我們截獲函數(shù)執(zhí)行最直接的目的就是為函數(shù)增添功能，修改返回值，或者為調(diào)試以及性能測(cè)試加入附加的代碼，或者截獲函數(shù)的輸入輸出作研究，破解使用。通過(guò)訪 問(wèn)源代碼，我們可以輕而易舉的使用重建（Rebuilding）操作系統(tǒng)或者應(yīng)用程序的方法在它們中間插入新的功能或者做功能擴(kuò)展。然而，在今天這個(gè)商業(yè) 化的開(kāi)發(fā)世界里，以及在只有二進(jìn)制代碼發(fā)布的系統(tǒng)中，研究人員幾乎沒(méi)有機(jī)會(huì)可以得到源代碼。本文主要討論Detour在Windows二進(jìn)制PE文件基礎(chǔ) 上的API截獲技術(shù)。對(duì)于Linux平臺(tái)，作這件事情將會(huì)非常的簡(jiǎn)單，由于最初的操作系統(tǒng)設(shè)計(jì)者引入了LD_PRELOAD。如果你設(shè)置  LD_PRELOAD=mylib.so ，那么應(yīng)用程序在載入 dll時(shí)，會(huì)先查看mylib.so的符號(hào)表，在relocation 的時(shí)候會(huì)優(yōu)先 使用mylib.so 里的 symbol 。假如你在mylib.so里有個(gè)printf() ，那么這個(gè)printf就會(huì)替代libc的 printf。 而在mylib.so里的這個(gè)printf可以直接訪問(wèn) libc.so里的printf函數(shù)指針來(lái)獲得真正的 printf的入口地 址。 這樣，所有的dll的API HOOK在loader加載dll的時(shí)候就已經(jīng)完成，非常自然，和平臺(tái)相關(guān)的部分全部交給loader去處理。
一、  Detour開(kāi)發(fā)庫(kù)：
?  簡(jiǎn)介
Detours是一個(gè)在x86平臺(tái)上截獲任意Win32函數(shù)調(diào)用的工具庫(kù)。中斷代碼可以在運(yùn)行時(shí)動(dòng)態(tài)加載。Detours使用一個(gè)無(wú)條件轉(zhuǎn)移指令來(lái)替換目 標(biāo)函數(shù)的最初幾條指令，將控制流轉(zhuǎn)移到一個(gè)用戶提供的截獲函數(shù)。而目標(biāo)函數(shù)中的一些指令被保存在一個(gè)被稱為“trampoline” （譯注：英文意為蹦 床，雜技）的函數(shù)中，在這里我覺(jué)得翻譯成目標(biāo)函數(shù)的部分克隆/拷貝比較貼切。這些指令包括目標(biāo)函數(shù)中被替換的代碼以及一個(gè)重新跳轉(zhuǎn)到目標(biāo)函數(shù)的無(wú)條件分 支。而截獲函數(shù)可以替換目標(biāo)函數(shù)，或者通過(guò)執(zhí)行“trampoline”函數(shù)的時(shí)候?qū)⒛繕?biāo)函數(shù)作為子程序來(lái)調(diào)用的辦法來(lái)擴(kuò)展功能。
Detours是執(zhí)行時(shí)被插入的。內(nèi)存中的目標(biāo)函數(shù)的代碼不是在硬盤上被修改的，因而可以在一個(gè)很好的粒度上使得截獲二進(jìn)制函數(shù)的執(zhí)行變得更容易。例如， 一個(gè)應(yīng)用程序執(zhí)行時(shí)加載的DLL中的函數(shù)過(guò)程可以被插入一段截獲代碼（detoured），與此同時(shí)，這個(gè)DLL還可以被其他應(yīng)用程序按正常情況執(zhí)行（譯 注：也就是按照不被截獲的方式執(zhí)行，因?yàn)镈LL二進(jìn)制文件沒(méi)有被修改，所以發(fā)生截獲時(shí)不會(huì)影響其他進(jìn)程空間加載這個(gè)DLL）。不同于DLL的重新鏈接或者 靜態(tài)重定向，Detours庫(kù)中使用的這種中斷技術(shù)確保不會(huì)影響到應(yīng)用程序中的方法或者系統(tǒng)代碼對(duì)目標(biāo)函數(shù)的定位。
如果其他人為了調(diào)試或者在內(nèi)部使用其他系統(tǒng)檢測(cè)手段而試圖修改二進(jìn)制代碼，Detours將是一個(gè)可以普遍使用的開(kāi)發(fā)包。據(jù)我所知，Detours是第一 個(gè)可以在任意平臺(tái)上將未修改的目標(biāo)代碼作為一個(gè)可以通過(guò)“trampoline”調(diào)用的子程序來(lái)保留的開(kāi)發(fā)包。而以前的系統(tǒng)在邏輯上預(yù)先將截獲代碼放到目 標(biāo)代碼中，而不是將原始的目標(biāo)代碼做為一個(gè)普通的子程序來(lái)調(diào)用。我們獨(dú)特的“trampoline”設(shè)計(jì)對(duì)于擴(kuò)展現(xiàn)有的軟件的二進(jìn)制代碼是至關(guān)重要的。
