丢弃昂贵的Detours Professional 3.0,使用免费强大的EasyHook

我们要先看看微软官方的著名HOOK库：

Detours Professional 3.0

售价：US$9,999.95

功能列表：

Detours 3.0 includes the following new features over Detours 2.x:

• Support for 64-bit code on x64 and IA64 processors (Professional Edition only).

• Support for all Windows processors (Professional Edition only).

• Removed requirement for including detoured.dll in processes.

• Compatibility improvements for detouring APIs used by managed-code (MSIL) programs, especially on x64 processors.

• Addition of APIs to enumerate PE binary Imports and to determine the module referenced by a function pointer.

从上面我们可以看到 功能着实强大啊，对64位以及64相关进程甚至全部WINDOWS进程均可以HOOK，基本上可以称之为牛逼库。

实际上使用过免费版的知道，基本上Detours还能分析PE结构，导入表和导出表修改等。

本次我要介绍的是像我这种穷人屌丝才能用得起的，EASYHOOK。

我们来看看EASYHOOK的介绍：

EasyHook的口号：

EasyHook Continuing Detours

我们可以理解为它就是Detours的替代品，用于替代那些买不起昂贵微软产品的屌丝们。

OK我们再来看看它的强大：

• 首先他支持C#语言（此处已超越Detours），拥有C# Wapper

• 与Detours的收费版本一致的是，支持全部类型的进程

• 完美支持64位进程以及目标

• 已经持续更新很久，并且拥有强大的支持。

• 著名游戏引擎UNREAL在使用该系统，虽然我没注意过在哪里使用过。

• 支持托管以及非托管级别的代码调用以及HOOK

• 开放全部源码，可以学习修改，提取甚至静态编译

• 超级简单的注入远程DLL至对方进程，这点比Detours要简单的多。

• 强大的接口文档，这个写的非常详细了

• 驱动级选项，认真读文档会知道他可以选择性的使用驱动程序来提升本身的权限

• 拥有强大的API可以检测到目标进程或系统进程是否为64位

• 注入时可针对64位和32位做不同的接口

缺点是 有C++的接口，只是需要提炼和编译一下，研究成本明显略高。

官方主页：http://easyhook.codeplex.com/