Detours 简介与简单使用

时间  2020-05-09
标签 detours 简介 简单 使用 繁體版
原文   原文链接

什么是Detours

Detours是微软开发的一个函数库,可用于捕获系统API。--百度百科

利用detours能够hook到WIN32的API,原理好像是修改调用API的指令使跳转到用户的函数。(未验证)node

Detours的安装

以vs2015为例
下载地址:https://www.microsoft.com/ 我下载的版本是Detours Expressv3.0 Build 343 下载以后是免安装文件,解压就能玩。
把全部的的文件拷贝到 ++VS2015/VC++ 目录下面,运行++vs2015兼容命令行工具++,进入目录++vs2015/vc/src++,执行命令nmake 就能够用了。生成的lib文件在++lib.X64++和++lib.X86++文件夹中,在项目中包含就能够了。c++

Detours的使用

首先须要制做dll,例如制做hook WriteConsoleW的dll咱们须要以下几步:
  • 首先写用户的函数
BOOL(WINAPI * OLD_WriteConsoleW)(HANDLE  hConsoleOutput, const VOID *lpBuffer, DWORD   nNumberOfCharsToWrite, LPDWORD lpNumberOfCharsWritten, LPVOID  lpReserved) = WriteConsoleW;

BOOL WINAPI NEW_WriteConsoleW(HANDLE  hConsoleOutput, const VOID *lpBuffer, DWORD   nNumberOfCharsToWrite, LPDWORD lpNumberOfCharsWritten, LPVOID  lpReserved) {
	HANDLE wPip = GetStdHandle(STD_OUTPUT_HANDLE);
	WriteFile(wPip, lpBuffer, nNumberOfCharsToWrite*2, lpNumberOfCharsWritten, NULL);
	return TRUE;
}
  • 而后是调用detours的api写绑定和解绑函数
void Hook() {
	DetourRestoreAfterWith();
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());
	DetourAttach((PVOID *)&OLD_WriteConsoleW, NEW_WriteConsoleW);
	DetourTransactionCommit();
}

void UnHook() {
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());
	DetourDetach((PVOID *)&OLD_WriteConsoleW, NEW_WriteConsoleW);
	DetourTransactionCommit();
}
  • 最后在DllMain中调用Hook()和UnHook()
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		Hook();
		break;
	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		UnHook();
		break;
	}
	return TRUE;
}

若是找不到DllMain请打开工程中的++dllmain.cpp++。
必定要有一个导出函数否则以后会报错0xc000007bapi

而后要将dll加载到exe中

这儿能够本身写dll注射器,也能够调用detours的CreateProcessWithDll,我采用的方法是后者函数

DetourCreateProcessWithDllA(NULL, "C:\\Users\\hasee\\Desktop\\tellnet\\telnet.exe", NULL, NULL, TRUE, NORMAL_PRIORITY_CLASS|CREATE_NEW_CONSOLE, NULL, NULL, &si, pi, "D:\\Visual_studio_test\\VirusExcercise\\Fortelnet\\detoursTest3\\Debug\\detoursTest3.dll", NULL);

前面的参数和Winodes api CreateProcess同样,倒数第二个是dll地址,最后一个写NULL就行。工具

至此每当被调用程序的WriteCosoleW要被执行的时候就会先执行咱们的NEW_WriteCosoleW函数。ui

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程