我们要先看看微软官方的著名HOOK库:
Detours Professional 3.0
售价:US$9,999.95
功能列表:
Detours 3.0 includes the following new features over Detours 2.x:
- Support for 64-bit code on x64 and IA64 processors (Professional Edition only).
- Support for all Windows processors (Professional Edition only).
- Removed requirement for including detoured.dll in processes.
- Compatibility improvements for detouring APIs used by managed-code (MSIL) programs, especially on x64 processors.
- Addition of APIs to enumerate PE binary Imports and to determine the module referenced by a function pointer.
从上面我们可以看到 功能着实强大啊,对64位以及64相关进程甚至全部WINDOWS进程均可以HOOK,基本上可以称之为牛逼库。
实际上使用过免费版的知道,基本上Detours还能分析PE结构,导入表和导出表修改等。
本次我要介绍的是像我这种穷人屌丝才能用得起的,EASYHOOK。
我们来看看EASYHOOK的介绍:
EasyHook的口号:
EasyHook Continuing Detours
我们可以理解为它就是Detours的替代品,用于替代那些买不起昂贵微软产品的屌丝们。
OK我们再来看看它的强大:
- 首先他支持C#语言(此处已超越Detours),拥有C# Wapper
- 与Detours的收费版本一致的是,支持全部类型的进程
- 完美支持64位进程以及目标
- 已经持续更新很久,并且拥有强大的支持。
- 著名游戏引擎UNREAL在使用该系统,虽然我没注意过在哪里使用过。
- 支持托管以及非托管级别的代码调用以及HOOK
- 开放全部源码,可以学习修改,提取甚至静态编译
- 超级简单的注入远程DLL至对方进程,这点比Detours要简单的多。
- 强大的接口文档,这个写的非常详细了
- 驱动级选项,认真读文档会知道他可以选择性的使用驱动程序来提升本身的权限
- 拥有强大的API可以检测到目标进程或系统进程是否为64位
- 注入时可针对64位和32位做不同的接口
缺点是 有C++的接口,只是需要提炼和编译一下,研究成本明显略高。
官方主页:http://easyhook.codeplex.com/
时间: 2024-11-11 07:16:42