AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Win32/Win64 API (native code) Delphi Frage zu Toms Shellhook beispiel
Thema durchsuchen
Ansicht
Themen-Optionen

Frage zu Toms Shellhook beispiel

Offene Frage von "Boldar"
Ein Thema von Boldar · begonnen am 30. Jun 2009 · letzter Beitrag vom 30. Jun 2009
Antwort Antwort
Boldar

Registriert seit: 20. Aug 2008
Ort: Paderborn
6 Beiträge
 
#1

Frage zu Toms Shellhook beispiel

  Alt 30. Jun 2009, 15:52
Hallo,
Ich habe mal eine Frage zu diesem Beispiel: http://www.michael-puff.de/Developer.../Importe/toms/


Ich verstehe in dieser Funktion nicht, wozu die TList dient:


Delphi-Quellcode:
function PatchAddress(OldFunc, NewFunc: Pointer): integer;
var
  BeenDone: TList;

  function PatchAddressInModule(hModule: THandle; OldFunc, NewFunc: Pointer): integer;
  var
    Dos: PImageDosHeader;
    NT: PImageNTHeaders;
    ImportDesc: PImage_Import_Entry;
    rva: DWORD;
    Func: PPointer;
    DLL: string;
    f: Pointer;
    written: DWORD;
  begin
    Result := 0;
    Dos := Pointer(hModule);
    if BeenDone.IndexOf(Dos) >= 0 then Exit;
    BeenDone.Add(Dos);
    OldFunc := FinalFunctionAddress(OldFunc);
    if IsBadReadPtr(Dos, SizeOf(TImageDosHeader)) then Exit;
    if Dos.e_magic <> IMAGE_DOS_SIGNATURE then Exit;
    NT := Pointer(integer(Dos) + dos._lfanew);
    // if IsBadReadPtr(NT,SizeOf(TImageNtHeaders)) then exit;

    RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

    if RVA = 0 then Exit;
    ImportDesc := Pointer(integer(Dos) + RVA);
    while (ImportDesc^.Name <> 0) do
    begin
      DLL := PChar(integer(Dos) + ImportDesc^.Name);
      PatchAddressInModule(GetModuleHandle(PChar(DLL)), OldFunc, NewFunc);
      Func := Pointer(integer(DOS) + ImportDesc.LookupTable);
      while Func^ <> nil do
      begin
        f := FinalFunctionAddress(Func^);
        if f = OldFunc then
        begin
          WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, 4, written);
          if Written > 0 then Inc(Result);
        end;
        Inc(Func);
      end;
      Inc(ImportDesc);
    end;
  end;
begin
  BeenDone := TList.Create;
  try
    Result := PatchAddressInModule(GetModuleHandle(nil), OldFunc, NewFunc);
  finally
    BeenDone.Free;
  end;
end;
Der vergleich if BeenDone.IndexOf(Dos) >= 0 then Exit; ist doch immer false, denn es kann doch noch garnichts hinzugefügt worden sein?


*Liebfrag in Richtung Toms*
mfg Boldar
  Mit Zitat antworten Zitat
Apollonius

Registriert seit: 16. Apr 2007
2.325 Beiträge
 
Turbo Delphi für Win32
 
#2

Re: Frage zu Toms Shellhook beispiel

  Alt 30. Jun 2009, 15:56
PatchAddressInModule ist rekursiv. Da jedoch BeenDone im äußeren Scope liegt, wird für alle Aufrufe von PatchAddressInModule, die aus dem gleichen Aufruf von PatchAddress hervorgehen, die gleiche Liste verwendet; BeenDone kann also Endlosrekursion in PatchAddressInModule unterbinden.
Wer erweist der Welt einen Dienst und findet ein gutes Synonym für "Pointer"?
"An interface pointer is a pointer to a pointer. This pointer points to an array of pointers, each of which points to an interface function."
  Mit Zitat antworten Zitat
Boldar

Registriert seit: 20. Aug 2008
Ort: Paderborn
6 Beiträge
 
#3

Re: Frage zu Toms Shellhook beispiel

  Alt 30. Jun 2009, 16:04
Kann man denn die Verwendung von TList irgendwie umgehen?
Weil nur deswegen Die Classes einbinden ist doch irgendwie blöd.
Kann man nicht einfach einen Boolean nehmen?
mfg Boldar
  Mit Zitat antworten Zitat
Apollonius

Registriert seit: 16. Apr 2007
2.325 Beiträge
 
Turbo Delphi für Win32
 
#4

Re: Frage zu Toms Shellhook beispiel

  Alt 30. Jun 2009, 16:07
Verstehst du wirklich, wozu BeenDone verwendet wird?
Wer erweist der Welt einen Dienst und findet ein gutes Synonym für "Pointer"?
"An interface pointer is a pointer to a pointer. This pointer points to an array of pointers, each of which points to an interface function."
  Mit Zitat antworten Zitat
Boldar

Registriert seit: 20. Aug 2008
Ort: Paderborn
6 Beiträge
 
#5

Re: Frage zu Toms Shellhook beispiel

  Alt 30. Jun 2009, 16:10
mmh ich glaube jetzt schon.
Ist das richtig, dass in beendone also die Liste der Bisher behandelten Module gespeichert wird, damit kein Modul mehrfach gepatcht wird?
Aber dann könnte man doch auch ein array nehmen, also muss da doch noch etwas anderes sein, was den Einsatz eines arrays verhindert?
mfg Boldar
  Mit Zitat antworten Zitat
Apollonius

Registriert seit: 16. Apr 2007
2.325 Beiträge
 
Turbo Delphi für Win32
 
#6

Re: Frage zu Toms Shellhook beispiel

  Alt 30. Jun 2009, 16:18
Du kannst auch ein Array verwenden. Die TList nimmt dir lediglich das Iterieren und die Vergrößerung ab.
Wer erweist der Welt einen Dienst und findet ein gutes Synonym für "Pointer"?
"An interface pointer is a pointer to a pointer. This pointer points to an array of pointers, each of which points to an interface function."
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:10 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz