1.如何找到软件的源码源代码
2.有谁知道怎样破解万象管理员密码吗?
3.ä»ä¹å«"å 壳"?
4.什么是黑客?
5.TerminateProcess HOOK
如何找到软件的源代码
源码就是指编写的最原始程序的代码。运行的破解软件是要经过编写的,程序员编写程序的源码过程中需要他们的“语言”。音乐家用五线谱和音符,破解建筑师用图纸和笔,源码那程序员的破解图书漂流源码工作的语言就是“源码”了。
人们平时使用软件时就是源码程序把“源码”翻译成我们可直观的形式表现出来供我们使用的。[1]
任何一个网站页面,破解换成源码就是源码一堆按一定格式书写的文字和符号,但我们的破解浏览器帮我们翻译成眼前的模样了
有谁知道怎样破解万象管理员密码吗?
万象网管密码查询器vb版(附全部源码)
《开篇》
用VB做万象密码查询工具?!好像不可思议。源码首先声明:我是破解VB菜鸟!听一些同志在说VB坏话,源码
所以就写下此文给大家看看,破解看看VB强不强!源码不对之处还请各位大虾包涵!
zmworm大哥两年前就作了“万象管理员密码查询器”(后称“查询器”),真佩服,他好像是
数学专业的呢!(俺们这些编程爱好者,必须要好好学数学)不知道大家注意到没有,有些密码
无法查出!本人经过对万象的浅薄研究,用vb做出了新的containskey 源码“查询器”,经测试(环境:win+万象
网吧管理专家专业版.0)完全可行!现公布具体作法。
《原理》
1.用窗口句柄穷列法(据了解,一般情况下windows的窗口句柄多在-2以上,以下)。
2.先执行“万象管理员设置程序”,即万象目录下的“ClientSetup.exe”(让他读密码),
“输入数据”窗口出现后不要关闭他,打开本程序找密码!
另外,使用本程序前请关闭如“windows优化大师”之类用Delphi写的程序。
3.万象的密码存在于内存中!(关键所在,希望万象的设计者尽快改进)
4.放万象管理员密码的文本框,他的类型为“TFlatEdit”(呵呵,万象是用Delphi编写的,用了
FlatStyle平面界面控件)。
5.希望大家不要和我一样:搞投机取巧。
《实现》
1.这里用到几个常用的API函数:FindWindow,SendMessage,GetClassName,WindowFromPoint
...(具体请看附带的源代码“FindManSrc.rar”)
2.循环〔-2 to step 1 〕作为句柄,查找其内容,这样可以过滤掉没有内容的句柄。
3.要查找 某种密码窗口的内容,需要其句柄和类型。df源码因此可以先根据句柄找到其对应的类型,
再判断此类型是否为“TFlatEdit”,如果是,就取得其内容?就是密码了啦!
4.当然不一定在万象上试,有兴趣的还可以找其它程序的密码!
5.例子程序的使用方法见其“帮助”按钮。
《!!注意事项!!》
1.本程序目的不在于 查出万象密码而去免费上网 或者 在网吧欲所欲为,只是为了探讨编程
思路,请在小时之内删除此程序,以免引起不必要的误解!出问题作者概不负责!
2.源代码对最终用户完全免费,请不要用于任何商业用途。有兴趣的朋友完善此程序后请发
一份给我,先谢谢了!
lanker.com)在年9月提出。当初的蓝客联盟(中国蓝客联盟)是一个非商业性的民间网络技术机构,联盟进行有组织有计划的计算机与网络安全技术方面的研究、交流、整理与推广工作,提倡自由、开放、平等、金沙 源码互助的原则。同时还是一个民间的爱国团体,蓝盟的行动将时刻紧密结合时政,蓝盟的一切言论和行动都建立在爱国和维护中国尊严、主权与领土完整的基础上,蓝盟的声音和行动是中华民族气节的体现。中国蓝客联盟(LUC)简称蓝盟,组建于年月1日。年4月,公安部门受外交部压力开始调查此次事件,蓝盟核心人员在当月受到公安机关的传讯、调查,计算机被收缴送往上级公安厅取证、调查。后联盟被告知必须无条件无限期关闭网站,并永久停止使用“蓝客联盟”名号。
年6月2日,蓝盟在IRC频道召开“中国蓝客联盟告别会”,与会几百位网友了解、见证了蓝盟的组建及被迫关闭的内幕。
中国蓝客联盟只有一个,那便是年月至年6月间的 cnlanker.net,那是dwg 源码我们美好的回忆,那是
曾经一起分享胜利的喜悦、共同度过那些灰暗的日子的唯一见证。可惜的是如今这个域名已不在国人手上。
从年6月开始,任何自称蓝客联盟或蓝盟的组织、网站均属于其他网友的自发的个人行为,与最初的蓝盟
毫无任何关系。
现在的 cnlanker.com 是最初组建蓝盟的一群人的回忆,蓝盟永远不会重建。
飞客 —— 电信网络的先行者!
