微软开源库 Detours 详细介绍与使用实例分享

目录

1、Detours概述

2、Detours功能特性

3、Detours工作原理

4、Detours应用场景

5、Detours兼容性

6、Detours具体使用方法

7、Detours使用实例 - 使用Detours拦截系统库中的UnhandledExceptionFilter接口,实现对程序异常的拦截


C++软件异常排查从入门到精通系列教程(专栏文章列表,欢迎订阅,持续更新...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/article/details/125529931C/C++实战进阶(专栏文章已更新400多篇,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/category_11931267.htmlWindows C++ 软件开发从入门到精通(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/category_12695902.htmlVC++常用功能开发汇总(专栏文章列表,欢迎订阅,持续更新...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/article/details/124272585C++软件分析工具从入门到精通案例集锦(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/article/details/131405795开源组件及数据库技术(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/category_12458859.html网络编程与网络问题分享(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/category_2276111.html       微软Detours是微软官方推出并开源的一个工具库,主要用于在运行时动态地拦截和修改Windows平台上的系统函数调用。下面从Detours的功能、特性、工作原理、应用场景、兼容性以及使用方法等方面,详细介绍一下Detours。

1、Detours概述

       Detours是微软开发的一个开源库,它允许开发者在不需要重新编译或修改原始代码的情况下,轻松地修改其他进程中的函数调用行为。这一特性使得Detours成为调试、监控、性能测试、安全检测以及插件扩展等场景下的强大工具。Detours通过Hook技术(也称为“钩子”技术)实现其功能,能够在运行时“绕道”目标函数,将控制流转向自定义的处理函数,并在适当的时候恢复到原函数的执行。

Detours提供了高效的API,支持32位和64位系统,Detours通过修改目标函数在内存中的代码,实现拦截系统函数的目的,同时它还支持将任意的DLL或数据片段(称之为有效载荷)注入到任意系统二进制文件中。

       微软已经将Detours源码开源,可以到github上去下载完整源码:

https://github.com/microsoft/Detoursicon-default.png?t=N7T8https://github.com/microsoft/Detours

2、Detours功能特性

       Detours的主要功能特性如下:

  • 高效API支持:Detours提供了一套高效的API,支持在32位和64位Windows操作系统上拦截和修改Win32函数,降低了使用难度。开发者可以轻松地通过Detours API实现函数拦截、修改和重定向,而无需深入了解底层汇编语言。
  • 灵活性强:Detours不仅可以拦截函数,还可以拦截向特定地址的内存写入操作,为开发者提供了前所未有的运行时行为控制力。
  • 内存和线程安全:Detours提供了内存安全的接口,避免了因动态内存分配和释放不当导致的问题。同时,它针对多线程环境进行了优化,保证了在多线程环境下的正确性和可靠性。
  • 跨平台支持:Detours支持在x86、x64、IA64以及ARM和ARM64等架构的Windows系统上运行,为开发者提供了广泛的平台兼容性。
  • 高效稳定:Detours基于汇编语言实现,确保了高效性和兼容性。同时,经过微软多年内部使用的验证,Detours具有高度可靠性和稳定性,能够稳定运行在各种Windows操作系统上。
  • 丰富的应用场景:Detours广泛应用于调试、监控、性能分析、安全检测、插件系统等领域。开发者可以利用Detours对应用程序进行扩展,如添加日志记录、性能测试、错误检查等。

3、Detours工作原理

       Detours的工作原理基于汇编语言实现,通过修改目标函数在内存中的二进制映像来达到拦截和修改函数调用的目的。具体来说,Detours会替换目标函数的前几条指令为一个无条件跳转指令(JMP),将控制流引导到用户提供的拦截函数(Detour函数)。同时,Detours会将被替换的指令保存在一个被称为“Trampoline”的函数中,以便在需要时恢复目标函数的原始行为。

       当程序执行到目标函数时,它会直接跳转到拦截函数执行。拦截函数可以执行自定义的代码,如修改参数、记录日志等,并可以选择直接返回或调用Trampoline函数来恢复目标函数的原始行为。拦截函数执行完毕后,控制流会返回到源函数调用处,完成整个拦截过程。


       在这里,给大家重点推荐一下我的几个热门畅销专栏,欢迎订阅:(博客主页还有其他专栏,可以去查看)

专栏1:(该精品技术专栏的订阅量已达到500多个,专栏中包含大量项目实战分析案例,有很强的实战参考价值,广受好评!专栏文章持续更新中,预计更新到200篇以上!欢迎订阅!)

