13.4 DirectX内部劫持绘制

相对于外部绘图技术的不稳定性,内部绘制则显得更加流程与稳定,在Dx9环境中,函数EndScene是在绘制3D场景后,用于完成将最终的图像渲染到屏幕的一系列操作的函数。它会将缓冲区中的图像清空,设置视口和其他渲染状态,执行顶点和像素着色器,最后在后台缓冲区中生成一张完整的渲染图像,然后将其呈现到屏幕上,完成一次绘制操作。

EndSceneIDirect3DDevice943个函数,我们通过对该函数进行挂钩,并将该函数绘制之前的流程劫持到自身进程内的MyEndScene函数内做图形的增加工作,当我们增加好所需功能后再将该函数指向原来的函数入口,此时EndScene函数再次渲染则会出现我们所新增的功能,利用这种方式即可实现屏幕图形绘制效果,至于笔者是如何确定该函数是第43个的,读者可以在IDirect3DDevice9上面右键查看定义,至此即可看到函数所在位置;

13.4.1 封装Hook劫持功能

首先要实现劫持需要封装钩子函数,如下代码片段则是一个简单通用的钩子结构体的封装,该结构体在此处其实是当作类来使用了,其中读者只需要调用JmpCode()函数则可自动将需要跳转的内存地址与JMP指令相结合,当有了跳转指令的机器码后,则我们只需要通过VirtualProtect设置内存属性为可写,并通过调用memcpy函数即可实现对特定内存的地址替换功能,如下代码中hook()函数用于挂钩,unhook()函数则用于摘除,代码比较通用读者可应用于任何一个领域。

// ---------------------------------------------------------------------------------
// 挂钩摘钩结构体
// ---------------------------------------------------------------------------------#pragma pack(push)
#pragma pack(1)
#ifndef _WIN64
struct JmpCode
{
private:const BYTE jmp;DWORD address;public:JmpCode(DWORD srcAddr, DWORD dstAddr) : jmp(0xE9){setAddress(srcAddr, dstAddr);}void setAddress(DWORD srcAddr, DWORD dstAddr){address = dstAddr - srcAddr - sizeof(JmpCode);}
};
#else
struct JmpCode
{
private:BYTE jmp[6];uintptr_t address;public:JmpCode(uintptr_t srcAddr, uintptr_t dstAddr){static const BYTE JMP[] = { 0xFF, 0x25, 0x00, 0x00, 0x00, 0x00 };memcpy(jmp, JMP, sizeof(jmp));setAddress(srcAddr, dstAddr);}void setAddress(uintptr_t srcAddr, uintptr_t dstAddr){address = dstAddr;}
};
#endif
#pragma pack(pop)// ---------------------------------------------------------------------------------
// Hook挂钩与摘够函数
// ---------------------------------------------------------------------------------// 开始Hook
int hook(void* originalFunction, void* hookFunction, BYTE* oldCode)
{JmpCode code((uintptr_t)originalFunction, (uintptr_t)hookFunction);DWORD oldProtect, oldProtect2;// 设置内存保护方式为可读写if (VirtualProtect(originalFunction, sizeof(code), PAGE_EXECUTE_READWRITE, &oldProtect)){memcpy(oldCode, originalFunction, sizeof(code));memcpy(originalFunction, &code, sizeof(code));// 恢复内存保护方式if (VirtualProtect(originalFunction, sizeof(code), oldProtect, &oldProtect2)){return 1;}}return 0;
}// 取消Hook
int unhook(void* originalFunction, BYTE* oldCode)
{DWORD oldProtect, oldProtect2;// 设置保护方式为可读写if (VirtualProtect(originalFunction, sizeof(JmpCode), PAGE_EXECUTE_READWRITE, &oldProtect)){memcpy(originalFunction, oldCode, sizeof(JmpCode));// 恢复内存保护方式if (VirtualProtect(originalFunction, sizeof(JmpCode), oldProtect, &oldProtect2)){return 1;}}return 0;
}

