Detours的使用方法

一、Detours介绍

Detours是一个软件包,用于在应用程序下重新路由(拦截)Win32 API。[Detours]

二、Detours使用

我们首先需要编译指定的库,如果我们需要拦截32位程序下的函数,就编译x86版本,如果用在64位下,则编译x64版本。这个编译就不说明了。

2.1、主要接口说明

主要使用到如下的接口:

1、DetourAttach&DetourDetach

LONG WINAPI DetourAttach(_Inout_ PVOID *ppPointer,
                         _In_ PVOID pDetour);
LONG WINAPI DetourDetach(_Inout_ PVOID *ppPointer,
                         _In_ PVOID pDetour);

前一个接口用于将拦截函数附加到目标函数,后一个接口用于取消目标函数的路由。

参数说明:

ppPointer :指向将附加到的目标指针的指针(地址)。

pDetour:指向拦截函数的指针(地址)。

返回值:

如果成功,则返回NO_ERROR;否则,返回错误代码。

在使用这两个接口前,需要调用下面的前置接口和提交接口

2、DetourTransactionBegin

开始事务

3、 DetourUpdateThread

更新线程

4、DetourTransactionCommit

提交事务

2.2、代码示例

//附加拦截函数
void StartHook() {
	//开始事务
	DetourTransactionBegin();
	//更新线程信息
	DetourUpdateThread(GetCurrentThread());
	//将拦截函数附加到原函数的地址上
	DetourAttach(&(PVOID&)pfnOld, pfnNew);
	//结束事务
	DetourTransactionCommit();
}

//解除拦截函数
void EndHook() {
	//开始事务
	DetourTransactionBegin();
	//更新线程信息 
	DetourUpdateThread(GetCurrentThread());
	//将拦截函数从原函数的地址上解除
	DetourDetach(&(PVOID&)pfnOld, pfnNew);
	//结束事务
	DetourTransactionCommit();
}

三、配合DLL注入使用Detours

Detours可以拦截我们想要拦截的函数,并获取或者修改函数调用信息,一般我们会编写一个dll,在dllmain中attach和detach我们的拦截函数,从而在目标进程加载我们dll时,拦截目标函数,在卸载dll时,恢复目标函数。那么远程进程注入,是一个不错的选择,可以在目标进程运行时,注入调试库,不影响目标进程的运行。DLL注入不是本章重点,所以,此处使用最简单的注入方式,也就是远程线程注入方式(仅学习使用,请勿用于非法用途,且这种方式也是最容易被发现的注入方式)。

我写了一个简单的dll注入+Detours拦截指定函数的源码(vs2022),有需要的可以下载参考下

GitHub - Prophecy2015/DLLInject

其中DLLInject是一个MFC编写的dll注入的工具,功能仅仅是向目标进程注入dll用的,需要使用管理员权限运行,不过,由于是注入工具,会被系统报病毒威胁。

TestAddDLL就是使用Detours编写的拦截Add方法的调试库

TestApp是持续调用Add方法的控制台程序,使用DLLInject向该程序注入TestAddDLL,即可打印拦截函数的内容。

3.1、找到拦截函数地址

要通过远程注入,拦截指定函数,首先就需要找到指定函数在指定进程加载后的虚拟内存空间地址,这样才能正确调用DetourAttach函数,毕竟该函数第一个参数就是待拦截的函数的地址。寻找函数地址的方法有很多,上述GitHub源码,使用了两种途径获取函数地址

3.1.1、通过导出表,查找导出函数

这种方式,适用于被导出的函数接口,这种函数接口,可以在PE文件的导出表中,找到对应的RVA,从而计算出VA地址,无需依赖dbghelp.dll接口就可以实现。

可以参考GetExportFunctionsVa函数的实现,这里涉及到对PE文件格式的解析,有兴趣的可以参考下我学习pe格式时,写的一个PETest工程(https://gitee.com/gaojunhuiwww/PETest.git),纯学习性质,大神勿喷


PVOID CMisc::GetExportFunctionsVa(const char* szModuleName, const char* szFuncName)
{
	HMODULE hMod = ::GetModuleHandleA(szModuleName);
	if (hMod == NULL)
	{
		DLL_TRACE(_T("Can not find %s!"), szModuleName);
		return NULL;
	}
	DWORD dwFuncRva = GetExportFunctionsRva(hMod, szFuncName);
	if (dwFuncRva == 0)
	{
		DLL_TRACE(_T("Can not find %s in %s!"), szFuncName, szModuleName);
		return NULL;
	}