C++软件调试与异常排查从入门到精通系列文章汇总icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/article/details/125529931

本专栏根据多年C++软件异常排查的项目实践,系统地总结了引发C++软件异常的常见原因以及排查C++软件异常的常用思路与方法,详细讲述了C++软件的调试方法与手段,以图文并茂的方式给出具体的项目问题实战分析实例(很有实战参考价值),带领大家逐步掌握C++软件调试与异常排查的相关技术,适合基础进阶和想做技术提升的相关C++开发人员!

考察一个开发人员的水平,一是看其编码及设计能力,二是要看其软件调试能力!所以软件调试能力(排查软件异常的能力)很重要,必须重视起来!能解决一般人解决不了的问题,既能提升个人能力及价值,也能体现对团队及公司的贡献!

专栏中的文章都是通过项目实战总结出来的,包含大量项目问题实战分析案例,有很强的实战参考价值!专栏文章还在持续更新中,预计文章篇数能更新到200篇以上!

专栏2:  

C++常用软件分析工具从入门到精通案例集锦汇总(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/article/details/131405795

常用的C++软件辅助分析工具有SPY++、PE工具、Dependency Walker、GDIView、Process Explorer、Process Monitor、API Monitor、Clumsy、Windbg、IDA Pro等,本专栏详细介绍如何使用这些工具去巧妙地分析和解决日常工作中遇到的问题,很有实战参考价值!

专栏3:(本专栏涵盖了多方面的内容,是当前重点打造的专栏,专栏文章已经更新到400多篇,持续更新中...)

C/C++实战进阶(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/category_11931267.html

以多年的开发实战为基础,总结并讲解一些的C/C++基础与项目实战进阶内容,以图文并茂的方式对相关知识点进行详细地展开与阐述!专栏涉及了C/C++领域多个方面的内容,包括C++基础及编程要点(模版泛型编程、STL容器及算法函数的使用等)、C++11及以上新特性(不仅看开源代码会用到,日常编码中也会用到部分新特性,面试时也会涉及到)、常用C++开源库的介绍与使用、代码分享(调用系统API、使用开源库)、常用编程技术(动态库、多线程、多进程、数据库及网络编程等)、软件UI编程(Win32/duilib/QT/MFC)、C++软件调试技术(排查软件异常的手段与方法、分析C++软件异常的基础知识、常用软件分析工具使用、实战问题分析案例等)、设计模式、网络基础知识与网络问题分析进阶内容等。

专栏4:   

VC++常用功能开发汇总(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/article/details/124272585

将10多年C++开发实践中常用的功能,以高质量的代码展现出来。这些常用的高质量规范代码,可以直接拿到项目中使用,能有效地解决软件开发过程中遇到的问题。

专栏5: 

Windows C++ 软件开发从入门到精通(专栏文章,持续更新中...)icon-default.png?t=N7T8https://blog.csdn.net/chenlycly/category_12695902.html

根据多年C++软件开发实践,详细地总结了Windows C++ 应用软件开发相关技术实现细节,分享了大量的实战案例,很有实战参考价值。


4、Detours应用场景

       Detours在多个领域都有广泛的应用,以下是一些典型的应用场景:

  • 调试和监控:在不修改源代码的情况下,开发者可以在关键点插入跟踪代码,观察程序行为。这对于调试复杂的应用程序或监控应用程序的运行状态非常有用。
  • 性能分析:通过插入计时器来测量函数的执行时间,Detours可以帮助开发者找到性能瓶颈,优化程序性能。
  • 安全检测:监控敏感函数调用,防止恶意活动。例如,可以拦截系统API调用以检测潜在的恶意软件行为。
  • 插件系统:为无插件支持的应用程序添加插件功能。通过拦截和修改函数调用,Detours可以扩展应用程序的功能而无需修改其源代码。
  • 应用增强:为旧版软件添加新特性或修复已知问题。通过拦截和修改函数调用,Detours可以使旧版软件焕发新生。

5、Detours兼容性

       Detours兼容Windows NT家族的操作系统,包括Windows NT、Windows XP、Windows Server 2003以及更高版本的Windows操作系统(如Windows 7、Windows 8、Windows 10等)。

       然而,需要注意的是,Windows Store应用程序只能使用Win32 API的一个子集,且Detours需要使用的某些Win32 API在Windows应用程序认证中是被禁止的,因此Windows Store新应用程序不能使用Detours,这一点有待验证。

