DetoursNT

Detoursnt是一個具有一個目標的簡單項目 - 使彎路僅取決於NTDLL.DLL ，而無需對原始代碼進行任何修改。

• 因為這樣，您可以連接本地過程。
• 因為這樣您可以在NTDLL.DLL加載後立即加載掛鉤庫
  • 這可以在許多方面實現 - 例如，通過所謂的APC注入使用Windows驅動程序。您可以查看我的項目INDDRV，以了解這是如何完成的。

該存儲庫已將Microsoft的原始GIT存儲庫作為subsodule。因此，原始代碼尚未以任何方式觸摸。

通過創建一個已強制（ /FI開關）到每個編譯單元中的c頭文件detoursnt.h來實現僅ntdll依賴性。該標頭模擬KERNEL32.DLL的函數，以在detoursnt.cpp中定義的自定義實現。

我要感謝以下項目的作者：

• ReactOS-用於實現KERNEL32.DLL函數
• ProcessHacker-用於NTDLL.DLL函數的原型

由於原始彎路源代碼是作為git subsodule附加的，因此您必須忘記獲取它：

git clone --recurse-submodules https://github.com/wbenny/DetoursNT

之後，使用Visual Studio 2017編譯Detoursnt 。包括解決方案文件。無需其他依賴。

在Visual Studio中擊中F7並進行所有內容進行編譯後，您可以檢查SampleHookDLL.dll的確僅取決於NTDLL.DLL ：

此掛鉤DLL僅用於指示目的的NtTestAlert函數。在此存儲庫中，還有Sample項目。唯一的目的是調用LoadLibrary(TEXT("SampleHookDLL.dll")) ， NtTestAlert()和FreeLibrary()以向您表明鉤子是否在起作用。

• 該實現故意崩潰在繞行中發生的SEH例外情況。這是因為SEH處理程序通常位於CRT中（這裡是在此處使用的）。
• 支持的體系結構為：X86，X64，ARM（32位）和ARM64。

該軟件是根據MIT許可證開源的。請參閱此存儲庫中的許可證文件。

Detours已根據MIT許可獲得許可（許可證的副本包含在單獨的GIT子模塊中）

如果您覺得這個項目很有趣，可以給我買咖啡

  BTC 3GwZMNGvLCZMi7mjL8K6iyj6qGbhkVMNMF
  LTC MQn5YC7bZd4KSsaj8snSg4TetmdKDkeCYk