DetoursNT

DetourSnt는 하나의 목표를 가진 간단한 프로젝트입니다. 원래 코드를 수정하지 않고 NTDLL.DLL 에만 우회를 사용하십시오.

• 이런 식으로 기본 프로세스를 연결할 수 있기 때문입니다.
• 이런 식으로 NTDLL.DLL 로드 직후에 훅킹 라이브러리를로드 할 수 있습니다.
  • 예를 들어 소위 APC 주입을 통해 Windows 드라이버를 사용하는 등 여러 가지면에서 달성 할 수 있습니다. 내 프로젝트 DENDRV를 보고이 작업이 어떻게 수행되는지에 대한 아이디어를 얻을 수 있습니다.

이 저장소는 Microsoft의 우회를 서브 모듈로 첨부했습니다. 따라서 원래 코드는 어떤 식 으로든 닿지 않았습니다.

NTDLL /FI 종속성은 우회의 모든 편집 장치에 강제로 포함 된 C 헤더 파일 Detoursnt.h를 작성하여 달성되었습니다. 이 헤더는 KERNEL32.DLL 의 기능을 조롱합니다.

다음 프로젝트에 대한 저자에게 감사의 말씀을 전합니다.

• Reactos- KERNEL32.DLL 함수 구현에 사용됩니다
• ProcessHacker- NTDLL.DLL 함수의 프로토 타입에 사용됩니다

원래 우회 소스 코드는 git 하위 모듈로 첨부되므로 가져 오는 것을 잊지 말아야합니다.

git clone --recurse-submodules https://github.com/wbenny/DetoursNT

그 후 Visual Studio 2017을 사용하여 Detoursnt를 컴파일하십시오. 솔루션 파일이 포함되어 있습니다. 다른 종속성이 필요하지 않습니다.

Visual Studio에서 F7 치고 모든 것을 컴파일 한 후에는 SampleHookDLL.dll 실제로 NTDLL.DLL 에만 의존하는지 확인할 수 있습니다.

이 후크 DLL은 실증적 목적으로 NtTestAlert 함수 만 고정시킵니다. 이 저장소에는 Sample 프로젝트도 있습니다. 유일한 목적은 LoadLibrary(TEXT("SampleHookDLL.dll")) , NtTestAlert() 및 FreeLibrary() 호출하여 후크가 작동하고 있음을 보여주는 것입니다.

• 이 구현은 의도적으로 우회에서 발생하는 SEH 예외에서 충돌합니다. SEH 핸들러는 일반적으로 CRT (여기에서 OMPITED)에 위치하기 때문입니다.
• 지원되는 아키텍처는 X86, X64, ARM (32 비트) 및 ARM64입니다.

이 소프트웨어는 MIT 라이센스에 따라 오픈 소스입니다. 이 저장소에서 License.txt 파일을 참조하십시오.

우회는 MIT 라이센스에 따라 라이센스가 부여됩니다 (라이센스 사본은 별도의 GIT 하위 모듈에 포함되어 있음)

이 프로젝트가 흥미로워지면 커피를 살 수 있습니다.

  BTC 3GwZMNGvLCZMi7mjL8K6iyj6qGbhkVMNMF
  LTC MQn5YC7bZd4KSsaj8snSg4TetmdKDkeCYk