6、Detours具体使用方法

       使用Detours需要遵循一定的步骤和规则。首先,需要下载并安装Detours库及其依赖项。然后,在项目中包含Detours的头文件和库文件,并编写自定义的拦截函数。接下来,通过调用Detours提供的API函数(如DetourAttach、DetourDetach等)来挂载和卸载拦截函数。最后,编译并运行项目以验证拦截效果。

       具体来说,使用Detours的步骤如下:

  • 1)包含Detours头文件和库文件:在项目中包含Detours的头文件(如detours.h)和库文件(如detours.lib),以便使用Detours提供的API。
  • 2)定义目标函数和detour函数:确定要拦截的目标函数,并定义一个与之具有相同参数和返回类型的detour函数。在detour函数中编写自定义的代码逻辑。
  • 3)初始化Detours:在程序的适当位置(如DllMain函数的DLL_PROCESS_ATTACH阶段)调用DetourTransactionBegin()函数开始一个事务,并通过DetourUpdateThread()函数更新当前线程的Detours状态。
  • 4)挂接detour函数:使用DetourAttach()函数将detour函数挂接到目标函数上。DetourAttach()函数的第一个参数是指向目标函数地址的指针,第二个参数是指向detour函数的指针。
  • 5)提交事务:调用DetourTransactionCommit()函数提交事务,使detour函数生效。如果挂接成功,DetourTransactionCommit()将返回NO_ERROR;否则,将返回错误码。
  • 6)卸载Detours:在程序的适当位置(如DllMain函数的DLL_PROCESS_DETACH阶段)调用DetourTransactionBegin()、DetourDetach()和DetourTransactionCommit()函数来卸载Detours,并恢复目标函数的原始行为。

7、Detours使用实例 - 使用Detours拦截系统库中的UnhandledExceptionFilter接口,实现对程序异常的拦截

        当程序中发生异常,系统感知到,如果异常是不可恢复的、致命的异常且当前是非调试状态,最终会走到系统库的UnhandledExceptionFilter接口中。为了让我们的程序有效感知并拦截程序中发生的异常,我们直接将系统库中的UnhandledExceptionFilter给hook掉,在自定义函数中添加相关的处理代码。下面给出hook系统库中UnhandledExceptionFilter接口的代码实现:

1)我们定义了一个hook类CHookUnhandledExceptionFilter,在类的构造函数中去hook系统库接口UnhandledExceptionFilter;
2)在CHookUnhandledExceptionFilter类的析构函数中去卸载对UnhandledExceptionFilter接口的hook;
3)使用这个CHookUnhandledExceptionFilter类时,只要用该类定义一个全局变量即可,类对象构造时设置hook,类对象析构时卸载hook。

       CHookUnhandledExceptionFilter类的头文件定义:

//用来hook 系统库中的UnhandledExceptionFilter
class CHookUnhandledExceptionFilter
{
public:CHookUnhandledExceptionFilter(void);~CHookUnhandledExceptionFilter(void);private:void* m_lpUnhandledExceptionFilter;
};

        CHookUnhandledExceptionFilter类的cpp源文件如下:

// 将系统函数hook成该函数
LONG WINAPI NewUnhandledExceptionFilter( struct _EXCEPTION_POINTERS *ExceptionInfo )
{// 处理代码省略
}// 1、在构造函数中设置对UnhandledExceptionFilter的hook,将之hook成NewUnhandledExceptionFilter
CHookUnhandledExceptionFilter::CHookUnhandledExceptionFilter(void)
{m_lpUnhandledExceptionFilter = NULL;do {SetErrorMode(SEM_NOGPFAULTERRORBOX | SEM_NOOPENFILEERRORBOX);if ( IsWindowsVersionGreater( HIBYTE( _WIN32_WINNT_WIN10 ), LOBYTE( _WIN32_WINNT_WIN10 ), 0 ) ){m_lpUnhandledExceptionFilter = DetourFindFunction( "KERNELBASE.DLL", "UnhandledExceptionFilter" );}else{m_lpUnhandledExceptionFilter = DetourFindFunction( "KERNEL32.DLL", "UnhandledExceptionFilter" );}if ( NULL == m_lpUnhandledExceptionFilter ) {WriteCrashLog(_T("DetourFindFunction return null"));break;}CString strErr;LONG lRes = NO_ERROR;lRes = DetourTransactionBegin();if ( NO_ERROR != lRes ) {strErr.Format( _T("DetourTransactionBegin fails ret:%d"), lRes );WriteCrashLog( strErr.GetBuffer(0) );break;}lRes = DetourAttach( &m_lpUnhandledExceptionFilter, NewUnhandledExceptionFilter );if ( NO_ERROR != lRes ) {strErr.Format( _T("DetourAttach fails ret:%d"), lRes );WriteCrashLog( strErr.GetBuffer(0) );break;}lRes = DetourTransactionCommit();if ( NO_ERROR != lRes ) {strErr.Format( _T("DetourTransactionCommit fails ret:%d"), lRes );WriteCrashLog( strErr.GetBuffer(0) );break;}} while (0);
}// 2、在析构函数中卸载对UnhandledExceptionFilter的hook
CHookUnhandledExceptionFilter::~CHookUnhandledExceptionFilter(void)
{if ( m_lpUnhandledExceptionFilter ) {do {LONG lRes = NO_ERROR;lRes = DetourTransactionBegin();if ( NO_ERROR != lRes ) {break;}lRes = DetourDetach( &m_lpUnhandledExceptionFilter, NewUnhandledExceptionFilter );if ( NO_ERROR != lRes ) {break;}lRes = DetourTransactionCommit();if ( NO_ERROR != lRes ) {break;}} while (0);}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/402288.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