出于使用基本的函數(shù)截獲功能的目的，Detours同樣提供了編輯任何DLL導(dǎo)入表的功能，達(dá)到向存在的二進(jìn)制代碼中添加任意數(shù)據(jù)節(jié)表的目的，向一個(gè)新進(jìn) 程或者一個(gè)已經(jīng)運(yùn)行著的進(jìn)程中注入一個(gè)DLL。一旦向一個(gè)進(jìn)程注入了DLL，這個(gè)動(dòng)態(tài)庫(kù)就可以截獲任何Win32函數(shù)，不論它是在應(yīng)用程序中或者在系統(tǒng)庫(kù) 中。
?  基本原理
1．  WIN32進(jìn)程的內(nèi)存管理
眾所周知，WINDOWS NT實(shí)現(xiàn)了虛擬存儲(chǔ)器，每一WIN32進(jìn)程擁有4GB的虛存空間， 關(guān)于WIN32進(jìn)程的虛存結(jié)構(gòu)及其操作的具體細(xì)節(jié)請(qǐng)參閱WIN32 API手冊(cè)， 以下僅指出與Detours相關(guān)的幾點(diǎn)：
(1) 進(jìn)程要執(zhí)行的指令也放在虛存空間中
(2) 可以使用QueryProtectEx函數(shù)把存放指令的頁(yè)面的權(quán)限更改為可讀可寫可執(zhí)行，再改寫其內(nèi)容，從而修改正在運(yùn)行的程序
(3) 可以使用VirtualAllocEx從一個(gè)進(jìn)程為另一正運(yùn)行的進(jìn)程分配虛存，再使用 QueryProtectEx函數(shù)把頁(yè)面的權(quán)限更改為可讀可寫可執(zhí)行，并把要執(zhí)行的指令以二進(jìn)制機(jī)器碼的形式寫入，從而為一個(gè)正在運(yùn)行的進(jìn)程注入任意的代碼 。
2． 攔截WIN32 API的原理
Detours定義了三個(gè)概念：
    (1) Target函數(shù)：要攔截的函數(shù)，通常為Windows的API。
(2) Trampoline函數(shù)：Target函數(shù)的部分復(fù)制品。因?yàn)镈etours將會(huì)改寫Target函數(shù)，所以先把Target函數(shù)的前5個(gè)字節(jié)復(fù)制保存好，一方面仍然保存Target函數(shù)的過(guò)程調(diào)用語(yǔ)義，另一方面便于以后的恢復(fù)。
(3) Detour 函數(shù)：用來(lái)替代Target函數(shù)的函數(shù)。
Detours在Target函數(shù)的開(kāi)頭加入JMP Address_of_ Detour_ Function指令（共5個(gè)字節(jié)）把對(duì)Target函數(shù) 的調(diào)用引導(dǎo)到自己的Detour函數(shù)， 把Target函數(shù)的開(kāi)頭的5個(gè)字節(jié)加上JMP Address_of_ Target _ Function+ 5共10個(gè)字節(jié)作為Trampoline函數(shù)。請(qǐng)參考下面的圖1和圖2。
(圖1：Detour函數(shù)的過(guò)程)
 
（圖2： Detour函數(shù)的調(diào)用過(guò)程）
 
說(shuō)明：
?  目標(biāo)函數(shù)：
目標(biāo)函數(shù)的函數(shù)體（二進(jìn)制）至少有5個(gè)字節(jié)以上。按照微軟的說(shuō)明文檔Trampoline函數(shù)的函數(shù)體是拷貝前5個(gè)字節(jié)加一個(gè)無(wú)條件跳轉(zhuǎn)指令的話（如果沒(méi) 有特殊處理不可分割指令的話），那么前5個(gè)字節(jié)必須是完整指令，也就是不能第5個(gè)字節(jié)和第6個(gè)字節(jié)是一條不可分割的指令，否則會(huì)造成Trampoline 函數(shù)執(zhí)行錯(cuò)誤，一條完整的指令被硬性分割開(kāi)來(lái)，造成程序崩潰。對(duì)于第5字節(jié)和第6個(gè)字節(jié)是不可分割指令需要調(diào)整拷貝到雜技函數(shù)(Trampoline)的 字節(jié)個(gè)數(shù)，這個(gè)值可以查看目標(biāo)函數(shù)的匯編代碼得到。此函數(shù)是目標(biāo)函數(shù)的修改版本，不能在Detour函數(shù)中直接調(diào)用，需要通過(guò)對(duì)Trampoline函數(shù) 的調(diào)用來(lái)達(dá)到間接調(diào)用。
?  Trampoline函數(shù)：
