void * pPresent=NULL;//IDirect3DDevice9::Present函数地址指针
pPresent=(void*)*(DWORD*)(*(DWORD*)Device+0x44);//IDirect3DDevice9* Device DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach((PVOID *)&pPresent, New_Present); DWORD nErr = DetourTransactionCommit();
HRESULT __stdcall New_Present(
LPDIRECT3DDEVICE9 pDxdevice, //类的this指针
CONST RECT * pSourceRect, //此参数请参考dx sdk
CONST RECT * pDestRect, //同上
HWND hDestWindowOverride, //同上
CONST RGNDATA * pDirtyRegion //同上
)
{
__asm pushad
static float lastTime = (float)timeGetTime();
float currTime = (float)timeGetTime();
float timeDelta = (currTime - lastTime)*0.001f;
Device->BeginScene();
Device->Clear(0, NULL, D3DCLEAR_TARGET,D3DCOLOR_XRGB(0,0,0), 1.0f, 0);
fps.CalcFPS(timeDelta);
fps.Show();
Device->EndScene();
__asm popad
__asm
{
push pDirtyRegion
push hDestWindowOverride
push pDestRect
push pSourceRect
push pDxdevice
call pPresent
}
lastTime = currTime;
}
另一种方式,采用__declspec(naked)方式,注意的是这种方式不需要编译器添加任何汇编代码,在标明naked的函数中是不可以使用任何赋值,所以把它单独提出来:还要注意子函数New_Present_Sub最好用__stdcall,这样不用考虑堆栈平衡
void __stdcall New_Present_Sub( LPDIRECT3DDEVICE9 pDxdevice)
{
if (pDxdevice)
{
static BOOL bInitFps = FALSE;
if (!bInitFps)
{
bInitFps = g_fps.Create(pDxdevice);
MyOutputDebugString("tpfps-[New_Present] g_fps.Create");
}
if (bInitFps)
{
static DWORD lastTime = timeGetTime();
DWORD currTime = timeGetTime();
DWORD timeDelta = (currTime - lastTime);
pDxdevice->BeginScene();
g_fps.CalcFPS(timeDelta);//传入的是毫秒
switch (g_nOpe)
{
case SHOW_FPS:
{
g_fps.Show();
}
break;
case RECODE_FPS:
{
g_fps.RecordShow(pDxdevice, g_bAutoRecord, g_nAutoRecordTime);
if (g_fps.bAutoRecordExit())
{
MyOutputDebugString("[New_Present]bAutoRecordExit");
g_nOpe = UNRECODE_FPS;
}
}
break;
case UNRECODE_FPS:
{
g_fps.EndRecord(pDxdevice);
g_nOpe = SHOW_FPS;
}
break;
default:
break;
}
pDxdevice->EndScene();
lastTime = currTime;
}
}
}
__declspec(naked) HRESULT __stdcall New_Present(
LPDIRECT3DDEVICE9 pDxdevice, //类的this指针
CONST RECT * pSourceRect, //此参数请参考dx sdk
CONST RECT * pDestRect, //同上
HWND hDestWindowOverride, //同上
CONST RGNDATA * pDirtyRegion //同上
)
{
__asm// 必不可少的,把ebp代码去掉或pushad去掉,都会程序OVER
{
push ebp
mov ebp, esp
pushad
pushfd
}
__asm
{
mov esi, pDxdevice
push esi
mov eax, New_Present_Sub
call eax
}
__asm
{
popfd
popad
mov esp, ebp
pop ebp
jmp g_pPresent
}
}
Hook类成员函数:
术语说明:
原函数:被hook的target
hook函数:指自己写的函数,也即让原函数jmp到该函数
原因分析:
用detours hook类成员函数,因为成员函数会有一个this指针,如果在hook函数中调用原函数,没有传入this指针,那么原函数的调用将会出错。
解决方法是:
1. 首先在ollydbg中找到这个this指针。其实也就是那个类的对象地址,一般来说,在ollydbg中调用原函数时,也即在call原函数之前,总会有一条指令mov ecx,xxx或者lea ecx,xxx,那个ecx就是我们要找的this指针!
2. 在hook函数调用原函数时使用内联汇编代码调用,push所有的参数之后,然后初始化ecx为this指针的值!然后在call原函数,这样call原函数就不会出现崩溃。
需要注意的地方:
1. 注意原函数是否能自动平衡堆栈,如不行,则需要在hook函数中自己手动平衡堆栈
2. hook函数返回时,必须是手动编写汇编返回(ret),不要让系统帮忙返回!在带有参数的hook例子中,系统帮忙放回必定出错!
3. ret后面的值与传入hook函数的参数有关,一般来说,该值=4*参数个数
或者如上面:代替的函数原型第一个参数加this即可。