您现在的位置: 天下网吧 >> 网吧天地 >> 天下码农 >> 后端开发 >> PHP >> 正文

Delphi中API Hook 探秘

2010-3-10论坛收集未知
编程调试通过。无论是商用还是个人使用,你都可以随意使用和修改本文中的程序,并且不需要在程序中加注我的个人信息。


二、用Delphi 编写API Hook


1.改写API 函数
为了使我们改写的代码正确运行,我们的函数必须和要改写的API 函数具有同样形式的形参。在我的程序中,我拦截了MessageBoxA 和MessageBoxW 两个函数。所以我这样定义自己的函数:function MyBoxA(hwn:hwnd;lptext:pchar;lpcapion:pchar;utype:cardinal):integer;stdcall;function MyBoxW(hwn:hwnd;lptext:pchar;lpcapion:pchar;utype:cardinal):integer;stdcall;注意到我使用了stdcall 关键字,这是为了我的函数的形参的进出栈顺序与我们要拦截的函数一致。我们知道,为了系统的安全,Win32 并不允许直接改写内存中的代码段。所以,有人想了好多种方法绕过系统的保护。实际上,Win32 为了我们能安全地改写内存中的代码,提供了一个函数:WriteProcesSMemory。有许多人曾经告诉我,WriteProcesSMemory 也不能用来改写,不过我一直使用得很好。也许用它产生了一些BUG,只是我并不知道罢了,所以还请这方面的专家指正。在PE文件中,当你呼叫另一模块中的函数(例如USER32.DLL中的GetMessage),编译器编译出来的CALL指令并不会把控制权直接传给DLL 中的函数,而是传给一个JMP DWORDPTR [XXXXXXXX]指令,[XXXXXXXX]内含该函数的真正地址(函数进入点)。为了得到A P I 函数的地址,我们可以这样:Address:=@MessageBoxA。如上文所说的,我们得到的仅仅是一个跳转指令,后面紧接着的才是MessageBoxA真正的开始代码的地址(具体可以查阅PE 文件的资料)。在下面的程序中我自定义了一个结构(叫记录?我习惯了,改不过口来),注意,这里使用了packed 关键字:
TImportCode = packed record
JumpInstruction : Word; // 应该是$25FF,JUMP 指令
AddressOfPointerToFunction: PPointer;// 真正的开始地址
end;
PImportCode = ^TImportCode;
其中,PPointer = ^Pointer ;
用以下函数返回函数的真正地址:
function TrueFunctionAddress(func: Poin

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛 https://bbs.txwb.com

关注天下网吧微信/下载天下网吧APP/天下网吧小程序,一起来超精彩

本文来源:论坛收集 作者:未知

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系邮箱:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧 网吧天下