Detour开发包介绍(2):使用
2016-10-13 17:22
387 查看
原文地址:http://blog.csdn.net/zhoudaxia/article/details/5894966
一般来说,使用Detours的代码都具有固定的模式。Detours 1.5和Detours 2.1的接口函数变了很多,这里按照2.1版本对基本的使用方法进行说明。常用的函数有下面几个:
DetourTransactionBegin():开始一次截获或者解除截获过程。
DetourUpdateThread():列入一个在DetourTransaction过程中要进行update的线程。这个函数的作用稍微有一些复杂,会在后面专门说明。
DetourAttach():添加一个要截获的目标函数。
DetourDetach():用来解除截获的函数。
DetourTransactionCommit():执行当前的Transaction过程。在这个函数中才会真正进行截获或者解除截获操作。前面三个函数都只是做一些记录工作。
在使用的时候,这几个函数的调用步骤基本上也是按照上面列出来的顺序。举例来说,我们要截获API函数MessageBoxA,将消息框弹出的消息修改掉,可以按下面的方法做(这里是DLL注入的方式)。
先写一个调用了MessageBoxA的程序。建立一个MFC对话框工程(在建立向导中选"Dialog based",其余默认),打开Resource View中的对话框IDD_MESSAGEBOXAPP_DIALOG,添加OK按钮的单击处理事件OnBnClickedOk(),在其中加入对MessageBoxA函数的调用,如下:
[cpp]
view plain
copy
void CMessageBoxAppDlg::OnBnClickedOk()
{
// TODO: Add your control notification handler code here
::MessageBoxA(NULL, "Execute target function: MessageBoxA", "Info", MB_OK | MB_ICONINFORMATION);
OnOK();
}
编译后的程序名称为MessageBoxApp.exe,运行它并单击OK按钮时会弹出相应消息框。现在我们要截获这个EXE文件中对MessageBoxA函数的调用,以跳转到我们自己定义的D函数处。我们需要先编写一个DLL以拦截目标函数,然后将该DLL注入到目标程序MessageBoxApp.exe的空间中。
1、编写目标函数的拦截DLL
建立一个Win32的DLL工程(在Win32应用程序向导中选Dll),名为ApiHook,也可以不用IDE而是用原始的记事本来编写DLL。把detours.h和detours.lib、detoured.lib拷贝到工程目录下。源文件ApiHook.cpp的代码如下:
[cpp]
view plain
copy
// ApiHook.cpp : Defines the entry point for the DLL application.
#include "stdafx.h"
#include <stdio.h>
#include "detours.h"
#pragma comment(lib,"detours.lib")
#pragma comment(lib,"detoured.lib")
#ifdef _MANAGED
#pragma managed(push, off)
#endif
//目标函数原型声明
typedef int (WINAPI* pfnMessageBoxA)(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType);
//声明一个指向目标函数的指针
pfnMessageBoxA g_pMessageBoxA=::MessageBoxA;
//截获函数
int WINAPI HookMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType){
return g_pMessageBoxA(hWnd,"Target function /"MessageBoxA/" detoured./nExecute our HookMessageBoxA","Test Detour",MB_OK | MB_ICONINFORMATION);
}
//截获操作
__declspec(dllexport) BOOL StartHook(){
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread()); //只有一个线程,所以用GetCurrentThread
//关联目标函数和我们自定义的截获函数
if(DetourAttach(&(PVOID&)g_pMessageBoxA,HookMessageBoxA)!=NO_ERROR){
printf("HookMessageBoxA fail!/n");
}
//完成事务
if(DetourTransactionCommit()!=NO_ERROR){
printf("DetourTransactionCommit fail!/n");
}else{
printf("DetourTransactionCommit ok!/n");
return TRUE;
}
return FALSE;
}
//解除截获操作
__declspec(dllexport) BOOL StopHook(){
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
//解除截获关系
if(DetourDetach(&(PVOID&)g_pMessageBoxA,HookMessageBoxA)!=NO_ERROR){
printf("HookMessageBoxA fail!/n");
}
//完成事务
if(DetourTransactionCommit()!=NO_ERROR){
