目录
1.什么Detours
2.编译方法
3.使用方法
4.原理分析
1.什么Detours
Detours是经过微软认证的一个开源Hook库,其作用是拦截应用层及系统层API,注入进程代码等功能,能在无源码的情况下修改原API功能,具有线程安装效率高稳定的特点
源码及静态库下载地址: Detours源码与静态库下载
2.编译方法
2.1解压源码于任意路径
2.2.打开Vs安装目录下的(D:Program Files (x86)Microsoft Visual Studio 12.0Common7ToolsShortcuts )的cmd(VS2013 开发人员命令提示 vs下的工具 根据自己的安装路径),切换到vs安装路径(例如 D:Program Files (x86)Microsoft Visual Studio 12.0VCbin 本机安装路径) 输入 vcvarsall.bat 回车即可(此命令默认生成32生成环境,如果需要其他环境可以加参数 例如生成64位 vcvarsall.bat x64)
参数列表如下,可自行选择:
x86 生成 inter平台集32位的静态库
amd64 生成amd平台集64位的静态库
x64 生成 inter amd平台集64位的静态库
arm 生成 arm平台集64位的静态库
x86_arm 生成 arm平台集32位的静态库
2.3切换到detours的src目录下(例如 Detourssrc 下面),输入 nmake回车,即可编译
如图所示即编译出对应 平台的lib库
3.使用方法
3.1,创建一个工程,将 detours.h detver.h detours.lib复制到工程根目录下
3.2.main.cpp代码如下
#include "stdafx.h"
#include
#include
#include
//包含Detour的头文件和库文件
#include "./detours.h"
#pragma comment (lib,"./detours.lib")
//保存函数原型
static int (WINAPI *OldMesssageBoxW)(
_In_opt_ HWND hWnd,
_In_opt_ LPCWSTR lpText,
_In_opt_ LPCWSTR lpCaption,
_In_ UINT uType) = MessageBoxW;
//改写函数
static int WINAPI NewMessageBoxW(
_In_opt_ HWND hWnd,
_In_opt_ LPCWSTR lpText,
_In_opt_ LPCWSTR lpCaption,
_In_ UINT uType)
{
return OldMesssageBoxW(NULL, L"new MessageBox", L"Please", MB_OK);
}
//开始下钩子
void StartHook()
{
IntializeNativeFunctions();
//开始事务
DetourTransactionBegin();
//更新线程信息
DetourUpdateThread(GetCurrentThread());
//将拦截的函数附加到原函数的地址上
//DetourAttach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);
//结束事务
DetourTransactionCommit();
}
//解除钩子
void EndHook()
{
//开始事务
DetourTransactionBegin();
//更新线程信息
DetourUpdateThread(GetCurrentThread());
//将拦截的函数从原函数的地址上解除
DetourDetach(&(PVOID&)OldMesssageBoxW, NewMessageBoxW);
//结束事务
DetourTransactionCommit();
}
int _tmain(int argc, _TCHAR* argv[])
{
MessageBoxW(NULL,"还没有Hook", L"测试", MB_OK);
StartHook();
MessageBoxW(NULL,"Hook后的", L"测试", MB_OK);
Sleep(1000*60);
EndHook();
} 运行之后 会发现 第一个messageBoxw 会输出 “还没有Hook” 而第二个则会输出 new MessageBox
4.原理分析
三个概念:
1.TargetFun,这里是指被 拦截的函数本段代码 是指系统的MessageBoxw
2.TransactionFun,这里是指被 中间置换函数 OldMessageBoxW
3.detoursFun,这里是指替换TargetFun的函数 NewMessageBoxW
拦截过程如下:
此为未Hook前的messageBoxw的前5个字节(原理关键就在这前5个字节上)
A…..MessageBoxW(NULL, L”还没有Hook”, L”测试”, MB_OK);
76E0FECF 8B FF mov edi,edi
76E0FED1 55 push ebp
76E0FED2 8B EC mov ebp,esp
76E0FED4 6A 00 push 0
76E0FED6 FF 75 14 push dword ptr [ebp+14h]
76E0FED9 FF 75 10 push dword ptr [ebp+10h]
76E0FEDC FF 75 0C push dword ptr [ebp+0Ch]
76E0FEDF FF 75 08 push dword ptr [ebp+8]
76E0FEE2 E8 A3 FF FF FF call 76E0FE8A
B…..此为执行后Hook()的messageBoxw汇编代码
76E0FECF E9 5C 2D F5 89 jmp NewMessageBoxW (0D62C30h)
76E0FED4 6A 00 push 0
76E0FED6 FF 75 14 push dword ptr [ebp+14h]
76E0FED9 FF 75 10 push dword ptr [ebp+10h]
76E0FEDC FF 75 0C push dword ptr [ebp+0Ch]
76E0FEDF FF 75 08 push dword ptr [ebp+8]
76E0FEE2 E8 A3 FF FF FF call 76E0FE8A
C….return OldMesssageBoxW(NULL, L”new MessageBox”, L”Please”, MB_OK);
6EDF00D8 8B FF mov edi,edi
6EDF00DA 55 push ebp
6EDF00DB 8B EC mov ebp,esp
6EDF00DD E9 F2 FD 01 08 jmp 76E0FED4
有没有发现规律A与B的红色部分都是5个字节,A部的红色代码为保存环境寄存器的,当Hook之后会强制性将这5个字节换成 jmp NewMessageBoxW (0D62C30h)也就是强制跳转到我们拦截的新函数里面(这就是为什么会拦截的原因),同时会将OldMesssageBoxW (C部分)这个原本指向A(MessageBoxW) 的函数指针 指向一个全新的地址,而这个地址的前5个字节就是从原本A处复制来的环境寄存器的数据(认真看C部分的红色部分代码),然后再jmp 76E0FED4
认真看这个 76E0FED4 是不是就是A的首地址 再往后偏移5个字节,这样OldMesssageBoxW就能完成 原本messageBoxw的调用(所以在NewMessageBoxW不能再调用messageBoxw了,因为messageboxw的前5个字节已经修改成调用NewMessageBoxW,这样会造成死循环,应该调用OldMessageBoxw,因为这个OldMessageBoxw相当于未Hook前的Messageboxw)
以上为Hook的原理,而UnHook则是逆过来还原messageBox的前5个字节即可
说明 :
本例程只可拦截本进程的Api调用,因为进程虚拟地址空间的原因,想拦截其他进程的api,则必须将拦截代码注入到对应的进程虚拟地址空间,注入方法有多种(windows注册表,远程线程 全局钩子等等),detours也支持远程代码注入