飞客,经常利用程控交换机的漏洞,进入并研究电信网络。
虽然他们不出名,但对电信系统作出了很大的贡献!
一.什么是黑客
在力求当一个黑客前,我们要先了解什么是黑客
Hacker -- 黑客
热衷研究、撰写程序的专才,且必须具备乐于追根究底、穷究问题的特质。
在黑客圈中,hacker一词无疑是带有正面的意义,例如system hacker熟悉操作系统的设计与维护;password hacker精于找出使用者的密码,若是computer hacker则是通晓计算机,可让计算机乖乖听话的高手。
黑客基本上是一项业余嗜好,通常是出于自己的兴趣,而非为了赚钱或工作需要。
根据开放原始码计划创始人Eric Raymond对此字的解释,hacker与cracker是分属两个不同世界的族群,基本差异在于,hacker是有建设性的,而cracker则专门搞破坏。
hacker原意是指用斧头砍材的工人,最早被引进计算机圈则可追溯自年代。
加州柏克莱大学计算机教授Brian Harvey在考证此字时曾写到,当时在麻省理工学院中(MIT)的学生通常分成两派,一是tool,意指乖乖牌学生,成绩都拿甲等;另一则是所谓的hacker,也就是常逃课,上课爱睡觉,但晚上却又精力充沛喜欢搞课外活动的学生。
这跟计算机有什么关系?一开始并没有。不过当时hacker也有区分等级,就如同tool用成绩比高下一样。真正一流hacker并非整天不学无术,而是会热衷追求某种特殊嗜好,比如研究电话、铁道(模型或者真的)、科幻小说,无线电,或者是计算机。也因此后来才有所谓的computer hacker出现,意指计算机高手。
对一个黑客来说,学会入侵和破解是必要的,但最主要的还是编程,毕竟,使用工具是体现别人的思路,而程序是自己的想法.一句话--编程实现一切!
对于一个骇客来说,他们只追求入侵的快感,不在乎技术,他们不会编程,不知道入侵的具体细节.
"黑客"在人们脑中的形象就是一个蓬头乱发,戴着高度眼镜,驼着背弓着腰,成天趴在电脑面前的人.其实黑客和正常人一模一样,他们并无什么特殊之处.有些人也许很少上电脑,成天运动,工作,但他们的技术和精神已经达到的黑客的标准,有些人天天爬在电脑前,到处瞎混,但他们仍不是黑客.
人们总是认为黑客就是破坏者,其实从某种意义上来说,黑客也在为计算机技术的发展做出很大的贡献.如果没有高明的黑客,就没有资深的网管;如果没有完美的木马,就没有杰出的杀毒软件;没有了黑客,网络技术就很难发展下去.当然,网管其实也是黑客,如果他不知道别人怎么进攻,自己要怎么防守呢?
黑客一词在圈外或媒体上通常被定义为:专门入侵他人系统进行不法行为的计算机高手。不过这类人士在hacker眼中是属于层次较低的cracker(骇客)。如果黑客是炸弹制造专家,那么CRACKER就是恐怖分子.
现在,网络上出现了越来越多的Cracker,他们只会入侵,使用扫描器到处乱扫,用IP炸弹炸人家,毫无目的地入侵,破坏着,他们并无益于电脑技术的发展,反而有害于网络的安全和造成网络瘫痪,给人们带来巨大的经济和精神损失.