此函數(shù)默認(rèn)分配了32個(gè)字節(jié)，函數(shù)的內(nèi)容就是拷貝的目標(biāo)函數(shù)的前5個(gè)字節(jié)，加上一個(gè)JMP Address_of_ Target _ Function+5指令,共10個(gè)字節(jié)。
此函數(shù)僅供您的Detour函數(shù)調(diào)用，執(zhí)行完前5個(gè)字節(jié)的指令后再絕對(duì)跳轉(zhuǎn)到目標(biāo)函數(shù)的第6個(gè)字節(jié)繼續(xù)執(zhí)行原功能函數(shù)。
?  Detour函數(shù)：
此函數(shù)是用戶需要的截獲API的一個(gè)模擬版本，調(diào)用方式，參數(shù)個(gè)數(shù)必須和目標(biāo)函數(shù)相一致。如目標(biāo)函數(shù)是__stdcall，則Detour函數(shù)聲明也必須 是__stdcall,參數(shù)個(gè)數(shù)和類型也必須相同，否則會(huì)造成程序崩潰。此函數(shù)在程序調(diào)用目標(biāo)函數(shù)的第一條指令的時(shí)候就會(huì)被調(diào)用（無(wú)條件跳轉(zhuǎn)過(guò)來(lái)的），如 果在此函數(shù)中想繼續(xù)調(diào)用目標(biāo)函數(shù)，必須調(diào)用Trampoline函數(shù)（Trampoline函數(shù)在執(zhí)行完目標(biāo)函數(shù)的前5個(gè)字節(jié)的指令后會(huì)無(wú)條件跳轉(zhuǎn)到目標(biāo) 函數(shù)的5個(gè)字節(jié)后繼續(xù)執(zhí)行），不能再直接調(diào)用目標(biāo)函數(shù)，否則將進(jìn)入無(wú)窮遞歸（目標(biāo)函數(shù)跳轉(zhuǎn)到Detour函數(shù)，Detour函數(shù)又跳轉(zhuǎn)到目標(biāo)函數(shù)的遞歸， 因?yàn)槟繕?biāo)函數(shù)在內(nèi)存中的前5個(gè)字節(jié)已經(jīng)被修改成絕對(duì)跳轉(zhuǎn)）。通過(guò)對(duì)Trampoline函數(shù)的調(diào)用后可以獲取目標(biāo)函數(shù)的執(zhí)行結(jié)果，此特性對(duì)分析目標(biāo)函數(shù)非 常有用，而且可以將目標(biāo)函數(shù)的輸出結(jié)果進(jìn)行修改后再傳回給應(yīng)用程序。
Detour提供了向運(yùn)行中的應(yīng)用程序注入Detour函數(shù)和在二進(jìn)制文件基礎(chǔ)上注入Detour函數(shù)兩種方式。本章主要討論第二種工作方式。通過(guò) Detours提供的開(kāi)發(fā)包可以在二進(jìn)制EXE文件中添加一個(gè)名稱為Detour的節(jié)表，如下圖3所示，主要目的是實(shí)現(xiàn)PE加載器加載應(yīng)用程序的時(shí)候會(huì)自 動(dòng)加載您編寫的Detours DLL，在Detours Dll中的DLLMain中完成對(duì)目標(biāo)函數(shù)的Detour。
（圖3）
 
二、  Detours提供的截獲API的相關(guān)接口
Detours的提供的API 接口可以作為一個(gè)共享DLL給外部程序調(diào)用，也可以作為一個(gè)靜態(tài)Lib鏈接到您的程序內(nèi)部。
Trampoline函數(shù)可以動(dòng)態(tài)或者靜態(tài)的創(chuàng)建，如果目標(biāo)函數(shù)本身是一個(gè)鏈接符號(hào)，使用靜態(tài)的trampoline函數(shù)將非常簡(jiǎn)單。如果目標(biāo)函數(shù)不能在鏈接時(shí)可見(jiàn)，那么可以使用動(dòng)態(tài)trampoline函數(shù)。
?  要使用靜態(tài)的trampoline函數(shù)來(lái)截獲目標(biāo)函數(shù)，應(yīng)用程序生成trampoline的時(shí)候必須使用
DETOUR_TRAMPOLINE宏。DETOUR_TRAMPOLINE有兩個(gè)輸入?yún)?shù)：trampoline的原型和目標(biāo)函數(shù)的名字。
注意，對(duì)于正確的截獲模型，包括目標(biāo)函數(shù)，trampoline函數(shù)，以及截獲函數(shù)都必須是完全一致的調(diào)用形式，包括參數(shù)格式和調(diào)用約定。當(dāng)通過(guò) trampoline函數(shù)調(diào)用目標(biāo)函數(shù)的時(shí)候拷貝正確參數(shù)是截獲函數(shù)的責(zé)任。由于目標(biāo)函數(shù)僅僅是截獲函數(shù)的一個(gè)可調(diào)用分支（截獲函數(shù)可以調(diào)用 trampoline函數(shù)也可以不調(diào)用），這種責(zé)任幾乎就是一種下意識(shí)的行為。