13.4.2 定制MyEndScene

接着就是自定义绘图部分,此处第一个DrawBox绘图函数我们仅仅提供一个方框的绘制,如果需要更多绘制技巧读者可自行尝试实现,这里我们重点看一下MyEndScene函数,该函数是我们的自定义函数,当进程绘图函数被挂钩后,所有调用原函数的请求都会被路由到此函数内,进入此函数内首先通过g_font == NULL判断函数是不是第一次被调用如果是第一次被调用则对当前模块的字体绘制设备等进行初始化,而如果不是第一次绘制则自动流转到else片段内,此块区域内则是我们自己自由发挥的位置,如下代码中我们仅仅是绘制了一段话,并绘制出了两个方框,并没有做其他功能扩展。

void* endSceneAddr = NULL;
BYTE endSceneOldCode[sizeof(JmpCode)];ID3DXFont* g_font = NULL;
ID3DXLine* d3dLine = NULL;// ---------------------------------------------------------------------------------
// 绘图函数
// ---------------------------------------------------------------------------------// 绘制方框
void DrawBox(float x, float y, float width, float height, float w, D3DCOLOR color)
{D3DXVECTOR2 points[5];points[0] = D3DXVECTOR2(x, y);points[1] = D3DXVECTOR2(x + width, y);points[2] = D3DXVECTOR2(x + width, y + height);points[3] = D3DXVECTOR2(x, y + height);points[4] = D3DXVECTOR2(x, y);d3dLine->SetWidth(w);d3dLine->Draw(points, 5, color);
}// ---------------------------------------------------------------------------------
// Hook处理函数
// ---------------------------------------------------------------------------------// 该函数是劫持后的转向函数,这里面可以增加功能
HRESULT STDMETHODCALLTYPE MyEndScene(IDirect3DDevice9* thiz)
{// 如果是第一次则初始化绘图库if (g_font == NULL){// 初始化字体D3DXCreateFontA(thiz, 12, 0, FW_HEAVY, 1, 0, DEFAULT_CHARSET, OUT_DEFAULT_PRECIS, ANTIALIASED_QUALITY, DEFAULT_PITCH | FF_DONTCARE, "宋体", &g_font);// 线条初始化线条D3DXCreateLine(thiz, &d3dLine);// 临时摘除钩子unhook(endSceneAddr, endSceneOldCode);// 设置绘图设备HRESULT hr = thiz->EndScene();// 继续挂钩hook(endSceneAddr, MyEndScene, endSceneOldCode);return hr;}// 不是第一次则直接绘图else{// 自定义绘制流程// ---------------------------------------------------------------static RECT rect = { 0, 0, 200, 200 };// 屏幕写字g_font->DrawText(NULL, L"Inject D3D hook Success ...", -1, &rect, DT_TOP | DT_LEFT, D3DCOLOR_XRGB(255, 0, 0));// 屏幕绘制方框DrawBox(25, 30, 60, 120, 2, D3DCOLOR_XRGB(255, 0, 255));DrawBox(45, 60, 35, 70, 2, D3DCOLOR_XRGB(255, 69, 0));// ---------------------------------------------------------------// 恢复钩子unhook(endSceneAddr, endSceneOldCode);// 执行原函数HRESULT hr = thiz->EndScene();// 挂钩hook(endSceneAddr, MyEndScene, endSceneOldCode);return hr;}
}

13.4.3 初始化与绘制图形

继续向下则是initHookThread函数,该函数内我们自行创建了一个具有空类名的隐藏窗口,并通过调用Direct3DCreate9实现了对Dx9引擎的初始化,通过调用(*(void***)device)[42]的方式我们即可获取到当前内存中endSceneAddr的原始地址,有了这个地址则直接对其进行Hook替换,此时当有新的请求访问该函数时则会自动路由到MyEndSceneAddr函数内。

