Detours 可以用来拦截Win32的API函数,从而让程序按照我们自定义的方式进行处理,而不是Windows默认的。
Detours 也是通过Dll的方式,拦截Api函数。
例:拦截Win32的MessageBoxA()函数
1.先新建一个Dll工程
#include "detours.h"
#pragma comment(lib,"detours.lib") //导入detours....
分类:
其他好文 时间:
2015-04-30 16:22:47
阅读次数:
160
setdll.exe 下载地址:http://download.csdn.net/detail/u013147600/8649009点击打开链接
1.将下载好的setdll.exe 和.exe应用程序以及.dll文件放在同一个文件夹下
如图:
在同一文件夹下新建一个批处理文件:Setdll.bat
内容如下:
@echo off
setdll /d:messageDll.dll H...
分类:
其他好文 时间:
2015-04-30 16:20:19
阅读次数:
572
Detours是微软开发的一个库,可以在X86平台上截获任意Win32 API函数。
首先去微软官网上下载:http://research.microsoft.com/en-us/downloads/d36340fb-4d3c-4ddd-bf5b-1db25d03713d/
接着根据下载到的Detours 安装,直接一直Next就可(可以修改安装路径)
再接着将安装后的 Detours下的s...
分类:
其他好文 时间:
2015-04-29 15:10:38
阅读次数:
123
HOOK api以前的做法是修改PE文件输入表,使其加载自定义的DLL去挂载对应的HOOK。具体实现方式是在调用原API函数前,将其前8个字节修改为跳转到自己定义的函数地址,执行完函数,又将原API前8个字节恢复,再调用原API,到达对API劫持的功能。在每次调用过程中,先修改前8字节,跳转到自定义...
分类:
其他好文 时间:
2015-04-08 00:43:46
阅读次数:
195
劫持
劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。
函数是放在内存中的代码区,所以劫持与代码区密切相关。
实现劫持需要使用detours。
detours
detours是微软亚洲研究院出口的信息安全产品,主要用于劫持。这个工具使用C语言实现,所以是跨平台的。
detours根据函数指针改变函数的行为,可以拦截任何函数,即使操作系...
分类:
编程语言 时间:
2015-02-28 18:44:01
阅读次数:
323
此文的产生花费了大量时间对EasyHook进行深入了解同时参考了大量文档
先来简单比较一下EasyHook与Detour钩取后程序流程
Detours:钩取API函数后,产生两个地址,一个地址对应真Hook函数地址,一个对应真实API地址
EasyHook:钩取API函数后,所有API指向同一地址,通过ACL控制是否跳转到真实API地址
...
分类:
其他好文 时间:
2014-10-29 10:48:41
阅读次数:
233
Hey guys, umm i was trying to hook endscene using detours and i used a method that i hooked many other functions with before but it just doesnt seem t...
分类:
其他好文 时间:
2014-10-07 16:42:03
阅读次数:
404
一些安全软件出于安全考虑,会把安全模块注入到IE,Office等软件里面,而很多注入模块里面使用Detours库对系统API进行Hook操作,Detours库进行Hook操作时(DetourAttachEx函数)会将相关模块的PE头(具体是DosHeader,不可写段)修改为可写可读可执行,然后写入一些特殊数据,但是后面没有修改成原始属性。这样就会破坏这些模块的段属性,造成一些其它漏洞利用时降低了绕过DEP的难度。...
分类:
其他好文 时间:
2014-07-18 22:20:38
阅读次数:
335
远程线程注入, 这东西大家都懂的, 一般都被大家用来干些小小的坏事情,比如API Hook~~将DLL注入到其它进程并不是难事,问题是这个被注入的DLL不太好调试,调试DLL本来就是个比较头疼的问题,更何况是这种运行在其它进程空间的DLL, 被注入DLL的程序,不崩溃还好,崩溃了,要定位崩溃点,真是够麻烦的。
这几天,无意中发现了一个可以调试这种DLL的方法。...
分类:
编程语言 时间:
2014-05-14 21:51:09
阅读次数:
660