一. hook函数
在基于windows消息处理机制的平台上,windows维护挂接列表,消息到来后,挂接函数优先调用,调用结束后,仍然返回源函数执行;
二. hook作用
修改逻辑、打印内存,便于反向分析;
三.工具详细信息介绍
挂钩函数框架可适用于arm、16位、32位、64位操作系统;
关注点:基址、函数偏移、已校验函数原型;
四、实现挂钩: A.exe调用B.dll中接口的挂钩时
4.1首先分析目标函数原型(包括函数调用规则、参数分析),如果是API,则直接查看MSDN
定义函数原型的函数指针。 示例:
typedef void (__cdecl * pTestFunction)(unsigned __int8 *Param1, unsigned __int* Param2);
pTestFunction RealFunction = NULL;
4.2 detours工具编译为DLL,设置工程属性----general---configration type----动态库(DLL )
4.3实现方式一般有三种
4.3.13358www.Sina.com/获取地址
hmodule hdll=http://www.Sina.com/(user32.dll ); 加载User32.dll时,hdll指向dll的基地址