// 初始化Hook线程
DWORD WINAPI initHookThread(LPVOID dllMainThread)
{WaitForSingleObject(dllMainThread, INFINITE);CloseHandle(dllMainThread);WNDCLASSEX wc = {};wc.cbSize = sizeof(wc);wc.style = CS_OWNDC;wc.hInstance = GetModuleHandle(NULL);wc.lpfnWndProc = DefWindowProc;wc.lpszClassName = _T("LySharkWindow");// 注册窗口类if (RegisterClassEx(&wc) == 0){return 0;}// 创建窗口HWND hwnd = CreateWindowEx(0, wc.lpszClassName, _T(""), WS_OVERLAPPEDWINDOW, 0, 0, 640, 480, NULL, NULL, wc.hInstance, NULL);if (hwnd == NULL){return 0;}// 初始化D3DIDirect3D9* d3d9 = Direct3DCreate9(D3D_SDK_VERSION);if (d3d9 == NULL){DestroyWindow(hwnd);return 0;}D3DPRESENT_PARAMETERS pp = {};pp.Windowed = TRUE;pp.SwapEffect = D3DSWAPEFFECT_COPY;// 创建设备IDirect3DDevice9* device;if (FAILED(d3d9->CreateDevice(D3DADAPTER_DEFAULT, D3DDEVTYPE_HAL, hwnd, D3DCREATE_SOFTWARE_VERTEXPROCESSING, &pp, &device))){d3d9->Release();DestroyWindow(hwnd);return 0;}// 开始劫持 EndScene// EndScene是IDirect3DDevice9第43个函数endSceneAddr = (*(void***)device)[42];// 开始挂钩hook(endSceneAddr, MyEndScene, endSceneOldCode);// 释放d3d9->Release();device->Release();DestroyWindow(hwnd);return 0;
}

有了上述代码基础,接着读者只需要增加一个DLL头,在入口处通过DuplicateHandle得到当前线程的线程ID,并调用CreateThread创建新线程,此时劫持也就正式生效了。

// dll入口
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:HANDLE curThread;// 获取当前线程IDif (!DuplicateHandle(GetCurrentProcess(), GetCurrentThread(), GetCurrentProcess(), &curThread, SYNCHRONIZE, FALSE, 0)){return FALSE;}// DllMain中不能使用COM组件 所以要在另一个线程初始化CloseHandle(CreateThread(NULL, 0, initHookThread, curThread, 0, NULL));break;case DLL_PROCESS_DETACH:if (endSceneAddr != NULL){unhook(endSceneAddr, endSceneOldCode);}break;}return TRUE;
}

至此,读者可使用任意一款注入软件将编译好的hook.dll文件注入到目标进程内,此时会发现窗体上新增加了一行文字和两个方框,至此绘制实现;

本文作者: 王瑞
本文链接: https://www.lyshark.com/post/ca456002.html
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/118455.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

clip-path图片裁剪

clip-path图片裁剪

CSS clip-path 属性 属性定义及使用说明 clip-path 属性使用裁剪方式创建元素的可显示区域。区域内的部分显示,区域外的隐藏。可以指定一些特定形状。 CSS3 剪贴路径(Clip-path)在线生成器 | 踏得网 语法:clip: clip-source|basi…
阅读更多...
《 汇编语言的系统学习》一、编程语言、机器语言与汇编语言

《 汇编语言的系统学习》一、编程语言、机器语言与汇编语言

目录 《 汇编语言的系统学习》1、编程语言1.1 语言1.2 程序 2 编程语言分类2.1 机器语言2.2 汇编语言2.3 高级程序语言2.3.1 编译型2.3.1 解释型 《 汇编语言的系统学习》 1、编程语言 1.1 语言 定义:一种系统的,人与人之间通过声音、符号等进行交流的…
阅读更多...
CUDA学习笔记(十五)Stream and Event

CUDA学习笔记(十五)Stream and Event

Stream 一般来说,cuda c并行性表现在下面两个层面上: Kernel levelGrid level 到目前为止,我们讨论的一直是kernel level的,也就是一个kernel或者一个task由许多thread并行的执行在GPU上。Stream的概念是相对于后者来说的&…
阅读更多...
JavaScript对象与原型

