全部博文(465)
分类: 网络与安全
2013-04-09 16:06:00
Detours Hook
Detours是开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见。
在游戏或外挂分析中,可以利用Detours库提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。
Detours Hook的3个关键概念
要理解Detours Hook,必须先理解Detours中的3个关键概念。
?Target函数:即要Hook的目标函数或目标地址。
?Trampoline函数:即跳板函数,主要负责保存原始Target函数头的若条指令,并加上一个跳转指令以保持对原始Target函数调用的语义完整性。
?Detour函数:即截获Target函数的调用之后,所要执行的自定义函数。
在Detours Hook中,生成Trampoline函数与Target函数之间的关系如图6-10所示。
图6-10 Trampoline函数与Target函数的关系
从图6-10中可以看出,Trampoline函数是由Target函数头加jmp指令组成的。
Target函数、Detour函数以及Trampoline函数之间的关系如图6-11所示。
图6-11 Target函数、Detour函数和Trampoline函数间关系
从图6-11中可知,一旦Target函数被执行,程序将按照1→2→3,即Traget→Detour→Trampoline的顺序执行,最后再回到Target函数的执行过程。
Detours Hook引擎
Detours Hook引擎采用上面介绍的Detours Hook机制,经过精心的设计,使这个Hook引擎支持动态Hook几乎任意地址,以方便,而不用为了Hook一个地址去增加代码以及重新编译代码(注意:这里的“任意地址”在可以被修改的地址区域内)。
首先还是让我们看看如图6-12所示的这个引擎的概要设计,然后再详细介绍一下每一块的具体内容。
图6-12 Detours Hook引擎概要设计
如图6-12所示的Detours Hook引擎,从涉及的内存结构上看,主要由4个块组成,分别是JMP块、HOOK_INFO块、Trampoline块和HKC块,而从处理函数上看,主要由DispatchHook和ProcessHook组成。
具体细节见<<游戏外挂攻防艺术>>6.4节。
电子工业出版社出版