我们不能做Cracker,我们要力求当HACKER!!
二.HACKING的预备网络知识
1.什么是IP
IP就是一个地址,在外网没有一个IP是相同的,它就像身份证号码一样,给每台进入网络的电脑一个身份证号码.但是对于大部分用户来说,这个号码是不固定的,在你重新连接到INTERNET时,IP可能会被重新分配.不过有些机器申请了固定的IP,这样就便于其他电脑找到它,并提供服务.一般的IP的格式为: a.b.c.d (0 <= a,b,c,d <= )例如 ... , ... ..... 由.开头的是局域网的IP,.0.0.1是用来检测网络的自己的IP.就是说任何一台电脑来说,不管是否连接到INTERNET上,.0.0.1对于自己来说都是自己.就是说,每台电脑都是由4位的进制数组成的.
2.什么是网络协议,数据包
网络协议就是一套双方约定好的通信协议.就像对暗号一样,有特定的约定来达成连接.其中的"数据包就是一个一个
(1) 面向连接的TCP协议
TCP是面向连接的.“面向连接”就是在正式通信前必须要与对方建立起连接。比如你给别人打电话,必须等线路接通了、对方拿起话筒才能相互通话。TCP(Transmission Control
Protocol,传输控制协议)是基于连接的协议,也就是说,在正式收发数据前,必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来,其中的过程非常复杂,我们这里只做简单、形象的介绍,你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程:主机A向主机B发出连接请求数据包:“我想给你发数据,可以吗?”,这是第一次对话;主机B向主机A发送同意连接和要求同步(同步就是两台主机一个在发送,一个在接收,协调工作)的数据包:“可以,你什么时候发?”,这是第二次对话;主机A再发出一个数据包确认主机B的要求同步:“我现在就发,你接着吧!”,这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步,经过三次“对话”之后,主机A才向主机B正式发送数据。TCP协议能为应用程序提供可靠的通信连接,使一台计算机发出的字节流无差错地发往网络上的其他计算机,对可靠性要求高的数据通信系统往往使用TCP协议传输数据。
(2) 面向非连接的UDP协议
“面向非连接”就是在正式通信前不必与对方先建立连接,不管对方状态就直接发送。这与现在风行的手机短信非常相似:你在发短信的时候,只需要输入对方手机号就OK了。UDP(User Data Protocol,用户数据报协议)是与TCP相对应的协议。它是面向非连接的协议,它不与对方建立连接,而是直接就把数据包发送过去!UDP协议是面向非连接的协议,没有建立连接的过程。正因为UDP协议没有连接的过程,所以它的通信效果高;但也正因为如此,它的可靠性不如TCP协议高。QQ就使用UDP发消息,因此有时会出现收不到消息的情况。
附表:tcp协议和udp协议的差别
|---------------------------------|
| 属性\协议 |TCP |UDP |
|------------+---------+----------|
|是否连接 |面向连接 |面向非连接|
|------------+---------+----------|
|传输可靠性 |可靠 |不可靠 |
|------------+---------+----------|
|应用场合 |大量数据 |少量数据 |
|------------+---------+----------|
|速度 |慢 |快 |
|---------------------------------|
(3)什么是端口(PORT)
PORT,意思为港口,但在电脑里叫端口.但是端口不是形象的,而是抽象的.电脑上有很多的端口(个),但是它们大部分都不开,每个网络连接都要用一个端口,就象把用一跟线把两个电脑连起来,插座就是端口.有些端口有他们特定的用途,例如网页服务器要开端口,FTP服务器要开端口
常用端口
--ftp 下载
--telnet 远程登陆,入侵后打开给自己留后门
-smtp 尽管重要,但似乎没什么可利用的
--domain 同上
--finger 可知道用户信息了,但是现在很少了
--.net:/down/syslog.zip
该软件的特色就是可以在后台记录所有运行过的程序和窗口名称,并且有具体的时期,以及登录的用户名,很恐怖哦!下面咱们来设陷阱吧!
