Перехват API функции в Delphi 7 - Вирусология - Delphi - Каталог статей - Программирование, взгляд из Delphi

Четверг, 21.11.2024, 17:29 Приветствую вас Гость | Группа "Гости"

Меню сайта
	Главная Файлы Статьи Форум Гостевая Инфо о сайте Галерея

Категории раздела

Вирусология [40]

Статьи о вирусах

Системные [1]

Работа с системой

Примеры [45]

Приёмы, функции, процедуры

Ceти [1]

Работа с интернет

Шуточные программы [5]

Пишем шуточные программки

Остальное [6]

Всё что не вошло

Популярные статьи

Работа с EXCEL

[0]

Скачиваем и запускаем файл из инета средствами Delphi

[0]

Система удаленного администрирования на Delphi #2 (эксплоит, exploit)

[0]

Исходник хука на Delphi

[0]

Защита приложения средствами Delphi

[0]

Делаем многострочный Caption у Button

[0]

[0]

Недавние темы

Антивирусы [Kneeniacorn]

[22]

Сканеры без отправки файла разработчикам АВ [wellnemo7]

[25]

Какой антивирус лучше? [E7Forum]

[20]

как в Delphi сделать перехват любых ошибок [koma_yyy]

[2]

Обмен банерами и ссылками [mr_dollar24]

[7]

Посоветуйте антивирус [vpsdedic]

[8]

стереть текст в Label при помощи Сheckbox [faNtOm]

[1]

Опрос
	Что больше всего пишете? Полезные программы Вирусы Трояны Ничего серьёзного не пишу Пока учусь Результаты \| Архив опросов Всего ответов: 409

Главная » Статьи » Delphi » Вирусология

Перехват API функции в Delphi 7

library ApiHk; uses TLHelp32, windows; type fr_jmp = packed record PuhsOp: byte; PushArg: pointer; RetOp: byte; end; OldCode = packed record One: dword; two: word; end; var AdrCreateProcessA: pointer; OldCrp: OldCode; JmpCrProcA: fr_jmp; Function OpenThread(dwDesiredAccess: dword; bInheritHandle: bool; dwThreadId: dword):dword; stdcall; external 'kernel32.dll'; Procedure StopThreads; var h, CurrTh, ThrHandle, CurrPr: dword; Thread: TThreadEntry32; begin CurrTh := GetCurrentThreadId; CurrPr := GetCurrentProcessId; h := CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); if h <> INVALID_HANDLE_VALUE then begin Thread.dwSize := SizeOf(TThreadEntry32); if Thread32First(h, Thread) then repeat if (Thread.th32ThreadID <> CurrTh) and (Thread.th32OwnerProcessID = CurrPr) then begin ThrHandle := OpenThread(THREAD_SUSPEND_RESUME, false, Thread.th32ThreadID); if ThrHandle>0 then begin SuspendThread(ThrHandle); CloseHandle(ThrHandle); end; end; until not Thread32Next(h, Thread); CloseHandle(h); end; end; Procedure RunThreads; var h, CurrTh, ThrHandle, CurrPr: dword; Thread: TThreadEntry32; begin CurrTh := GetCurrentThreadId; CurrPr := GetCurrentProcessId; h := CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); if h <> INVALID_HANDLE_VALUE then begin Thread.dwSize := SizeOf(TThreadEntry32); if Thread32First(h, Thread) then repeat if (Thread.th32ThreadID <> CurrTh) and (Thread.th32OwnerProcessID = CurrPr) then begin ThrHandle := OpenThread(THREAD_SUSPEND_RESUME, false, Thread.th32ThreadID); if ThrHandle>0 then begin ResumeThread(ThrHandle); CloseHandle(ThrHandle); end; end; until not Thread32Next(h, Thread); CloseHandle(h); end; end; function TrueCreateProcessA(lpApplicationName: PChar; lpCommandLine: PChar; lpProcessAttributes, lpThreadAttributes: PSecurityAttributes; bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer; lpCurrentDirectory: PChar; const l pStartupInfo: TStartupInfo; var lpProcessInformation: TProcessInformation): BOOL; begin //снятие перехвата WriteProcessMemory(CurrProc, AdrCreateProcessA, @OldCrp, SizeOf(OldCode), Writen); //вызов функции result := CreateProcess(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags or CREATE_SUSPENDED, lpEnvironment, nil, lpStartupInfo, lpProcessInformation); //установка перехвата WriteProcessMemory(CurrProc, AdrCreateProcessA, @JmpCrProcA, SizeOf(far_jmp), Writen); end; function NewCreateProcessA(lpApplicationName: PChar; lpCommandLine: PChar; lpProcessAttributes, lpThreadAttributes: PSecurityAttributes; bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer; lpCurrentDirectory: PChar; const lpStartupInfo: TStartupInfo; var lpProcessInformation: TProcessInformation): BOOL; stdcall; begin /////////////////////////////////////// ///обработчик CreateProcessA/// ////////////////////////////////////// end; Procedure SetHook; var HKernel32, HUser32: dword; begin CurrProc := GetCurrentProcess; //получение адреса CreateProcessA AdrCreateProcessA := GetProcAddress(GetModuleHandle(’kernel32.dll’), ’CreateProcessA’); //инициализация структуры перехвата CreateProcessA JmpCrProcA.PuhsOp := $68; JmpCrProcA.PushArg := @NewCreateProcessA; JmpCrProcA.RetOp := $C3; //сохраняем старое начало функции ReadProcessMemory(CurrProc, AdrCreateProcessA, @OldCrp, SizeOf(OldCode), bw); //записываем новое начало CreateProcessA WriteProcessMemory(CurrProc, AdrCreateProcessA, @JmpCrProcA, SizeOf(far_jmp), Writen); end; begin //останавливаем побочные нити StopThreads; //устанавливаем перехват SetHook; //запускаем нити RunThreads; end.
1 2 3 4 5 Категория: Вирусология \| Добавил: dolphin (28.01.2012)
Просмотров: 4382 \| Рейтинг: 5.0/1

Всего комментариев: 0

Профиль

Гость

Поиск

Наша кнопка

Статистика
	Статистика материалов Файлов: 457 Форум: 1165/8118 Коментариев: 770 Новостей: 29 Статистика пользователей Всего: 379 За неделю: 1 Вчера: 0 Сегодня: 0 Всего онлайн: 1 Гостей: 1 Пользователей: 0

delphicode.ru © 2008 - 2024 Хостинг от uCoz