标签:
我们要先看看微软官方的著名HOOK库:
Detours Professional 3.0
售价:US$9,999.95
功能列表:
Detours 3.0 includes the following new features over Detours 2.x:
Support for 64-bit code on x64 and IA64 processors (Professional Edition only).
Support for all Windows processors (Professional Edition only).
Removed requirement for including detoured.dll in processes.
Compatibility improvements for detouring APIs used by managed-code (MSIL) programs, especially on x64 processors.
Addition of APIs to enumerate PE binary Imports and to determine the module referenced by a function pointer.
从上面我们可以看到 功能着实强大啊,对64位以及64相关进程甚至全部WINDOWS进程均可以HOOK,基本上可以称之为牛逼库。
实际上使用过免费版的知道,基本上Detours还能分析PE结构,导入表和导出表修改等。
本次我要介绍的是像我这种穷人屌丝才能用得起的,EASYHOOK。
我们来看看EASYHOOK的介绍:
EasyHook的口号:
EasyHook Continuing Detours
我们可以理解为它就是Detours的替代品,用于替代那些买不起昂贵微软产品的屌丝们。
OK我们再来看看它的强大:
首先他支持C#语言(此处已超越Detours),拥有C# Wapper
与Detours的收费版本一致的是,支持全部类型的进程
完美支持64位进程以及目标
已经持续更新很久,并且拥有强大的支持。
著名游戏引擎UNREAL在使用该系统,虽然我没注意过在哪里使用过。
支持托管以及非托管级别的代码调用以及HOOK
开放全部源码,可以学习修改,提取甚至静态编译
超级简单的注入远程DLL至对方进程,这点比Detours要简单的多。
强大的接口文档,这个写的非常详细了
驱动级选项,认真读文档会知道他可以选择性的使用驱动程序来提升本身的权限
拥有强大的API可以检测到目标进程或系统进程是否为64位
注入时可针对64位和32位做不同的接口
缺点是 有C++的接口,只是需要提炼和编译一下,研究成本明显略高。
官方主页:http://easyhook.codeplex.com/
丢弃昂贵的Detours Professional 3.0,使用免费强大的EasyHook
标签:
原文地址:http://www.cnblogs.com/koangel/p/4766916.html