1.记录日志
双击压缩包内的主程序,点击“软件试用”进入主界面,在“日志文件保存路径”处点击“浏览”选择保存路径并进行命名,这里保存在c:\winnt\log.txt。然后钩选“日志记录随计算机自动启动”。
注意:
a.为了防止黑客找到记录日志的文件,你可以用上面提到的命令:attrib +s +h c:\winnt\log.txt进行隐藏。
b.最好不要将这个记录文件和上面的.txt放一个目录下,这样万一被发现其中一个,不至于使另一个也一同被发现。
c.软件在“任务管理器”的进程中显示名称为“syslog”,而且未注册版本会在分钟后自动停止记录,所以只能用来对付菜鸟黑客啦!而且还得先花点“银子”,哈哈!
接下来在“程序密码保护”处输入一个复杂点的密码,点击“开始日志”。这时软件会提醒你隐藏后的热键为“Ctrl+Q”,请记住这个热键,以后要唤出软件时就得靠它了。
2.查看动作
想知道这样设置后记录下来的东西是什么样吗?那就快来看看吧。怎么样?对这种记录结果你还满意吗?
TerminateProcess HOOK
å¦ä½ä¿è¯èªå·±çç¨åºä¸è¢«å ³éï¼
å°±ç®æ¯ä¸äºè¿ç¨è½¯ä»¶ä¹ä¸å¯ä»¥å ³é
samba æå¬è¿æ人éç¨ç¨åºäºç¸çæ§çæ¹æ³æ¥è¾¾å°ç®çã
ä½è¿æ ·å°±ä¼å ç¨ç³»ç»èµæºãä¸ä¸ªä¸å ä»ä¹æ§ä»¶ç纯çªä½é½è¦3å ç¨MBå åï¼
å¦æå ä¸ææ¬æ¥çé£ä¸ªç¨åºï¼å²ä¸æ¯è¦å å»åå MBå åï¼è¿å¯¹äºæé£ä¸ªå°ç¨åºæ¥è®²ä¸ä¸å¯å¿åçã
请é®æä»ä¹æ¯è¾å¥½çæ¹æ³å¯ä»¥è§£å³ï¼æè¿æ¹é¢çæ§ä»¶åï¼å è°¢è¿å¤§å®¶äºï¼
---------------------------------------------------------------
å¨WINDOWSæä½ç³»ç»ä¸ï¼å½æ们æ æ³ç»ææè ä¸ç¥éææ ·ç»æä¸ä¸ªç¨åºçæ¶åï¼æè æ¯æå¾å»æ¾âéåºâæé®çæ¶åï¼é常ä¼æâCTRL+ALT+DELâå¼åºä»»å¡ç®¡çå¨ï¼æ¾å°æ³ç»æçç¨åºï¼ç¹ä¸ä¸âç»æä»»å¡âå°±äºäºäºï¼åµåµï¼è½ç¶æç¹ç²é²ï¼ä½å¤§å¤æ°æ åµä¸é½å¾ææï¼ä¸æ¯åï¼
设æ³ä¸ä¸ï¼å¦ææè¿ä¹ä¸ç§è½¯ä»¶ï¼å®æè¦åçå·¥ä½å°±æ¯å¯¹æ个使ç¨è å¨æå°çµèä¸çæ´»å¨ä½ä¸å®çéå¶ï¼èåä¸è½è¢«ä½¿ç¨è éè¿âç»æä»»å¡âè¿ç§æ¹å¼è½»æå°è§£é¤éå¶ï¼é£è¯¥æä¹åï¼æ éæè¿ä¹ä¸ç§æ¹æ³ï¼1.å±è½âCTRL+ALT+DELâè¿ä¸ªçé®çç»åï¼2.让ç¨åºä¸åºç°å¨ä»»å¡ç®¡çå¨çå表ä¹ä¸ï¼3.让任å¡ç®¡çå¨æ æ³ææè¿ä¸ªä»»å¡ã对äºç¬¬ä¸ç§æ¹æ³ï¼è¿æ ·æªå ä¹å¤ªæ®é ·äºï¼ç¨æ¯äºâç»æä»»å¡âè¿ç§æ¹æ³ç人ä¼å¾ä¸ä¹ æ¯çï¼å¯¹äºç¬¬äºç§æ¹æ³ï¼å¨WINDOWS 9Xä¸å¯ä»¥å¾è½»æå°ä½¿ç¨æ³¨åæå¡è¿ç¨çæ¹æ³å®ç°ï¼ä½æ¯å¯¹äºWINDOWS NTæ¶æçæä½ç³»ç»æ²¡æè¿ä¸ªæ¹æ³äºï¼è¿ç¨å¾é¾è身ï¼è½ç¶ä»ç¶å¯ä»¥å®ç°éèï¼ä½å®ç°æºå¶è¾ä¸ºå¤æï¼å¯¹äºç¬¬ä¸ç§æ¹æ³ï¼å®ç°èµ·æ¥æ¯è¾ç®åï¼æçä½åï¼IPGate ç½åè¿æ»¤å¨ å°±æ¯éç¨çè¿ç§æ¹å¼é²æçï¼æ¥ä¸æ¥æå°±æ¥ä»ç»è¿ç§æ¹æ³ã
ä»»å¡ç®¡çå¨çâç»æä»»å¡âå®é ä¸å°±æ¯å¼ºå¶ç»æ¢è¿ç¨ï¼å®æ使ç¨çææéæ¯ä¸ä¸ªå«åTerminateProcess()çWin APIå½æ°ï¼æ们æ¥ççå®çå®ä¹ï¼
