Detours Hook

Detours Hook

Detours是微软开发的一个函数库，主要用于动态Hook运行中的程序，其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。

在游戏或外挂分析中，可以利用Detours库提供的接口来动态Hook任意地址，截获函数调用并输出打印信息。

Detours Hook的3个关键概念

要理解Detours Hook，必须先理解Detours中的3个关键概念。

ØTarget函数：即要Hook的目标函数或目标地址。

ØTrampoline函数：即跳板函数，主要负责保存原始Target函数头的若条指令，并加上一个跳转指令以保持对原始Target函数调用的语义完整性。

ØDetour函数：即截获Target函数的调用之后，所要执行的自定义函数。

在Detours Hook中，生成Trampoline函数与Target函数之间的关系如图6-10所示。

图6-10Trampoline函数与Target函数的关系

从图6-10中可以看出，Trampoline函数是由Target函数头加jmp指令组成的。

Target函数、Detour函数以及Trampoline函数之间的关系如图6-11所示。

图6-11Target函数、Detour函数和Trampoline函数间关系

从图6-11中可知，一旦Target函数被执行，程序将按照1→2→3，即Traget→Detour→Trampoline的顺序执行，最后再回到Target函数的执行过程。

Detours Hook引擎

Detours Hook引擎采用上面介绍的Detours Hook机制，经过精心的设计，使这个Hook引擎支持动态Hook几乎任意地址，以方便管理，而不用为了Hook一个地址去增加代码以及重新编译代码（注意：这里的“任意地址”在可以被修改的地址区域内）。

首先还是让我们看看如图6-12所示的这个引擎的概要设计，然后再详细介绍一下每一块的具体内容。

图6-12Detours Hook引擎概要设计

如图6-12所示的Detours Hook引擎，从涉及的内存结构上看，主要由4个块组成，分别是JMP块、HOOK_INFO块、Trampoline块和HKC块，而从处理函数上看，主要由DispatchHook和ProcessHook组成。

具体细节见<<游戏外挂攻防艺术>>6.4节。

电子工业出版社出版