使用相同的調(diào)用約定可以確保寄存器中的值被正確的保存，并且保證調(diào)用堆棧在截獲函數(shù)調(diào)用目標(biāo)函數(shù)的時(shí)候能正確的建立和銷毀。
可以使用DetourFunctionWithTrampoline函數(shù)來(lái)截獲目標(biāo)函數(shù)。這個(gè)函數(shù)有兩個(gè)參數(shù)：trampoline函數(shù)以及截獲函數(shù)的指針。因?yàn)槟繕?biāo)函數(shù)已經(jīng)被加到trampoline函數(shù)中，所有不需要在參數(shù)中特別指定。
?  我們可以使用DetourFunction函數(shù)來(lái)創(chuàng)建一個(gè)動(dòng)態(tài)的trampoline函數(shù)，它包括兩個(gè)參數(shù)：一個(gè)指向目標(biāo)函數(shù)的指針和一個(gè)截獲函數(shù)的指針。DetourFunction分配一個(gè)新的trampoline函數(shù)并將適當(dāng)?shù)慕孬@代碼插入到目標(biāo)函數(shù)中去。
當(dāng)目標(biāo)函數(shù)不是很容易使用的時(shí)候，DetourFindFunction函數(shù)可以找到那個(gè)函數(shù)，不管它是DLL中導(dǎo)出的函數(shù)，或者是可以通過(guò)二進(jìn)制目標(biāo)函數(shù)的調(diào)試符號(hào)找到。
DetourFindFunction接受兩個(gè)參數(shù)：庫(kù)的名字和函數(shù)的名字。如果DetourFindFunction函數(shù)找到了指定的函數(shù)，返回該函數(shù) 的指針，否則將返回一個(gè)NULL指針。DetourFindFunction會(huì)首先使用Win32函數(shù)LoadLibrary 和 GetProcAddress來(lái)定位函數(shù)，如果函數(shù)沒(méi)有在DLL的導(dǎo)出表中找到，DetourFindFunction將使用ImageHlp庫(kù)來(lái)搜索有 效的調(diào)試符號(hào)（譯注：這里的調(diào)試符號(hào)是指Windows本身提供的調(diào)試符號(hào)，需要單獨(dú)安裝，具體信息請(qǐng)參考Windows的用戶診斷支持信息）。 DetourFindFunction返回的函數(shù)指針可以用來(lái)傳遞給DetourFunction以生成一個(gè)動(dòng)態(tài)的trampoline函數(shù)。
我們可以調(diào)用DetourRemoveTrampoline來(lái)去掉對(duì)一個(gè)目標(biāo)函數(shù)的截獲。
注意，因?yàn)镈etours中的函數(shù)會(huì)修改應(yīng)用程序的地址空間，請(qǐng)確保當(dāng)加入截獲函數(shù)或者去掉截獲函數(shù)的時(shí)候沒(méi)有其他線程在進(jìn)程空間中執(zhí)行，這是程序員的責(zé)任。一個(gè)簡(jiǎn)單的方法保證這個(gè)時(shí)候是單線程執(zhí)行就是在加載Detours庫(kù)的時(shí)候在DllMain中呼叫函數(shù)。
三、  使用Detours實(shí)現(xiàn)對(duì)API的截獲的兩種方法
建立一個(gè)MFC對(duì)話框工程，在對(duì)話框的OK按鈕的單擊事件中加入對(duì)MessageBoxA函數(shù)的調(diào)用，編譯后的程序名稱MessageBoxApp,效果如圖。
 
(圖4)
?  靜態(tài)方法
建立一個(gè)Dll工程，名稱為ApiHook，這里以Visual C++6.0開(kāi)發(fā)環(huán)境，以截獲ASCII版本的MessageBoxA函數(shù)來(lái)說(shuō)明。在Dll的工程加入：
DETOUR_TRAMPOLINE(int WINAPI Real_Messagebox(HWND hWnd ,
    LPCSTR lpText,
    LPCSTR lpCaption,
UINT uType), ::MessageBoxA);
生成一個(gè)靜態(tài)的MessageBoxA的Trampoline函數(shù)，在Dll工程中加入目標(biāo)函數(shù)的Detour函數(shù)：
int WINAPI MessageBox_Mine( HWND hWnd ,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType)
{
  CString tmp= lpText;
  tmp+=” 被Detour截獲”;