VMware虚拟机下安装Ubuntu22.04以及汉化配置保姆级教程

目录 一.VMware和Ubuntu下载 二.在VMware中创建Ubuntu 1.点击 创建新的虚拟机 2.选择典型 3.选择Ubuntu镜像包(自定义存放的位置) 4.创建个人信息(密码一定要牢记) 5.选择虚拟机的安装位置 6.其他配置项(默认下…

Unity Obfuscator 使用说明

一、Assembly - Settings 1. 核心Unity程序集(Assembly-CSharp) Obfuscate Assembly-CSharp: 开启 这是Unity的核心程序集,所有没有存储在程序集定义文件(assembly definition file)中的代码都会被存储在这里。大多数…

C++多态详解

1. 多态的概念 多态就是函数调用的多种形态,使用多态能够使得不同的对象去完成同一件事时,产生不同的动作和结果。 举个栗子:比如买票这个行为,当普通人买票时,是全价买票;学生买票时,是半价买…

yolov5网络初始化问题

当你打印detect层的三个特征层时,发现有三种不同的长和宽,如下图所示: 我提出三个问题: 为什么不一样呢,输入有什么含义吗? 为什么网络初始化四次(forward)? 下面来逐个击破 1. torc…

uniapp 微信小程序生成水印图片

效果 源码 <template><view style"overflow: hidden;"><camera device-position"back" flash"auto" class"camera"><cover-view class"text-white padding water-mark"><cover-view class"…

【笔记】泰山派环境配置遇到E: Unable to locate package repo

答案来自通义千问&#xff0c;解决了我的问题&#xff0c;做一些记录 你尝试在Ubuntu或Debian系统上使用apt命令安装repo工具&#xff0c;但是遇到了问题&#xff0c;因为repo不是直接在软件源中作为一个独立的包提供的。repo是Google的一个Git仓库管理工具&#xff0c;通常用…

EasyCVR视频汇聚平台:打造全栈视频监控系统的基石,解锁可视化管理与高效运维

随着科技的飞速发展&#xff0c;视频监控已成为现代社会不可或缺的一部分&#xff0c;广泛应用于社区、公共场所、工业领域等多个场景。EasyCVR视频汇聚平台&#xff0c;作为一款高性能的视频汇聚管理平台&#xff0c;凭借其强大的视频处理、汇聚与融合能力&#xff0c;在构建全…

数据结构——关于栈

1.栈 1.1栈的概念及结构 栈&#xff1a;一种特殊的线性表&#xff0c;其只允许在固定的一端进行插入和删除元素操作 进行数据插入和删除操作的一端称为栈顶&#xff0c;另一端称为栈底。栈中的数据元素遵守后进先出的原则 比如&#xff1a;羽毛球桶&#xff0c;弹夹等等 压…

苍穹外卖项目DAY05

苍穹外卖项目DAY05 1、店铺营业状态设置 1.1、Redis入门 Redis简介 Redis是一个基于内存的key-value结构数据库 基于内存存储&#xff0c;读写性能高适合存储热点数据&#xff08;热点商品、咨询、新闻&#xff09;企业应用广泛 中文网&#xff1a;https://www.redis.net…

