灰狐 [iCoodle]

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://nokyo.blogbus.com/logs/35243687.html

假期回家后就没办法上网了，只好整天一遍又一遍地啃以前收藏过的一些资料、文档，别说，收获还真不小。

元宵节那天来北京开始实习，早上7：22的车，中午刚过12点就到北京了，别说这动车组还真不是吹的，最高时速都超过了200KM，还每人送一瓶矿泉水（本来还正发愁由于起来的早忘记买水了呢）。

到北京后就开始实习了，刚来的时候不知道该做点啥，就继续弄自己的毕业设计，放假在家积累了一些问题，赶紧Google解决掉。

终于到了周末，可惜住的地方没有宽带（其他的东西还算齐全），把“库存”的电影看完又不知道干什么了，就随便弄一篇文章吧，貌似博客好久没更新了。

最近BOSS交待的任务还是没啥进展，关键是代码太多了，看似简单的功能愣是写了好几个类，看的我晕头转向的找不到方向。（商业程序都是这样？）

小组里面的几位老大哥都相当厉害啊，其中一个把Linux玩的溜溜转（还是我的下铺呢），还有个在实验室我右边大牛，我崇拜的简直五体投地（玩网游都是双机）。

话说那天中午吃完饭没事干，开起CS想休闲一把，结果被其他人看见了，非要建个局域网搞对战，本来我还有点自信心呢，结果上去了被狂虐啊，打了十几局了只杀死一个人，还是蒙的，最后只好灰溜溜地撤了...

好了，废话说的够多了，今天就拣一个以前写过的东西来凑字数吧，简单介绍一下Detours API HOOK的用法。

什么是Detours

简单地说，Detours是微软提供的一个开发库，使用它可以简单、高校、稳定地实现API HOOK的功能。

Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detours 被广泛应用在微软内部和其他行业中。

你可以从微软官方网站下载到Detours的express版本，目前最新版本是2.1，它包含有下列的崭新特性：

l 完整的Detours API文档 

l 附加和拆卸处理模块 

l 支持附加和拆卸Detours的时候更新对等线程 

l 静态和动态注入单个API 

l 支持监视注入后的进程 

l 改进后更加健壮的API可以将一个挂钩函数，通过一个进程附着到dll上 

l 新的API通过复制将有效载荷注入到目标进程中 

l 支持x64和IA64平台上的64-位源代码(仅专业版可用) 

l 支持Visual Studio 2005，Visual Studio .NET 2003， Visual Studio .NET (VC8)以及Visual Studio (VC7)开发工具 

Detours的使用

Detours开发包被下载回来会不能直接使用，安装完毕后需要自己使用nmake生成相应的DLL以及lib文件。这里我已经编译好了，随文附上，一共有四个文件，分别是detoured.dll、detoured.lib、detours.lib、detours.h。

我们需要编写一个DLL，然后将该DLL注入到目标进程的空间中，（注意这里我们需要将生成的hook.dll和detoured.dll都复制到目标进程目录，或者将他们复制到system32目录等地方）下面我给一个例子，如下所示：

// HOOK.CPP

#include "Detours.h"

#pragma comment(lib,"detours.lib")

#pragma comment(lib,"detoured.lib")

// 共享数据段

#pragma data_seg("MyData")

DWORD nPid = 0; // 受保护的进程PID

#pragma data_seg()

BOOL APIENTRY DllMain( HANDLE hModule, 

                       DWORD  ul_reason_for_call, 

                       LPVOID lpReserved )

{

switch (ul_reason_for_call)

{

case DLL_PROCESS_ATTACH:

case DLL_THREAD_ATTACH:

{

// 安装 HOOK

SetHook(TRUE);

break;

}

case DLL_PROCESS_DETACH:

{

// 卸载 HOOK

SetHook(FALSE);

}

case DLL_THREAD_DETACH:

default:

break;

}

    return TRUE;

}

/*

 * 函数：SetHook

 *

 * 作用：安装/卸载 API HOOK

 *

 * 参数：TRUE - 安装，FALSE - 卸载

 *

 * 返回：无

 */

void SetHook(BOOL flag)

{

if (flag)

{

DetourRestoreAfterWith();

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

// HOOK 函数列表

DetourAttach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

DetourTransactionCommit();

}

else

{

DetourTransactionBegin();

DetourUpdateThread(GetCurrentThread());

// 取消 HOOK 函数列表

DetourDetach(&(PVOID&)Old_OpenProcess, New_OpenProcess);

DetourTransactionCommit();

}

}

/*

 * 函数：New_OpenProcess

 *

 * 作用：拦截系统 OpenProcess 函数调用

 */

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

  BOOL bInheritHandle, 

  DWORD dwProcessId)

{

// 是否为可信任程序

if (strcmp(szCurrentApp, szTrustFile) != 0)

{

// 是否为受保护进程

if (dwProcessId == nPid)

{

return NULL;

}

}

return Old_OpenProcess( dwDesiredAccess,

bInheritHandle,

dwProcessId);

}

// HOOK.H

static HANDLE (WINAPI* Old_OpenProcess)(DWORD dwDesiredAccess,

BOOL bInheritHandle,

DWORD dwProcessId) = OpenProcess;

HANDLE WINAPI New_OpenProcess(DWORD dwDesiredAccess,

  BOOL bInheritHandle,

  DWORD dwProcessId);

然后要在def文件中将New_OpenProcess函数导出，最后将生成的HOOK.DLL注入到其他进程空间就可以了。

不过需要说明的是，上述程序远远不够完善，我删掉了很多代码，而那些代码也是很重要的，比如设置受保护进程的PID、设置可信程序路径等函数我都删掉了，你必须发挥自己的聪明才智来解决这些问题。

提示一下，我采用的方法是专门导出一个函数SetOption，它得到设置选项后便更新共享驱动里面的变量，这样便可以简单达到目的了。