JavaScript对象与原型

目录 对象的创建 原型与原型链 原型继承 总结 在JavaScript中,对象是非常重要的概念之一。它们允许我们以一种结构化的方式存储和组织数据,并提供了一种方便的方式来操作和访问这些数据。而对象的行为和属性则通过原型来定义。 对象的创建 在JavaS…
阅读更多...
解决:vscode和jupyter远程连接无法创建、删除文件的问题(permission denied)

解决:vscode和jupyter远程连接无法创建、删除文件的问题(permission denied)

目录 问题:vscode和jupyter远程连接服务器无法创建、删除文件的问题原因:代码文件的权限不够解决方法:1.ls -l查看目录所在组,权限2.chown修改拥有者和所在组 问题:vscode和jupyter远程连接服务器无法创建、删除文件的…
阅读更多...
vueDay04——v-if else show

vueDay04——v-if else show

一、v-if的使用 我们可以像c语言一样去使用v-if结构 比如单用v-if&#xff0c;连用v-if v-else&#xff0c;或者是v-if v-else-if v-else 注意&#xff1a; 1.v-if v-else-if需要绑定值,而v-else不需要绑定值 2.if结构可以用在不同的标签类型之间 <div v-if"fir…
阅读更多...
整理指定文件夹下的所有文件,以类树状图显示并生成对应超链接

整理指定文件夹下的所有文件,以类树状图显示并生成对应超链接

最近在整理家里学习资料的时候&#xff0c;由于年代久远&#xff0c;找不到我想要找的文件&#xff0c;windows文件搜索速度感觉太慢。于是想要生成一份类似文件索引的东西来显示所有资料&#xff0c;让我可以快速的找到需要的资料路径 直接上代码 import os import datetim…
阅读更多...
软件兼容性测试对软件产品起到什么作用?CMA、CNAS软件测评中心分享

软件兼容性测试对软件产品起到什么作用?CMA、CNAS软件测评中心分享

软件兼容性测试是指检查软件之间能否正确地进行交互和共享信息。随着用户对来自各种类型软件之间共享数据能力和充分利用空间同时执行多个程序能力的要求&#xff0c;测试软件之间能否协作变得越来越重要。软件兼容性测试工作的目标是保证软件按照用户期望的方式进行交互。 1、…
阅读更多...
各品牌PLC存储器寻址的规则

各品牌PLC存储器寻址的规则

在PLC编程时&#xff0c;字节或多字节的变量一般支持绝对地址寻址&#xff08;比如&#xff0c;IW0、MD4等&#xff09;。要想正确寻址&#xff0c;则必须要搞清楚寻址的规则。目前常见的规则有两种&#xff1a;字节寻址和字寻址。下图清晰地表达了两种规则的编号情况&#xff…
阅读更多...
MySQL---JDBC编程

MySQL---JDBC编程

文章目录 什么是JDBC&#xff1f;JDBC的工作原理JDBC的使用添加依赖创建数据源DataSource创建数据库连接Connection创建操作命令Statement执行SQL指令释放资源 通过JDBC演示CRUD新增查询修改删除 什么是JDBC&#xff1f; JDBC&#xff1a;Java Database Connectivity&#xff…
阅读更多...
Docker从入门到实战

Docker从入门到实战

Docker基本概念 1、解决的问题 1、统一标准 应用构建 ○ Java、C、JavaScript ○ 打成软件包 ○ .exe ○ docker build … 镜像应用分享 ○ 所有软件的镜像放到一个指定地方 docker hub ○ 安卓&#xff0c;应用市场应用运行 ○ 统一标准的 镜像 ○ docker run 容器化技术 …
阅读更多...
小插曲 -- 使用Visual Studio Code远程连接香橙派

