactionBegin();//更新线程信息 DetourUpdateThread(GetCurrentThread());//将拦截的函数从原函数的地址上解除DetourDetach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);//结束事务DetourTransactionCommit();
}
int _tmain(int argc, _TCHAR* argv[])
{MessageBoxW(NULL,"还没有Hook", L"测试", MB_OK);StartHook();MessageBoxW(NULL,"Hook后的", L"测试", MB_OK);Sleep(1000*60);EndHook();
}

运行之后会发现第一个messageBoxw 会输出 “还没有Hook” 而第二个则会输出 new MessageBox

4.原理分析

三个概念：

1.TargetFun,这里是指被拦截的函数本段代码是指系统的MessageBoxw

2.TransactionFun,这里是指被中间置换函数 OldMessageBoxW

3.detoursFun，这里是指替换TargetFun的函数 NewMessageBoxW

拦截过程如下：

此为未Hook前的messageBoxw的前5个字节（原理关键就在这前5个字节上）

A.....MessageBoxW(NULL, L"还没有Hook", L"测试", MB_OK);

76E0FECF 8B FF mov edi,edi
76E0FED1 55 push ebp
76E0FED2 8B EC mov ebp,esp
76E0FED4 6A 00 push 0
76E0FED6 FF 75 14 push dword ptr [ebp+14h]
76E0FED9 FF 75 10 push dword ptr [ebp+10h]
76E0FEDC FF 75 0C push dword ptr [ebp+0Ch]
76E0FEDF FF 75 08 push dword ptr [ebp+8]
76E0FEE2 E8 A3 FF FF FF call 76E0FE8A

B.....此为执行后Hook()的messageBoxw汇编代码

76E0FECF E9 5C 2D F5 89 jmp NewMessageBoxW (0D62C30h)
76E0FED4 6A 00 push 0
76E0FED6 FF 75 14 push dword ptr [ebp+14h]
76E0FED9 FF 75 10 push dword ptr [ebp+10h]
76E0FEDC FF 75 0C push dword ptr [ebp+0Ch]
76E0FEDF FF 75 08 push dword ptr [ebp+8]
76E0FEE2 E8 A3 FF FF FF call 76E0FE8A

C....return OldMesssageBoxW(NULL, L"new MessageBox", L"Please", MB_OK);

6EDF00D8 8B FF mov edi,edi
6EDF00DA 55 push ebp
6EDF00DB 8B EC mov ebp,esp
6EDF00DD E9 F2 FD 01 08 jmp 76E0FED4

有没有发现规律A与B的红色部分都是5个字节，A部的红色代码为保存环境寄存器的，当Hook之后会强制性将这5个字节换成 jmp NewMessageBoxW (0D62C30h)也就是强制跳转到我们拦截的新函数里面（这就是为什么会拦截的原因），同时会将OldMesssageBoxW （C部分）这个原本指向A(MessageBoxW) 的函数指针指向一个全新的地址，而这个地址的前5个字节就是从原本A处复制来的环境寄存器的数据（认真看C部分的红色部分代码），然后再jmp 76E0FED4

认真看这个 76E0FED4 是不是就是A的首地址再往后偏移5个字节，这样OldMesssageBoxW就能完成原本messageBoxw的调用（所以在NewMessageBoxW不能再调用messageBoxw了，因为messageboxw的前5个字节已经修改成调用NewMessageBoxW，这样会造成死循环，应该调用OldMessageBoxw，因为这个OldMessageBoxw相当于未Hook前的Messageboxw）

以上为Hook的原理，而UnHook则是逆过来还原messageBox的前5个字节即可

说明：

本例程只可拦截本进程的Api调用，因为进程虚拟地址空间的原因，想拦截其他进程的api，则必须将拦截代码注入到对应的进程虚拟地址空间，注入方法有多种（windows注册表，远程线程全局钩子等等），detours也支持远程代码注入