Detours库使用与原理分析
目录
1.什么Detours
2.编译方法
3.使用方法
4.原理分析
1.什么Detours
Detours是经过微软认证的一个开源Hook库,其作用是拦截应用层及系统层API,注入进程代码等功能,能在无源码的情况下修改原API功能,具有线程安装效率高稳定的特点
源码及静态库下载地址: Detours源码与静态库下载
2.编译方法
2.1解压源码于任意路径
2.2.打开Vs安装目录下的(D:\Program Files (x86)\Microsoft Visual Studio 12.0\Common7\Tools\Shortcuts )的cmd(VS2013 开发人员命令提示 vs下的工具 根据自己的安装路径),切换到vs安装路径(例如 D:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin 本机安装路径) 输入 vcvarsall.bat 回车即可(此命令默认生成32生成环境,如果需要其他环境可以加参数 例如生成64位 vcvarsall.bat x64)
参数列表如下,可自行选择:
x86 生成 inter平台集32位的静态库
amd64 生成amd平台集64位的静态库
x64 生成 inter amd平台集64位的静态库
arm 生成 arm平台集64位的静态库
x86_arm 生成 arm平台集32位的静态库
2.3切换到detours的src目录下(例如 Detours\src 下面),输入 nmake回车,即可编译
如图所示即编译出对应 平台的lib库
3.使用方法
3.1,创建一个工程,将 detours.h detver.h detours.lib复制到工程根目录下
3.2.main.cpp代码如下
#include "stdafx.h"
#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>
//包含Detour的头文件和库文件
#include "./detours.h"
#pragma comment (lib,"./detours.lib")
//保存函数原型
static int (WINAPI *OldMesssageBoxW)(_In_opt_ HWND hWnd,_In_opt_ LPCWSTR lpText,_In_opt_ LPCWSTR lpCaption,_In_ UINT uType) = MessageBoxW;//改写函数
static int WINAPI NewMessageBoxW(_In_opt_ HWND hWnd,_In_opt_ LPCWSTR lpText,_In_opt_ LPCWSTR lpCaption,_In_ UINT uType)
{return OldMesssageBoxW(NULL, L"new MessageBox", L"Please", MB_OK);}//开始下钩子
void StartHook()
{IntializeNativeFunctions();//开始事务DetourTransactionBegin();//更新线程信息 DetourUpdateThread(GetCurrentThread());//将拦截的函数附加到原函数的地址上//DetourAttach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);//结束事务DetourTransactionCommit();
}//解除钩子
void EndHook()
{//开始事务DetourTransactionBegin();//更新线程信息 DetourUpdateThread(GetCurrentThread());//将拦截的函数从原函数的地址上解除DetourDetach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);//结束事务DetourTransactionCommit();
}
int _tmain(int argc, _TCHAR* argv[])
{MessageBoxW(NULL,"还没有Hook", L"测试", MB_OK);StartHook();MessageBoxW(NULL,"Hook后的", L"测试", MB_OK);Sleep(1000*60);EndHook();
}
运行之后 会发现 第一个messageBoxw 会输出 “还没有Hook” 而第二个则会输出 new MessageBox
4.原理分析
三个概念:
1.TargetFun,这里是指被 拦截的函数本段代码 是指系统的MessageBoxw
2.TransactionFun,这里是指被 中间置换函数 OldMessageBoxW
3.detoursFun,这里是指替换TargetFun的函数 NewMessageBoxW
拦截过程如下:
此为未Hook前的messageBoxw的前5个字节(原理关键就在这前5个字节上)
A.....MessageBoxW(NULL, L"还没有Hook", L"测试", MB_OK);
76E0FECF 8B FF mov edi,edi
76E0FED1 55 push ebp
76E0FED2 8B EC mov ebp,esp
76E0FED4 6A 00 push 0
76E0FED6 FF 75 14 push dword ptr [ebp+14h]
76E0FED9 FF 75 10 push dword ptr [ebp+10h]
76E0FEDC FF 75 0C push dword ptr [ebp+0Ch]
76E0FEDF FF 75 08 push dword ptr [ebp+8]
76E0FEE2 E8 A3 FF FF FF call 76E0FE8A
B.....此为执行后Hook()的messageBoxw汇编代码
76E0FECF E9 5C 2D F5 89 jmp NewMessageBoxW (0D62C30h)
76E0FED4 6A 00 push 0
76E0FED6 FF 75 14 push dword ptr [ebp+14h]
76E0FED9 FF 75 10 push dword ptr [ebp+10h]
76E0FEDC FF 75 0C push dword ptr [ebp+0Ch]
76E0FEDF FF 75 08 push dword ptr [ebp+8]
76E0FEE2 E8 A3 FF FF FF call 76E0FE8A
C....return OldMesssageBoxW(NULL, L"new MessageBox", L"Please", MB_OK);
6EDF00D8 8B FF mov edi,edi
6EDF00DA 55 push ebp
6EDF00DB 8B EC mov ebp,esp
6EDF00DD E9 F2 FD 01 08 jmp 76E0FED4
有没有发现规律A与B的红色部分都是5个字节,A部的红色代码为保存环境寄存器的,当Hook之后会强制性将这5个字节换成 jmp NewMessageBoxW (0D62C30h)也就是强制跳转到我们拦截的新函数里面(这就是为什么会拦截的原因),同时会将OldMesssageBoxW (C部分)这个原本指向A(MessageBoxW) 的函数指针 指向一个全新的地址,而这个地址的前5个字节就是从原本A处复制来的环境寄存器的数据(认真看C部分的红色部分代码),然后再jmp 76E0FED4
认真看这个 76E0FED4 是不是就是A的首地址 再往后偏移5个字节,这样OldMesssageBoxW就能完成 原本messageBoxw的调用(所以在NewMessageBoxW不能再调用messageBoxw了,因为messageboxw的前5个字节已经修改成调用NewMessageBoxW,这样会造成死循环,应该调用OldMessageBoxw,因为这个OldMessageBoxw相当于未Hook前的Messageboxw)
以上为Hook的原理,而UnHook则是逆过来还原messageBox的前5个字节即可
说明 :
本例程只可拦截本进程的Api调用,因为进程虚拟地址空间的原因,想拦截其他进程的api,则必须将拦截代码注入到对应的进程虚拟地址空间,注入方法有多种(windows注册表,远程线程 全局钩子等等),detours也支持远程代码注入
Detours库使用与原理分析相关推荐
- CVE-2020-15999:Chrome FreeType 字体库堆溢出原理分析
聚焦源代码安全,网罗国内外最新资讯! 漏洞简介 Google发布公告,旧版本的 chrome 浏览器的 FreeType字体库中存在堆溢出,被利用可能导致 RCE(远程代码执行). 安全专家建议用户 ...
