detours官方版是一款由微软官方推出的HOOK库。detours professional 3.0最新版支持多元化的编程处理,能够帮助用户拦截x86机器上的任意的win32 API函数。detours professional软件主要用于来捕获系统API,操作简单,适用于多个Windows操作系统。
detours软件介绍
detours professional 3.0是一个微软官方开发的着名HOOK库,拥有两大功能,一是拦截x86机器上的任意的win32 API函数;二是插入任意的数据段到PE文件中,修改DDL文件的导入表。软件主要用于实现复杂的Hook操作,达到一般WIN32 API实现不了的一些效果,另外可以编译成lib。
detours使用方法
detours是微软开发的一个函数库,专门用于捕获系统API。在使用之前,必须做以下相关准备工作:
1、下载本站提供的detours professional 3.0软件;
2、安装detours,一直NEXT
3、生成detours库,
在安装后的文件夹下找不到直接可以拿来用的LIB文件,但是却有SRC文件(在**Microsoft ResearchDetours Express 2.1src下)。该文件夹下还有Makefile,可以直接用来生成库。将Detours路径下的SCR文件夹拷贝到**Microsoft Visual Studio 9.0VC路径下,注意是整个文件夹(其它版本VC自己照着复制)在system32目录找到cmd右键以管理员身份运行,切换至 c:Program FilesMicrosoft Visual Studio 9.0VCbin目录运行vcvars32.bat,切换到Microsoft Visual Studio9.0VCSRC,然后输入..binnmake指令,编译成功后在Microsoft Visual Studio9.0VCLib文件下就能找到detoured.lib与detours.lib文件了。
detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。detours替换目标API最前面的几条指令,使其无条件的跳转到用 户提供的拦截函数。被替换的API函数的前几条指令被保存到trampoline 函数(就是内存中一个数据结构)中. trampoline保存了被替换的目标API的前几条指令和一个无条件转移,转移到目标API余下的指令。
当执行到目标API时,直接跳到用户提供的拦截函数中执行,这时拦截函数就可以执行自己的代码了。当然拦截函数可以直接返回,也可以调用 trampoline函数,trampoline函数将调用被拦截的目标API,目标API调用结束后又会放回到拦截函数。下图就是Detours API拦截的逻辑流程:
detours软件说明
Hook基本原理
Windows 钩子的本质是一段用以处理系统消息的程序,通过系统调用,将其挂入到系统。钩子的种类有很多,每一种钩子负责截获并处理相应的消息。钩子机制允许应用程序截获并处理发往指定窗口的消息或特定事件,其监视的窗口即可以是本进程内的也可以是由其他进程所创建的。在特定的消息发出,并在到达目的窗口之前,钩子程序先行截获此消息并得到对其的控制权。此时在钩子函数中就可以对截获的消息进行各种修改处理,甚至强行终止该消息的继续传递。
Detours库是Microsoft研究院的一个开发库,最新版本为3.0。它可以拦截任意的API调用,拦截代码是在动态运行时加载的,替换目标API最前面的几条指令,使其无条件的跳转到用户提供的拦截函数。
detours更新日志
1.修改用户提交bug
2.添加新功能
华军小编推荐:
detours这款软件的操作步骤是非常简单的,而且非常快速,因此用户可以放心使用。另外还推荐{recommendWords}等相关软件下载使用。
苏公网安备 32011202000418号