printf("DetourTransactionCommit fail!/n");
}else{
printf("DetourTransactionCommit ok!/n");
return TRUE;
}
return FALSE;
}
BOOL APIENTRY DllMain( HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved)
{
switch(ul_reason_for_call){
case DLL_PROCESS_ATTACH:
StartHook();
break;
case DLL_PROCESS_DETACH:
StopHook();
break;
}
return TRUE;
}
#ifdef _MANAGED
#pragma managed(pop)
#endif
拦截操作一般按如下步骤进行:
1) 首先需要定义目标函数的原型。如果目标函数是Windows API,可以到MSDN中查阅,但是需要注意ANSI版本和Unicode版本的区别。如果没有确切的原型声明,或者目标函数是通过逆向工程找出来的,那么需要定义一个和目标函数原型兼容的声明,即参数个数和调用约定要相同。如MessageBoxA的原型是:
[cpp]
view plain
copy
int MessageBoxA( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);
则使用typedef定义目标函数原型如下:
[cpp]
view plain
copy
typedef int (WINAPI *pfnMessageBoxA)( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);
2) 定义指向目标函数的函数指针:
[cpp]
view plain
copy
pfnMessageBoxA g_pMessageBoxA = ::MessageBoxA;
3) 定义截获函数并编写代码,用于替换目标函数。
4) 调用DetourTransactionBegin开始一次Detours事务。
5) 对进程中每个可能调用到目标函数的线程,都需要使用DetourUpdateThread加入到update队列中。这是因为拦截时修改目标函数的前几个字节,如果某个线程刚好执行到这几个字节的位置时,粗暴的修改掉会造成该线程出现异常。Detours事务处理时,会先枚举并暂停update队列中所有线程,获取它们的指令指针,如果发现这种情况,则将指令指针修改到跳板代码的对应字节上。这样就避免出现崩溃的问题。
6) 对每个需要拦截的函数,调用DetourAttach加入到事务列表中。
7) 调用DetourTransactionCommit进行实际的拦截操作。
解除拦截的操作和上面的流程基本一样,只是第6步改为调用DetourDetach函数。另外,Detours还包含一系列其他函数,如果需要使用的话,可以参考Detours安装目录下的示例。
最后,在DLL的加载事件加入拦截操作函数,在卸载事件中加入解除拦截的操作函数,把它编译成ApiHook.dll。
总体来说,Detours库的代码是非常稳定的,但是如果使用方法不对,会造成一些问题。有下面一些地方需要特别注意:
1) 一定要枚举线程并调用DetourUpdateThread函数。否则可能出现很低几率的崩溃问题,这种问题很难被检查出来。
2) 如果拦截函数在DLL中,那么绝大多数情况下不能在Unhook之后卸载这个DLL,或者卸载存在造成崩溃的危险。因为某些线程的调用堆栈中可能还包含Hook函数,这时卸载掉DLL,调用堆栈返回到Hook函数时内存位置已经不是合法的代码了。
3) Detours库设计时并没有考虑到卸载的问题,这是因为钩子的卸载本身是不安全的。当Detours库代码存在于DLL中的时候,即使Unhook了所有函数,清理了所有自己使用到的函数,还是会占用一些内存。卸载这个DLL会造成内存泄露,特别是反复的进行加载DLL->Hook->Unhook->卸载DLL的过程,会让这个问题变得非常严重。
4) 有一些非常短的目标函数是无法Hook的。因为jmp指令需要占用一定空间,有些函数太过短小,甚至不够jmp指令的长度,自然是没有办法Hook掉的。
5) Detours不支持9x内核的Windows系统。因为9x内核下的内存模型和NT内核下有非常大的差别。
2、将拦截DLL注入到目标应用程序中
为了将ApiHook.dll注入到MessageBoxApp.exe中,这需要在MessageBoxApp.exe中加入.detours节。把ApiHook.dll以及Detours库中的detoured.dll拷贝到MessageBoxApp.exe所在目录(或者也可以将它们拷贝到system32目录等地方)。也就是我们在运行MessageBoxApp.exe时要确保能访问到这些DLL。我们使用Detours自带的setdll.exe重写二进制可执行文件,只要使用命令setdll /d:ApiHook.dll MessageBoxApp.exe即可,在MessageBoxApp.exe中加入一个新的.detours节。这样再运行修改后的MessageBoxApp.exe即可看到拦截的结果。我们使用depends.exe观察MessageBoxApp.exe的变化,可以看到MessageBoxApp.exe加入了对ApiHook.dll的依赖关系。
一般来说,使用Detours的代码都具有固定的模式。Detours 1.5和Detours 2.1的接口函数变了很多,这里按照2.1版本对基本的使用方法进行说明。常用的函数有下面几个:
DetourTransactionBegin():开始一次截获或者解除截获过程。
DetourUpdateThread():列入一个在DetourTransaction过程中要进行update的线程。这个函数的作用稍微有一些复杂,会在后面专门说明。
DetourAttach():添加一个要截获的目标函数。
DetourDetach():用来解除截获的函数。