- PostgreSQL 备库apply延迟原理分析与诊断
标签 PostgreSQL , 物理流复制 , IO不对称 背景 开车的同学都喜欢一马平川,最好是车道很多,车很少,开起来爽. 大家想象一下,同样的车速,6车道每秒可以通过6辆车,而1车道每秒就只能通 ...
- boost 库 enable_shared_from_this 实现原理分析
使用情景:当类对象被 shared_ptr 管理时,需要在类自己定义的函数里把当前类对象作为参数传给其他函数时,这时需要传递一个 shared_ptr ,否则就不能保持 shared_ptr 管理这个 ...
- 基于Detours库HOOK API
背景 可能我们开发程序的时候,会用到Inline Hook Api的技术.Inline Hook 的原理是在系统访问一个函数的时候先替换原函数入口处的内容跳转到自己设计的Hook函数中,然后在自己函数 ...
- 可视化拖拽组件库一些技术要点原理分析(三)
本文是可视化拖拽系列的第三篇,之前的两篇文章一共对 17 个功能点的技术原理进行了分析: 编辑器 自定义组件 拖拽 删除组件.调整图层层级 放大缩小 撤消.重做 组件属性设置 吸附 预览.保存代码 绑 ...
- 可视化拖拽组件库一些技术要点原理分析(二)
本文是对<可视化拖拽组件库一些技术要点原理分析>[1]的补充.上一篇文章主要讲解了以下几个功能点: 1.编辑器2.自定义组件3.拖拽4.删除组件.调整图层层级5.放大缩小6.撤消.重做7. ...
- Python标准库queue模块原理浅析
Python标准库queue模块原理浅析 本文环境python3.5.2 queue模块的实现思路 作为一个线程安全的队列模块,该模块提供了线程安全的一个队列,该队列底层的实现基于Python线程th ...
- linux 环境变量文件_应急响应系列之Linux库文件劫持技术分析,有点硬核哟
0×01 菜逼阶段 Linux库文件劫持这种案例在今年的9月份遇到过相应的案例,当时的情况是有台服务器不断向个可疑IP发包,尝试建立连接,后续使用杀软杀出木马,重启后该服务器还是不断的发包,使用net ...
- Retrofit原理分析
Retrofit原理分析 温故而知新 还记得retrofit的使用方法嘛,下面我们来回顾一下 接口定义 public interface GitHubService {@GET("users ...
- 【Android APT】编译时技术 ( ButterKnife 原理分析 )
文章目录 一.编译时技术简介 二.ButterKnife 原理分析 二.ButterKnife 生成 Activity_ViewBinding 代码分析 一.编译时技术简介 APT ( Annotat ...
最新文章
- poj1129Channel Allocation
- trimmomatic对fastq质控
- matlab fminimax 多变量,Matlab应用实例(8)—fminimax
- 《系统集成项目管理工程师》必背100个知识点-65采购合同的支付方式
- Jfinal碰到的问题记录
- 李宏毅老师ML_HW1——PM2.5预测
- java 使用gzip压缩和解压 传输文件必备
- 万字详解Oracle架构、原理、进程,学会世间再无复杂架构
- torch.round()
- 一个特殊的List去重问题的解决方案
- windows服务器管理(1)——WinServer2012 开启中文语言包(无需下载补丁)
- 横向滑动页面,导航条滑动居中的 js 实现思路
- Centos7.9源码编译安装Apache
- 保持公司电脑不锁屏技巧
- 什么是 PaaS?“平台即服务“ 简介
- android 设置启动画面,修改Android开机画面
- JVM快速入门(下)
- ECSHOP漏洞集:http://sebug.net/appdir/ECSHOP
- 安卓手机做服务器(django),完成废物利用
- 2021年蓝桥杯CC++大学B组
热门文章
- MSM8960 // F200 引导装载程序 (Bootloader) 之研读
- 不同内核浏览器的差异以及浏览器渲染简介
- Invalid arguments ' Candidates are: int fseek(__sFILE *, long int, int) '
- erdas2015几何校正模块在哪_几何校正和正射校正,怎样用erdas做几何校正?
- 解决启动eureka报错Unable to start web ... nested exception is org.springframework.boot.web.server.WebS
- app软件测试经验分享
- 京东商城逆势融资B2C成投资热土
- gentry算法_全同态加密释疑(一):四个算法(2)
- 海思16DV300 移动侦测
- 正项级数收敛性的判别法