	DLL_TRACE(_T("%s!%s : %llX!"), szModuleName, szFuncName, (PVOID)((PBYTE)hMod + dwFuncRva));

	return (PVOID)((PBYTE)hMod + dwFuncRva);
}

DWORD CMisc::GetExportFunctionsRva(HMODULE hModule, const char* strFuncName)
{
	// 获取ExportsTableRva
	DWORD dwExportTableRva = 0;
	PBYTE pByte = (PBYTE)hModule;
	PBYTE pTmp = pByte;
	if (IMAGE_DOS_SIGNATURE == *(WORD*)pTmp)
	{
		//DOS头
		IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)pTmp;
		pTmp += pDosHeader->e_lfanew;
	}

	if (IMAGE_NT_SIGNATURE != *(DWORD*)(PBYTE)pTmp)
	{
		return 0;
	}

	pTmp += sizeof(DWORD);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)pTmp;

	pTmp += sizeof(IMAGE_FILE_HEADER);
	// opt tou
	if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == *(WORD*)(PBYTE)pTmp)
	{
		// 32位头
		dwExportTableRva = ((PIMAGE_OPTIONAL_HEADER32)pTmp)->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
	}
	else if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == *(WORD*)(PBYTE)pTmp)
	{
		// 32位头
		dwExportTableRva = ((PIMAGE_OPTIONAL_HEADER64)pTmp)->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
	}

	// 
	PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((PBYTE)pByte + dwExportTableRva);
	for (int i = 0; i < pExportDir->NumberOfNames; i++)
	{
		std::string strName = (char*)((PBYTE)pByte + *(DWORD*)((PBYTE)pByte + pExportDir->AddressOfNames + i * sizeof(DWORD)));

		if (strName == strFuncName)
		{
			WORD wOrdinal = *(WORD*)((PBYTE)pByte + pExportDir->AddressOfNameOrdinals + i * sizeof(WORD));
			if (wOrdinal < pExportDir->NumberOfFunctions)
			{
				return *(DWORD*)((PBYTE)pByte + pExportDir->AddressOfFunctions + wOrdinal * sizeof(DWORD));
			}
		}
	}

	return 0;
}

3.1.2、通过dbghelp接口查询指定函数

这种方式,只要你有指定模块的pdb文件,你就可以找到该模块的大部分函数的地址,inline和被优化的函数除外,也包括了上诉的导出表函数。不过需要依赖dbghelp.dll。

可以参考GetFunctionsVaFromSymbols函数的实现


PVOID CMisc::GetFunctionsVaFromSymbols(PCTSTR szModuleName, PCTSTR szFunctionName, PCTSTR szSymPath/* = nullptr*/)
{
	HMODULE hMod = 0;
	HANDLE hProcess = 0;
	DWORD64 BaseOfDll = 0;
	PIMAGEHLP_SYMBOL pSymbol = NULL;
	PVOID pRet = NULL;

	DWORD Options = SymGetOptions();

	Options = Options | SYMOPT_DEBUG;
	SymSetOptions(Options);

	if (szModuleName)
	{
		hMod = GetModuleHandle(szModuleName);
	}

	if (hMod == 0)
	{
		DLL_TRACE(_T("Cannot find module %s"), szModuleName);
		return NULL;
	}

	do 
	{
		hProcess = GetCurrentProcess();
		BOOL bRet = SymInitialize(hProcess, 0, TRUE);
		if (FALSE == bRet)
		{
			DLL_TRACE(_T("SymInitialize error ..."));
			break;
		}
		TCHAR SymbolPath[256];
		GetCurrentDirectory(sizeof(SymbolPath) / sizeof(TCHAR), SymbolPath);

		if (nullptr != szSymPath)
		{
			_tcscat_s(SymbolPath, _T(";"));
			_tcscat_s(SymbolPath, szSymPath);
		}

		_tcscat_s(SymbolPath, _T(";"));
		_tcscat_s(SymbolPath, g_szPDBPath);

		SymSetSearchPath(hProcess, SymbolPath);

		TCHAR FileName[256];
		GetCurrentDirectory(sizeof(FileName) / sizeof(TCHAR), FileName);
		_tcscat_s(FileName, _T("\\"));
		_tcscat_s(FileName, szModuleName);
		BaseOfDll = SymLoadModuleEx(hProcess, NULL, FileName, NULL, (DWORD64)hMod, 0, NULL, 0);
		if (BaseOfDll == 0)
		{
			DLL_TRACE(_T("SymLoadModule %s error code:%d"), FileName, GetLastError());
			break;
		}

		ULONG64 buffer[(sizeof(SYMBOL_INFO) +
			MAX_SYM_NAME * sizeof(TCHAR) +
			sizeof(ULONG64) - 1) /
			sizeof(ULONG64)];
		PSYMBOL_INFO pSym = (PSYMBOL_INFO)buffer;
		pSym->SizeOfStruct = sizeof(SYMBOL_INFO);
		pSym->MaxNameLen = MAX_SYM_NAME;
		if (TRUE == SymFromName(hProcess, szFunctionName, pSym))
		{
			pRet = (PVOID)pSym->Address;
			DLL_TRACE(_T("%s!%s: %llX"), szModuleName, szFunctionName, pRet);
		}
		else
		{
			DLL_TRACE(_T("Can not find symbol %s!%s"), szModuleName, szFunctionName);
		}
	} while (false);

	if (BaseOfDll != 0)
	{
		BOOL bRet = SymUnloadModule(hProcess, BaseOfDll);
		if (bRet == FALSE)
		{
			DLL_TRACE(_T("SymUnloadModule Failed! err:%d"), GetLastError());
		}
		BaseOfDll = 0;
	}

	SymCleanup(hProcess);

	return pRet;
}

你可能感兴趣的:(开发语言,c++)