DetourTransactionCommit():执行当前的Transaction过程。在这个函数中才会真正进行截获或者解除截获操作。前面三个函数都只是做一些记录工作。
在使用的时候,这几个函数的调用步骤基本上也是按照上面列出来的顺序。举例来说,我们要截获API函数MessageBoxA,将消息框弹出的消息修改掉,可以按下面的方法做(这里是DLL注入的方式)。
先写一个调用了MessageBoxA的程序。建立一个MFC对话框工程(在建立向导中选"Dialog based",其余默认),打开Resource View中的对话框IDD_MESSAGEBOXAPP_DIALOG,添加OK按钮的单击处理事件OnBnClickedOk(),在其中加入对MessageBoxA函数的调用,如下:
[cpp]
view plain
copy
void CMessageBoxAppDlg::OnBnClickedOk()
{
// TODO: Add your control notification handler code here
::MessageBoxA(NULL, "Execute target function: MessageBoxA", "Info", MB_OK | MB_ICONINFORMATION);
OnOK();
}
编译后的程序名称为MessageBoxApp.exe,运行它并单击OK按钮时会弹出相应消息框。现在我们要截获这个EXE文件中对MessageBoxA函数的调用,以跳转到我们自己定义的D函数处。我们需要先编写一个DLL以拦截目标函数,然后将该DLL注入到目标程序MessageBoxApp.exe的空间中。
1、编写目标函数的拦截DLL
建立一个Win32的DLL工程(在Win32应用程序向导中选Dll),名为ApiHook,也可以不用IDE而是用原始的记事本来编写DLL。把detours.h和detours.lib、detoured.lib拷贝到工程目录下。源文件ApiHook.cpp的代码如下:
[cpp]
view plain
copy
// ApiHook.cpp : Defines the entry point for the DLL application.
#include "stdafx.h"
#include <stdio.h>
#include "detours.h"
#pragma comment(lib,"detours.lib")
#pragma comment(lib,"detoured.lib")
#ifdef _MANAGED
#pragma managed(push, off)
#endif
//目标函数原型声明
typedef int (WINAPI* pfnMessageBoxA)(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType);
//声明一个指向目标函数的指针
pfnMessageBoxA g_pMessageBoxA=::MessageBoxA;
//截获函数
int WINAPI HookMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType){
return g_pMessageBoxA(hWnd,"Target function /"MessageBoxA/" detoured./nExecute our HookMessageBoxA","Test Detour",MB_OK | MB_ICONINFORMATION);
}
//截获操作
__declspec(dllexport) BOOL StartHook(){
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread()); //只有一个线程,所以用GetCurrentThread
//关联目标函数和我们自定义的截获函数
if(DetourAttach(&(PVOID&)g_pMessageBoxA,HookMessageBoxA)!=NO_ERROR){
printf("HookMessageBoxA fail!/n");
}
//完成事务
if(DetourTransactionCommit()!=NO_ERROR){
printf("DetourTransactionCommit fail!/n");
}else{
printf("DetourTransactionCommit ok!/n");
return TRUE;
}
return FALSE;
}
//解除截获操作
__declspec(dllexport) BOOL StopHook(){
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
//解除截获关系
if(DetourDetach(&(PVOID&)g_pMessageBoxA,HookMessageBoxA)!=NO_ERROR){
printf("HookMessageBoxA fail!/n");
}
//完成事务
if(DetourTransactionCommit()!=NO_ERROR){
printf("DetourTransactionCommit fail!/n");
}else{
printf("DetourTransactionCommit ok!/n");
return TRUE;
}
return FALSE;
}
BOOL APIENTRY DllMain( HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved)
{
switch(ul_reason_for_call){
case DLL_PROCESS_ATTACH:
StartHook();
break;
case DLL_PROCESS_DETACH:
StopHook();
break;
}
return TRUE;
}
#ifdef _MANAGED
#pragma managed(pop)
