是否可以Hook到任何时间检索函数

Question

我需要挂钩任何尝试检索系统时间的函数，以便为不同的应用程序生成“时间无关”的重播。一些事件（例如伪随机数生成）取决于对 time() 的调用，但例如其他一些事件则调用 timeGetTime() 或 _time64()。

我需要挂钩（在 Windows 中）以捕获所有时间检索函数的最小函数集是什么？实际上可以挂钩这些功能吗？我试图按时完成（），但我的钩子被忽略了。我已经成功连接到其他函数（如 rand），但我的 time() 钩子似乎被忽略了。

我正在使用 Detours，但我愿意使用任何其他 API 拦截工具。

Answer 1

对于游戏“speedhacks”，通常挂钩的 3 个 API 是：

• timeGetTime()
• GetTickCount()
• QueryPerformanceCounter()

大多数这些函数返回自系统启动以来的时间或类似的时间。在你的钩子里，你需要决定你想做什么。您可以：

1. 始终返回静态时间
2. 采用“放慢”或“加快”时间的常见方法：
   • 注入 DLL 时，获取初始时间（例如 init_time）
   • 每次目标调用您的时间函数时，您都可以调用真实函数的蹦床版本，从而获得real_time
   • 您返回的值类似于 init_time + 0.5*(real_time-init_time)，例如，这会使时间减半

Answer 2

您可能想挂钩时间系统调用。呃，我不知道为什么我要这么建议。但是 kernel32.dll 中的逆向工程 GetSystemTime 将详细说明该系统调用是如何进行的。

Answer 3

您想要挂钩的最小（最好）内核 API 集是 NtQuerySystemTime 和 NtGetTickCount。建议使用内核挂钩，因为有太多用户态 api 需要挂钩，而且您永远不知道应用程序是否使用这两个函数直接访问时间数据。

当然，您应该通过调用 PsGetCurrentProcess() 并将 *(eprocess->UniqueProcessID) 与目标进程 ID 进行比较来过滤掉进程。