Detours是微软开发的一个函数库,可用于捕获系统API。
Detours库的编译方法:http://blog.csdn.net/hewei0241/article/details/38326899
测试环境:win7 x86
PS:win x64 在注入的时候,所有测试程序是32位的。如果使用创建远程线程函数的方法来注入动态库,在win7 x64下,CreateRemoteThread会调用失败,错误码是5,就是没有权限访问。如果要在64位机器下使用,或许要google或者度娘研究下,或者使用其他注入的方法。
从微软官方下载Detours的源码,最终编译要得到一个detours.lib,用来Hook你要Hook的系统API。
这次的Demo是要Hook Socket编程中的send和recv函数。在自己的拦截函数里,把发送的内容保存到本地文件中,把内容记录下来。所以Demo公需要4个工程文件:
(1)一个目标程序,通过Socket连接发送消息,还需要一个辅助的服务端。
(2)一个注入程序,把动态库注入到目标程序
(3)一个Hook了目标函数,send和recv的动态库,使用Detourts库。
这是测试Demo的地址:http://download.csdn.net/detail/wzf906819823/8980741
1.要使用Detours库,导入detours.h头文件和链接detours.lib静态库 。使用这个库提供的API Hook系统API,例如在这个例子中的send和recv函数。
2.注入程序,遍历目标程序,把动态库注入目标程序。注入目标程序的方法是创建远程线程来加载这个动态库,动态库里Hook了send和recv这两个函数。在这两个函数里,把用户发送的内容保存到了文件里。
3.可以用Process Explorer查看目标程序是否已经注入我们的动态库。注入前:
Paste_Image.png
注入后:发现DetoursTest_Client.exe这个进程内已经注入了我们自己的动态库,DetoursTest_HookDll.dll.
Paste_Image.png
网友评论