#endif
拦截操作一般按如下步骤进行:
1) 首先需要定义目标函数的原型。如果目标函数是Windows API,可以到MSDN中查阅,但是需要注意ANSI版本和Unicode版本的区别。如果没有确切的原型声明,或者目标函数是通过逆向工程找出来的,那么需要定义一个和目标函数原型兼容的声明,即参数个数和调用约定要相同。如MessageBoxA的原型是:
[cpp]
view plain
copy
int MessageBoxA( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);
则使用typedef定义目标函数原型如下:
[cpp]
view plain
copy
typedef int (WINAPI *pfnMessageBoxA)( HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);
2) 定义指向目标函数的函数指针:
[cpp]
view plain
copy
pfnMessageBoxA g_pMessageBoxA = ::MessageBoxA;
3) 定义截获函数并编写代码,用于替换目标函数。
4) 调用DetourTransactionBegin开始一次Detours事务。
5) 对进程中每个可能调用到目标函数的线程,都需要使用DetourUpdateThread加入到update队列中。这是因为拦截时修改目标函数的前几个字节,如果某个线程刚好执行到这几个字节的位置时,粗暴的修改掉会造成该线程出现异常。Detours事务处理时,会先枚举并暂停update队列中所有线程,获取它们的指令指针,如果发现这种情况,则将指令指针修改到跳板代码的对应字节上。这样就避免出现崩溃的问题。
6) 对每个需要拦截的函数,调用DetourAttach加入到事务列表中。
7) 调用DetourTransactionCommit进行实际的拦截操作。
解除拦截的操作和上面的流程基本一样,只是第6步改为调用DetourDetach函数。另外,Detours还包含一系列其他函数,如果需要使用的话,可以参考Detours安装目录下的示例。
最后,在DLL的加载事件加入拦截操作函数,在卸载事件中加入解除拦截的操作函数,把它编译成ApiHook.dll。
总体来说,Detours库的代码是非常稳定的,但是如果使用方法不对,会造成一些问题。有下面一些地方需要特别注意:
1) 一定要枚举线程并调用DetourUpdateThread函数。否则可能出现很低几率的崩溃问题,这种问题很难被检查出来。
2) 如果拦截函数在DLL中,那么绝大多数情况下不能在Unhook之后卸载这个DLL,或者卸载存在造成崩溃的危险。因为某些线程的调用堆栈中可能还包含Hook函数,这时卸载掉DLL,调用堆栈返回到Hook函数时内存位置已经不是合法的代码了。
3) Detours库设计时并没有考虑到卸载的问题,这是因为钩子的卸载本身是不安全的。当Detours库代码存在于DLL中的时候,即使Unhook了所有函数,清理了所有自己使用到的函数,还是会占用一些内存。卸载这个DLL会造成内存泄露,特别是反复的进行加载DLL->Hook->Unhook->卸载DLL的过程,会让这个问题变得非常严重。
4) 有一些非常短的目标函数是无法Hook的。因为jmp指令需要占用一定空间,有些函数太过短小,甚至不够jmp指令的长度,自然是没有办法Hook掉的。
5) Detours不支持9x内核的Windows系统。因为9x内核下的内存模型和NT内核下有非常大的差别。
2、将拦截DLL注入到目标应用程序中
为了将ApiHook.dll注入到MessageBoxApp.exe中,这需要在MessageBoxApp.exe中加入.detours节。把ApiHook.dll以及Detours库中的detoured.dll拷贝到MessageBoxApp.exe所在目录(或者也可以将它们拷贝到system32目录等地方)。也就是我们在运行MessageBoxApp.exe时要确保能访问到这些DLL。我们使用Detours自带的setdll.exe重写二进制可执行文件,只要使用命令setdll /d:ApiHook.dll MessageBoxApp.exe即可,在MessageBoxApp.exe中加入一个新的.detours节。这样再运行修改后的MessageBoxApp.exe即可看到拦截的结果。我们使用depends.exe观察MessageBoxApp.exe的变化,可以看到MessageBoxApp.exe加入了对ApiHook.dll的依赖关系。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Detour开发包介绍(2):使用
- Detour开发包介绍(2):使用
- Detour开发包介绍(2):使用
- Detour开发包介绍(2):使用
- Detour开发包介绍(2):使用
- 介绍几个C++开发人员常使用的小工具
- 通过分析蜘蛛侠论坛中的版块管理功能来介绍该如何使用我开发出来的ROM框架
- 简单介绍 VC2003 使用 ATL 开发 ActiveX 控件
- MS 语音开发包使用介绍
- 各种xml开发库介绍及使用
- [EPANET][翻译]使用EPANET开发包(1):开发库使用流程与导入文件格式介绍
- CGI介绍及使用Python来开发CGI应用示例
- Detour开发包介绍(1):概述
- 使用.net开发手机管理软件 (五) OBEX介绍
- 一步一步教你使用AgileEAS.NET基础类库进行应用开发-基础篇-类库介绍
- Linux C/C++标准库使用及嵌入式开发交叉编译工具介绍
- 商业流程开发新纪元--BPEL4WS语言介绍,第1部分: 特点介绍及使用技巧提示
- 测试驱动开发方法介绍及CPPUnit使用指南
- [转]prototype.js开发笔记(针对Ajax的JS框架Prototype的使用介绍)
- 一步一步教你使用AgileEAS.NET基础类库进行应用开发-基础篇-类库介绍