BOOL TerminateProcess(
HANDLE hProcess; // å°è¢«ç»æè¿ç¨çå¥æ
UINT uExitCode; // æå®è¿ç¨çéåºç
);
çå°è¿éï¼æ¯ä¸æ¯è§å¾ä¸å¿ å¾ä¸çé½ç¥éæ¥ä¸æ¥è¦åä»ä¹ï¼Hook TerminateProcess()å½æ°ï¼æ¯æ¬¡TerminateProcess()被è°ç¨çæ¶åå å¤æä¼å¾ç»æçè¿ç¨æ¯å¦æ¯æçè¿ç¨ï¼å¦ææ¯çè¯å°±ç®åå°è¿åä¸ä¸ªé误ç å°±å¯ä»¥äºãççæ¯è¿ä¹ç®ååï¼å æåºä¸ä¸ªé®é¢ï¼å¦ä½æ ¹æ®hProcesså¤æå®æ¯å¦æ¯æçè¿ç¨çå¥æï¼çæ¡æ¯ï¼å¨æçè¿ç¨å½ä¸å è·å¾æçè¿ç¨çå¥æï¼ç¶åéè¿è¿ç¨é´é讯æºå¶ä¼ éç»é©åå½æ°ï¼ä¸hProcessè¿è¡æ¯è¾ä¸å°±è¡äºï¼éï¼å 为å¥ææ¯ä¸ä¸ªè¿ç¨ç¸å ³çå¼ï¼ä¸åè¿ç¨ä¸å¾å°çæçè¿ç¨çå¥æçå¼å¨è¿ç¨é´è¿è¡æ¯è¾æ¯æ æä¹çã
æä¹åï¼æ们æ¥èå¯ä¸ä¸æçhProcesså®æ¯å¦ä½å¾å°çãä¸ä¸ªè¿ç¨åªæå®çè¿ç¨IDæ¯ç¬ä¸æ äºçï¼æä½ç³»ç»éè¿è¿ç¨IDæ¥æ è¯ä¸ä¸ªè¿ç¨ï¼å½æ个ç¨åºè¦å¯¹è¿ä¸ªè¿ç¨è¿è¡è®¿é®çè¯ï¼å®é¦å å¾ç¨OpenProcessè¿ä¸ªå½æ°å¹¶ä¼ å ¥è¦è®¿é®çè¿ç¨IDæ¥è·å¾è¿ç¨çå¥æï¼æ¥ççå®çåæ°ï¼
HANDLE OpenProcess(
DWORD dwDesiredAccess, // å¸æè·å¾ç访é®æé
BOOL bInheritHandle, // æææ¯å¦å¸ææè·å¾çå¥æå¯ä»¥ç»§æ¿
DWORD dwProcessId // è¦è®¿é®çè¿ç¨ID
);
èç»æ¸æ¸æ¾ç°ï¼å¨è°ç¨TerminateProcess()ä¹åï¼å¿ å è°ç¨OpenProcess()ï¼èOpenProcess()çåæ°è¡¨ä¸çdwProcessIdæ¯å¨ç³»ç»èå´å å¯ä¸ç¡®å®çãå¾åºç»è®ºï¼è¦Hookçå½æ°ä¸æ¯TerminateProcess()èæ¯OpenProcess()ï¼å¨æ¯æ¬¡è°ç¨OpenProcess()çæ¶åï¼æ们å æ£æ¥dwProcessIdæ¯å¦ä¸ºæçè¿ç¨çID(å©ç¨è¿ç¨é´é讯æºå¶)ï¼å¦ææ¯çè¯å°±ç®åå°è¿åä¸ä¸ªé误ç å°±å¯ä»¥äºï¼ä»»å¡ç®¡çå¨æ¿ä¸å°æçè¿ç¨çå¥æï¼å®å¦ä½ç»ææçè¿ç¨å¢ï¼
è³æ¤ï¼çå¢å ¨é¨æå¼äºãç±Hook TerminateProcess()å°Hook OpenProcess()çè¿ä¸ªè¿ç¨ï¼ä½ç°äºä¸ä¸ªéåæç»´çææ³ãå ¶å®æå½åé»è¿äºTerminateProcess()çæ»è¡åéå天åºä¹ä¸æ¥ï¼ä½æç»è¿æ¯è¹¦åºäºçµæçç«è±ï¼æ³¨æå转移å°äºOpenProcess()ä¸é¢ï¼å®ç°äºè¿ç¨é²æãåæ¦ä¹ä½ï¼å°è¿å¿å¾ä½ä¼æ¿åºæ¥ä¸å¤§å®¶å享ã
---------------------------------------------------------------
è¦ä¸æç»ä½ ææçå¯æ§è¡æ件çæºä»£ç åå¨æè¿æ¥åºåç»ä½ 好äº
å¨æè¿æ¥åºä½ èªå·±å¯ä»¥æ¢æ
å°±æ¯è¦æ³¨å ¥çé£ä¸ª
ï¼æ³¨å ¥å°çç®æ ç¨åºä½ èªå·±è®¾ç½®
---------------------------------------------------------------
