如何使用 DetourAttach() 指向十六进制函数的指针？

Posted 2023-02-22

【中文标题】如何使用 DetourAttach() 指向十六进制函数的指针？

【英文标题】：How to use DetourAttach() for a pointer to a function in hex?

【发布时间】：2013-06-07 09:55:04

【问题描述】：

我正在尝试使用 detour 库制作教程。

在较早版本的 detour 库 v1.5 中，函数 DetourFunction 用于定义地址，因此 DLL 知道在哪里查找函数。

例如可以这样使用：

         InsertDateTime = (int (__stdcall*)(int))DetourFunction((PBYTE)0x01006F10,       (PBYTE)MyInsertDateTime)

见http://www.moddb.com/groups/ibepex/tutorials/function-hooking

但在较新的版本中，该功能已更改为

     LONG DetourAttach(
        PVOID * ppPointer,
        PVOID pDetour
     );

其中 ppPointer 是指向要附加绕行的目标指针的指针。

现在，由于我知道目标函数的十六进制格式地址 0x01006F10，我想以某种方式将其用作 ppPointer 的参数。我试着写：

               InsertDateTime = (int (__stdcall*)(int))DetourAttach((PVOID*)0x01006F10, MyInsertDateTime);

它编译得很好，但是我的程序并没有像我想象的那样工作。似乎程序永远不会从该地址捕获函数。

所以基本上我的问题是，我是否正确使用了指向十六进制地址的指针，其次，我在使用 DetourAttach() 的方式上是否存在一些基本错误？

【问题讨论】：

我强烈推荐使用 EasyHook...easyhook.codeplex.com

【参考方案1】：

您错误地使用了DetourAttach。在您的情况下，正确的用法是：

int(__stdcall* InsertDateTime)(int) = (int(__stdcall*)(int))(0x01006F10);

LONG errorCode = DetourAttach((PVOID*)(&InsertDateTime), (PVOID)MyInsertDateTime);
if(!errorCode) 
    //Detour successful

请注意，在存在 ASLR 等技术的情况下；您应该使用GetProcAddress 之类的东西在运行时检索函数的地址，否则您可能会导致损坏或崩溃。

【讨论】：

首先，好答案！所以你写的第一行是指向起始地址为 0x01006F10 的函数的指针。我试图这样做，但是当我使用该地址激活该功能时仍然没有任何反应。我使用 Winject 将 DLL 注入到进程中。现在我尝试在其中注入钩子函数的过程是记事本 32 位。是否有可能使用 ASLR 以使我在 IDA Pro 中找到的函数地址无效？