【Java学习】Stream流详解

所属专栏&#xff1a;Java学习 Stream流是JDK 8引入的一个概念&#xff0c;它提供了一种高效且表达力强的方式来处理数据集合&#xff08;如List、Set等&#xff09;或数组。Stream API可以以声明性方式&#xff08;指定做什么&#xff09;来处理数据序列。流操作可以被分为两大…

[C++][opencv]基于opencv实现photoshop算法灰度化图像

测试环境】 vs2019 opencv4.8.0 【效果演示】 【核心实现代码】 BlackWhite.hpp #ifndef OPENCV2_PS_BLACKWHITE_HPP_ #define OPENCV2_PS_BLACKWHITE_HPP_#include "opencv2/core.hpp"namespace cv {class BlackWhite { public:float red; //红色的灰度系…

阿里云ubuntu系统安装mysql8.0

一、安装mysql8.0 1.已安装其他版本的mysql&#xff0c;需要删除 若没有不需要此操作 1 #卸载MySQL5.7版本 2 apt remove -y mysql-client5.7* mysql-community-server5.7* 4 # 卸载5.7的仓库信息 5 dpkg-l | grep mysql | awk iprint $2} | xargs dpkg -P2.更新仓库 apt u…

Python酷库之旅-第三方库Pandas(084)

目录 一、用法精讲 351、pandas.Series.str.isdigit方法 351-1、语法 351-2、参数 351-3、功能 351-4、返回值 351-5、说明 351-6、用法 351-6-1、数据准备 351-6-2、代码示例 351-6-3、结果输出 352、pandas.Series.str.isspace方法 352-1、语法 352-2、参数 3…

0815,析构函数,拷贝构造函数,赋值运算符函数

来自同济医院的问候 目录 01&#xff1a;对象创建 001.cc 003size.cc 02&#xff1a;对象销毁 004pointer.cc 005destroytime.cc 03&#xff1a;本类型对象的复制 3.1 拷贝构造函数 006cp.cc 007cptime.cc 008recursion.cc 009rightleft.cc 3.2 赋值运算符函数 …

平安城市/雪亮工程现状及需求分析:EasyCVR视频汇聚平台助力雪亮工程项目建设

一、背景现状 经过近几年的努力&#xff0c;平安城市雪亮工程建设取得了显著的成绩&#xff0c;完成了前端高清视频点位和高清卡口系统建设&#xff0c;建成了&#xff08;视频监控类&#xff09;、&#xff08;卡口类&#xff09;和&#xff08;应用类&#xff09;的平台。这…

BvSP_ Broad-view Soft Prompting for Few-Shot Aspect Sentiment Quad Prediction

中文题目: 英文题目: BvSP: Broad-view Soft Prompting for Few-Shot Aspect Sentiment Quad Prediction 论文地址: aclanthology.org/2024.acl-long.460.pdf 代码地址: https://github.com/byinhao/BvSP 论文级别&#xff0c; 单位: (2024 ACL long paper) 南开大学&#xff0…

Fortify三种扫描模式有什么区别?分别怎么用?

一、通过“Audit Workbench”进行测试 “Audit Workbench”支持Java语言源代码的测试。 二、通过“Scan Wizard”进行测试 “Scan Wizard”支持Java、Python、C/C、.Net、Go、PHP、Flex、Action Script、HTML、XML、JavaScript、TypeScript、Kotlin、SQL、ABAP、ColdFusion语言…

RCE编码绕过--php://filter妙用

目录 代码 如何绕过 payload构造 代码 <?php $content <?php exit; ?>; $content . $_POST[txt]; file_put_contents($_POST[filename],$content); 当你想要输入代码的时候前面会有<?php exit;?>;&#xff0c;代码没有办法执行下去&#xff0c;所以…

2024新型数字政府综合解决方案(三)

新型数字政府综合解决方案通过融合人工智能、大数据和云计算技术&#xff0c;建立了一个智能化、互联互通的政府服务平台&#xff0c;旨在提升政府服务效率与透明度。该方案通过全面数字化政务流程&#xff0c;实现数据的实时共享和自动化处理&#xff0c;使公众能够便捷地访问…

基于小土堆入门教程的pytorch训练神经网络方法实现

成果展示 在学习吴恩达机器学习和小土堆入门教程的基础上&#xff0c;完成了该实验&#xff0c;目前可以实现标准数据集的加载、网络模型的搭建及训练、数据可视化、GPU加速功能&#xff0c;是机器学习理论的初步实践 import torch import torchvision.datasets from torch i…