3

这是我需要的。

我试图编写一个应用程序来接管另一个应用程序并拦截其中发生的某些事情。这个想法是监视应用程序并在发生某些事情时采取行动。

经过一些研究,我发现来自 Ms Research 的 Detours 2.1 会对我有所帮助,但我很难找到如何使用它并将它集成到我的编程领域(即 .NET)中。

有谁知道我如何在不必挖掘 c\c++ 书籍的情况下做到这一点。

谢谢大家

4

3 回答 3

3

如果您尝试挂钩另一个 .NET 应用程序,您可以尝试.NET Hook Library

如果您谈论挂钩系统调用,那么实际上有很多可用的工具/库。签出 RCE 工具库中的“代码注入工具”。

于 2009-06-11T05:14:36.030 回答
2

在 Windows 中添加了一个 API 和一个层,以帮助为残疾用户启用桌面应用程序。我不太确定 API 的当前状态,但我很确定 .NET Framework 中存在等价物。查看此链接,看看您是否可以利用该层内置的钩子,而不是进行较低级别的系统调用。该信息表明,Windows 自动化 API 3.0 是拦截事件和操纵另一个应用程序的当前标准。

于 2009-06-11T05:07:02.710 回答
1

我推荐Deviare,我们公司的钩子引擎,钩子很简单,注入和参数解析由引擎完成。例如,这是 C# 中用于拦截 spoolsv.exe 上的 PrcStartDocPrinterW 的代码。

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using Nektra.Deviare2;

namespace PrintLogger
{
    public partial class PrintLogger : Form
    {
        private NktSpyMgr _spyMgr;
        private NktProcess _process;

        public PrintLogger()
        {
            InitializeComponent();

            _spyMgr = new NktSpyMgr();
            _spyMgr.Initialize();
            _spyMgr.OnFunctionCalled += new DNktSpyMgrEvents_OnFunctionCalledEventHandler(OnFunctionCalled);

            GetProcess("spoolsv.exe");
            if (_process == null)
            {
                MessageBox.Show("Please start \"spoolsv.exe\" before!", "Error");
                Environment.Exit(0);
            }
        }

        private void PrintLogger_Load(object sender, EventArgs e)
        {
            NktHook hook = _spyMgr.CreateHook("spoolsv.exe!PrvStartDocPrinterW", (int)(eNktHookFlags.flgRestrictAutoHookToSameExecutable & eNktHookFlags.flgOnlyPreCall));
            hook.Hook(true);
            hook.Attach(_process, true);
        }

        private bool GetProcess(string proccessName)
        {
            NktProcessesEnum enumProcess = _spyMgr.Processes();
            NktProcess tempProcess = enumProcess.First();
            while (tempProcess != null)
            {
                if (tempProcess.Name.Equals(proccessName, StringComparison.InvariantCultureIgnoreCase) && tempProcess.PlatformBits > 0 && tempProcess.PlatformBits <= IntPtr.Size * 8)
                {
                    _process = tempProcess;
                    return true;
                }
                tempProcess = enumProcess.Next();
            }

            _process = null;
            return false;
        }

        private void OnFunctionCalled(NktHook hook, NktProcess process, NktHookCallInfo hookCallInfo)
        {
            string strDocument = "Document: ";

            INktParamsEnum paramsEnum = hookCallInfo.Params();

            INktParam param = paramsEnum.First();

            param = paramsEnum.Next();

            param = paramsEnum.Next();
            if (param.PointerVal != IntPtr.Zero)
            {
                INktParamsEnum paramsEnumStruct = param.Evaluate().Fields();
                INktParam paramStruct = paramsEnumStruct.First();

                strDocument += paramStruct.ReadString();
                strDocument += "\n";
            }

            Output(strDocument);
        }

        public delegate void OutputDelegate(string strOutput);

        private void Output(string strOutput)
        {
            if (InvokeRequired)
                BeginInvoke(new OutputDelegate(Output), strOutput);
            else
                textOutput.AppendText(strOutput);
        }
    }
}

Deviare 有很多替代品,Microsoft Detours 就是其中之一。Deviare 的主要范围是非常容易地进行挂钩,并且作为一个 COM 对象,它也可以通过自动创建的互操作在 .NET 中使用。在 VBScript 或 PowerShell 等每种脚本语言上使用它也很简单。

于 2012-06-29T16:51:39.117 回答