初始Microsoft Detours【收集】

  Detours是微软开发的一个函数库（源代码可在http://research.microsoft.com/sn/detours 免费获得）, 用于修改运行中的程序在内存中的影像。具体用途是： 拦截Win32 API调用，将其引导到自己的子程序，从而实现Win32 API的定制。


Detours的原理
----1． Win32进程的内存管理
----众所周知，Windows NT实现了虚拟存储器，每一个Win32 进程拥有4GB的虚存空间， 关于Win32进程的虚存结构及其操作的具体细节请参阅 Win32 API手册， 以下仅指出与Detours相关的几点：


进程要执行的指令也放在虚存空间中。
可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行，再改写其内容，从而修改正在运行的程序。
可以使用VirtualAllocEx从一个进程为另一正运行的进程分配虚存，再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行，并把要执行的指令以二进制机器码的形式写入，从而为一个正在运行的进程注入任意的代码。
----2． 拦截Win32 API的原理


----Detours定义了三个概念：


Target函数：要拦截的函数，通常为Windows的API。
Trampoline函数：Target函数的复制品。因为Detours将会改写Target函数，所以先把 Target函数复制保存好，一方面仍然保存Target函数的过程调用语义，另一方面便于以后的恢复。
Detours 函数：用来替代Target函数的函数。
---- Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令（共5个字节）把对Target函数的调用引导到自己的Detours函数， 把 Target函数的开头的5个字节加上JMP Address_of_ Target _ Function＋5作为Trampoline 函数。例子如下：

 1 拦截前：Target _ Function：
 2         ；Target函数入口，
 3       以下为假想的常见的子程序入口代码
 4         push        ebp
 5         mov        ebp,    esp
 6         push        eax
 7         push        ebx
 8     Trampoline:
 9         ；以下是Target函数的继续部分
10 　　　　　　　　......
11 
12 
13     拦截后：Target _ Function：
14         jmp        Detour_Function
15     　Trampoline:
16         ；以下是Target函数的继续部分
17         ......
18 
19 
20     　Trampoline_Function:
21         ; Trampoline函数入口, 开头的5个字节与
22           Target函数相同
23         push        ebp
24         mov        ebp,    esp
25         push        eax
26         push        ebx
27         ；跳回去继续执行Target函数
28         jmp     Target_Function＋5

使用Detours需要有detours.lib和detours.h,这个可以从网上下载


具体使用例子：用TP_PathFileExists来拦截系统消息PathFileExists

 1 DETOUR_TRAMPOLINE(BOOL  WINAPI Detour_PathFileExists  (LPCTSTR pszPath), PathFileExists);
 2 
 3 
 4 extern "C" BOOL  WINAPI TP_PathFileExists  (LPCTSTR pszPath)
 5     {
 6         if( Detour_PathFileExists( pszPath))
 7             return TRUE;
 8         if(lstrlen(pszPath) <1) return FALSE;
 9         if(pszPath[0] == '\\')
10         {
11             HANDLE  hFile;  
12             hFile = CreateFile(pszPath
13                 ,GENERIC_READ
14                 ,FILE_SHARE_READ|FILE_SHARE_WRITE
15                 ,NULL
16                 ,OPEN_EXISTING
17                 ,FILE_ATTRIBUTE_NORMAL
18                 ,NULL);
19 
20 
21             if(INVALID_HANDLE_VALUE == hFile)
22                 return FALSE;
23             else
24             {
25                 CloseHandle(hFile);
26                 return TRUE;
27             }
28         }
29         else
30         {
31             WIN32_FIND_DATA lpFindFileData;
32             HANDLE hFind = FindFirstFile( pszPath,&lpFindFileData);
33             if( INVALID_HANDLE_VALUE == hFind) return FALSE;
34             else {FindClose(hFind);return TRUE;}
35         }
36     }
37 
38 
39 
40 
41 BOOL TP_InitSysHook()
42 {
43     DWORD dwVersion = GetVersion();
44     if(dwVersion < 0x80000000)
45     {        
46         DetourFunctionWithTrampoline((PBYTE)Detour_PathFileExists,    (PBYTE)TP_PathFileExists);    
47         return TRUE;
48     }
49     return TRUE;
50 }
51 
52 
53 BOOL TP_ReleaseSysHook()
54 {
55     DWORD dwVersion = GetVersion();
56     if(dwVersion < 0x80000000)
57     {        
58         DetourRemove((PBYTE)Detour_PathFileExists,     (PBYTE)TP_PathFileExists);        
59         return TRUE;
60     }
61     return TRUE;
62 }