  return Real_Messagebox(hWnd,tmp,lpCaption,uType);
//  return ::MessageBoxA(hWnd,tmp,lpCaption,uType);  //Error
}
在Dll入口函數(shù)中的加載Dll事件中加入：
DetourFunctionWithTrampoline((PBYTE)Real_Messagebox, (PBYTE)MessageBox_Mine);
在Dll入口函數(shù)中的卸載Dll事件中加入：
DetourRemove((PBYTE)Real_Messagebox, (PBYTE)MessageBox_Mine);
?  動(dòng)態(tài)方法
建立一個(gè)Dll工程，名稱為ApiHook，這里以Visual C++6.0開(kāi)發(fā)環(huán)境，以截獲ASCII版本的MessageBoxA函數(shù)來(lái)說(shuō)明。在Dll的工程加入：
//聲明MessageBoxA一樣的函數(shù)原型
typedef int  (WINAPI * MessageBoxSys)( HWND hWnd ,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType);
//目標(biāo)函數(shù)指針
MessageBoxSys SystemMessageBox=NULL;
//Trampoline函數(shù)指針
MessageBoxSys Real_MessageBox=NULL;
在Dll工程中加入目標(biāo)函數(shù)的Detour函數(shù)：
int WINAPI MessageBox_Mine( HWND hWnd ,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType)
{
  CString tmp= lpText;
  tmp+=” 被Detour截獲”;
  return Real_Messagebox(hWnd,tmp,lpCaption,uType);
//  return ::MessageBoxA(hWnd,tmp,lpCaption,uType);  //Error
}
在Dll入口函數(shù)中的加載Dll事件中加入：
  SystemMessageBox=(MessageBoxSys)DetourFindFunction("user32.dll","MessageBoxA");
  if(SystemMessageBox==NULL)
  {
    return FASLE;
  }
  Real_MessageBox=(MessageBoxSys)DetourFunction((PBYTE)SystemMessageBox, (PBYTE)MessageBox_Mine);
在Dll入口函數(shù)中的卸載Dll事件中加入：
DetourRemove((PBYTE)Real_Messagebox, (PBYTE)MessageBox_Mine);
?  重寫二進(jìn)制可執(zhí)行文件
使用Detours自帶的SetDll.exe重寫二進(jìn)制可執(zhí)行文件，可以在需要截獲的程序中加入一個(gè)新的Detours的PE節(jié)表。對(duì)于本文就是新建一個(gè)批處理文件調(diào)用SetDll.exe。
@echo off
if not exist MessageBoxApp.exe (
echo 請(qǐng)將文件解壓到MessageBoxApp.exe的安裝目錄, 然后執(zhí)行補(bǔ)丁程序
) else (
setdll /d:ApiHook.dll MessageBoxApp.exe
)
Pause
調(diào)用后使用depends.exe（微軟VC6.0開(kāi)發(fā)包的工具之一）觀察MessageBoxApp.exe前后變化， 可以看到Setdll已經(jīng)重寫MessageBoxApp.exe
成功，加入了對(duì)ApiHook.dll的依賴關(guān)系。
 
      （執(zhí)行SetDll.exe前）                                                       (執(zhí)行SetDll.exe后)
執(zhí)行SetDll.exe重寫后的MessageBoxApp.exe，點(diǎn)擊確定后可以看到結(jié)果如下：
至此，MessageBoxApp.exe對(duì)MessageBoxA函數(shù)的調(diào)用已經(jīng)被截獲，彈出的對(duì)話框內(nèi)容已經(jīng)明顯說(shuō)明這一點(diǎn)。


本文轉(zhuǎn)自：http://www.cnblogs.com/flying_bat/archive/2008/04/18/1159996.html