小插曲 -- 使用Visual Studio Code远程连接香橙派

在之前的学习中&#xff0c;代码的修改和保存都依赖于“vi”指令&#xff0c;而不得不承认vi指令的编辑界面非常原始&#xff0c;所以&#xff0c;如果可以将代码编辑放到更友好的环境里进行无疑是一件大快人心的事情。 本节介绍如何通过Visual Studio Code来进行远程连接: Vi…
阅读更多...
[SpringCloud] Eureka 与 Ribbon 简介

[SpringCloud] Eureka 与 Ribbon 简介

目录 一、服务拆分 1、案例一&#xff1a;多端口微服务 2、案例二&#xff1a;服务远程调用 二、Eureka 1、Eureka 原理分析 2、Eureka 服务搭建&#xff08;注册 eureka 服务&#xff09; 3、Eureka 服务注册&#xff08;注册其他服务&#xff09; 4、Eureka 服务发现…
阅读更多...
Flask 上传文件,requests通过接口上传文件

Flask 上传文件,requests通过接口上传文件

这是一个使用 Flask 框架实现文件上传功能的示例代码。该代码定义了两个路由&#xff1a; /upload&#xff1a;处理文件上传请求。在该路由中&#xff0c;我们首先从请求中获取上传的文件&#xff0c;然后将文件保存到本地磁盘上&#xff0c;并返回一个字符串表示上传成功。 /…
阅读更多...
模仿企业微信界面

模仿企业微信界面

备注&#xff1a;未实现相关功能&#xff0c;仅模仿界面&#xff0c;不能作为商业用途&#xff0c;若有侵权&#xff0c;请联系删除。 <Window x:Class"模仿企业微信界面.MainWindow"xmlns"http://schemas.microsoft.com/winfx/2006/xaml/presentation"…
阅读更多...
xcode The document “...“ could not be saved

xcode The document “...“ could not be saved

Today when I tried to save a file on my project I get an error message saying: The document “nameOfFile.m” could not be saved. I tried reinstalling xcode but no luck. The file can be edited with other editors and I see the same behavior on all my project…
阅读更多...
【Python数据挖掘 基础篇】Python数据挖掘是个啥?

【Python数据挖掘 基础篇】Python数据挖掘是个啥?

作者&#xff1a;Insist-- 个人主页&#xff1a;insist--个人主页 梦想从未散场&#xff0c;传奇永不落幕&#xff0c;博主会持续更新优质网络知识、Python知识、Linux知识以及各种小技巧&#xff0c;愿你我共同在CSDN进步 目录 一、了解数据挖掘 1. 数据挖掘是什么&#xff…
阅读更多...
局域网内无法连接时间源?使用Chrony服务搭建时间源

局域网内无法连接时间源?使用Chrony服务搭建时间源

1.安装chrony yum install -y chrony2.启动和设置配置文件 systemctl start chronyd3.设置为系统自动启动 systemctl enable chronyd以上服务器都需要安装 4.服务器192.168.1.63配置&#xff1a; 打开配置文件 /etc/chrony.conf 配置 allow 192.168.0.0/24 systemct…
阅读更多...
Python---for循环中的两大关键字break和continue

Python---for循环中的两大关键字break和continue

之前在while循环中&#xff0c;也是用到两个关键字。 相关链接&#xff1a; 所以&#xff0c;在循环结构中都存在两个关键字&#xff1a;break和continue break&#xff1a;主要功能是终止整个循环 break&#xff1a;代表终止整个循环结构 continue&#xff1a;代表中止当…
阅读更多...
ModbusTCP 转 Profinet 主站网关在博图配置案例

ModbusTCP 转 Profinet 主站网关在博图配置案例

兴达易控ModbusTCP转Profinet网关&#xff0c;在 Profinet 侧做为 Profinet 主站控制器&#xff0c;接 Profinet 设备&#xff0c;如伺服驱动器&#xff1b;兴达易控ModbusTCP 和 Profinet网关在 ModbusTCP 侧做为 ModbusTCP 从站&#xff0c;接 PLC、上位机、wincc 屏等。 拓…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023