åµåµï¼ææåå®ç°äºï¼ï¼
éè¿setwindowshookex建ç«CBTçHookï¼Hook DLLä¸å è½½APIéå®åï¼å°±å¯ä»¥è¾¾å°å ¨å±ææçAPIHOOKææäºï¼è¿è¦å¯¹MapFileæä½ï¼ä»¥ä¾¿ç»ä¸å ¨å±çåæ°
ä¸è½½å°åï¼/lysoft/projects/API Hook.rar
by Liu Yang
---------------------------------------------------------------
ä¸é¢çä¾åï¼å¾å害çï¼ä¸åªæ¯ä»»å¡ç®¡çå¨ï¼è¿å«ç第ä¸æ¹è½¯ä»¶é½å¥ä½ä¸å¾ï¼
ç¦æ¢ CTRL+ALT+DELETE under XP and Win, çæ¹æ³ï¼ä¸è¿å®¹æç ´è§£
å¦å¤ï¼XPä¸Ginaæ¹æ³æ¯ä¸è¡çï¼ææä¾çDemo就没é®é¢äºãè³äºé£ä¸ªDLLæ¯æä¹åçï¼å°±ä¸ä¾¿å ¬å¼äºãè°ç¨æ¥å£å°±å¨ä»£ç ä¸ï¼åµåµï¼è±äºæ3天å夫ææ好ãæç¹ç´¯äºï¼ä¼æ¯äºã
procedure DisableTaskMgr(bTF: Boolean);
var
reg: TRegistry;
begin
reg := TRegistry.Create;
reg.RootKey := HKEY_CURRENT_USER;
reg.OpenKey('Software', True);
reg.OpenKey('Microsoft', True);
reg.OpenKey('Windows', True);
reg.OpenKey('CurrentVersion', True);
reg.OpenKey('Policies', True);
reg.OpenKey('System', True);
if bTF = True then
begin
reg.WriteString('DisableTaskMgr', '1');
end
else if bTF = False then
begin
reg.DeleteValue('DisableTaskMgr');
end;
reg.CloseKey;
end;
// Example Call:
procedure TForm1.Button1Click(Sender: TObject);
begin
DisableTaskMgr(True);
end;
---------------------------------------------------------------
type //å®ä¹ä¸ä¸ªå ¥å£ç»æ
PImage_Import_Entry = ^Image_Import_Entry;
Image_Import_Entry = record
Characteristics: DWORD; //"code"or"data"or"bss"
TimeDateStamp: DWORD;
MajorVersion: Word;
MinorVersion: Word;
Name: DWORD; //æå±å¨æåºæç¨åºçå称
LookupTable: DWORD;
end;
type //å®ä¹ä¸ä¸ªè·³è½¬çç»æ
TImportCode = packed record
JumpInstruction: Word; //å®ä¹è·³è½¬æ令jmp
AddressOfPointerToFunction: ^Pointer; //å®ä¹è¦è·³è½¬å°çå½æ°
end;
PImportCode = ^TImportCode;
implementation
//è¿åå½åå½æ°å°å
function LocateFunctionAddress(Code: Pointer): Pointer;
var
func: PImportCode;
begin
Result := Code;
if Code = nil then exit;
