丢弃昂贵的Detours Professional 3.0,使用免费强大的EasyHook
我们要先看看微软官方的著名HOOK库:
Detours Professional 3.0
售价:US$9,999.95
功能列表:
Detours 3.0 includes the following new features over Detours 2.x:
-
Support for 64-bit code on x64 and IA64 processors (Professional Edition only).
-
Support for all Windows processors (Professional Edition only).
-
Removed requirement for including detoured.dll in processes.
-
Compatibility improvements for detouring APIs used by managed-code (MSIL) programs, especially on x64 processors.
-
Addition of APIs to enumerate PE binary Imports and to determine the module referenced by a function pointer.
从上面我们可以看到 功能着实强大啊,对64位以及64相关进程甚至全部WINDOWS进程均可以HOOK,基本上可以称之为牛逼库。
实际上使用过免费版的知道,基本上Detours还能分析PE结构,导入表和导出表修改等。
本次我要介绍的是像我这种穷人屌丝才能用得起的,EASYHOOK。
我们来看看EASYHOOK的介绍:
EasyHook的口号:
EasyHook Continuing Detours
我们可以理解为它就是Detours的替代品,用于替代那些买不起昂贵微软产品的屌丝们。
OK我们再来看看它的强大:
-
首先他支持C#语言(此处已超越Detours),拥有C# Wapper
-
与Detours的收费版本一致的是,支持全部类型的进程
-
完美支持64位进程以及目标
-
已经持续更新很久,并且拥有强大的支持。
-
著名游戏引擎UNREAL在使用该系统,虽然我没注意过在哪里使用过。
-
支持托管以及非托管级别的代码调用以及HOOK
-
开放全部源码,可以学习修改,提取甚至静态编译
-
超级简单的注入远程DLL至对方进程,这点比Detours要简单的多。
-
强大的接口文档,这个写的非常详细了
-
驱动级选项,认真读文档会知道他可以选择性的使用驱动程序来提升本身的权限
-
拥有强大的API可以检测到目标进程或系统进程是否为64位
-
注入时可针对64位和32位做不同的接口
缺点是 有C++的接口,只是需要提炼和编译一下,研究成本明显略高。