try
func := code;
if (func.JumpInstruction = $FF) then
begin
Result := func.AddressOfPointerToFunction^;
end;
except
Result := nil;
end;
end;
//æ¹åå½æ°çæå
function RepointFunction(OldFunc, NewFunc: Pointer): Integer;
var
IsDone: TList;
//å°æå®å®ä¾ä¸çå¼å ¥å½æ°å®ä½ä¸ºæ°å½æ°
function RepointAddrInModule(hModule: THandle; OldFunc, NewFunc: Pointer): Integer;
var
Dos: PImageDosHeader;//dos head
NT: PImageNTHeaders; //nt head
ImportDesc: PImage_Import_Entry; //å½æ°å ¥å£å°å
RVA: DWORD;
Func: ^Pointer;
DLL: string;
f: Pointer;
written: DWORD;
begin
Result := 0;
Dos := Pointer(hModule);//å®ä¾å¥æ
if IsDone.IndexOf(Dos) >= 0 then exit; //æ¯å¦å·²ç»æ¿æ¢è¿æ¤å®ä¾å¥æ
IsDone.Add(Dos); //æ·»å å®ä¾å¥æ
OldFunc := LocateFunctionAddress(OldFunc);
if IsBadReadPtr(Dos, SizeOf(TImageDosHeader)) then exit;
if Dos.e_magic <> IMAGE_DOS_SIGNATURE then exit;//å¤ææ¯å¦æ¯åæ³çdos头
NT := Pointer(Integer(Dos) + dos._lfanew);//å¾å°pe头
//å¾å°è¾å ¥å½æ°çç¸å ³èå°å
RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
if RVA = 0 then exit;
//计ç®å®é 第ä¸ä¸ªè¾å ¥å½æ°å°å
ImportDesc := pointer(integer(Dos) + RVA);
while (ImportDesc^.Name <> 0) do
begin
//å¾å°è¾å ¥çå¨æåºå称
DLL := PChar(Integer(Dos) + ImportDesc^.Name);
//éå½å°å¦ä¸ä¸ªå¨æåº
RepointAddrInModule(GetModuleHandle(PChar(DLL)), OldFunc, NewFunc);
//计ç®å¼å ¥å½æ°å¨ç¨åºä¸çè°å ¥å°å
Func := Pointer(Integer(DOS) + ImportDesc.LookupTable);
while Func^ <> nil do
begin
f := LocateFunctionAddress(Func^);
//æ¾å¯»å¼å ¥çå½æ°
if f = OldFunc then
begin
//æ³¨å ¥æ°å½æ°å°å
WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, 4, written);
if Written > 0 then Inc(Result);
end;
Inc(Func);
end;
Inc(ImportDesc);
end;
end;
begin
IsDone := TList.Create;
try
Result := RepointAddrInModule(GetModuleHandle(nil), OldFunc, NewFunc);
finally
IsDone.Free;
end;
end;