想把kernel32.DLL导出函数翻译为Delphi函数

最新推荐文章于 2019-05-04 16:14:14 发布
最新推荐文章于 2019-05-04 16:14:14 发布
阅读量469 收藏
点赞数
分类专栏: WINAPI 文章标签: delphi integer path function 存储 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f2378/article/details/7219529
版权

最近看到一篇老文章,说的是使用GetCommandLine获取远程进程的命令行。我用Delphi重新实现了一下

function GetSysFuncAddr(AFunc: Pointer): Integer;

begin

  asm

    mov eax, AFunc

    add eax, 2

    mov eax, [eax]

    mov eax, [eax]

    mov Result, eax

  end;

end;

 

procedure GetRemoteCommandLine(ABuf: PChar; APID: Integer);

var

         dwAddr, dwRead: DWORD;

  hProc: THandle;

begin

  dwAddr :=  GetSysFuncAddr(@GetCommandLine) + 7;

  dwAddr :=  $7dd75178 - dwAddr;

  dwAddr :=  $7dd70d2c - dwAddr;

  asm

    mov eax, dwAddr

    mov eax, [eax]

    add eax, 1

    mov eax, [eax]

    mov dwAddr, eax

  end;

  hProc := OpenProcess(PROCESS_VM_READ, False, APID);

  ReadProcessMemory(hProc, Pointer(dwAddr), @dwAddr, 4, dwRead);

  ReadProcessMemory(hProc, Pointer(dwAddr), ABuf, MAX_PATH, dwRead);

End;

 

procedure  test;

var

         buf: array [0..MAX_PATH] of Char;

begin

         GetRemoteCommandLine(@buf, 3556);

End;

原帖地址忘了,原理大概是每一个进程都会把命令行存于自己进程空间的特定位置,GetCommandLineA会从这个位置读取命令行。

当然,只知道这一点是不够的,因为我们不知道另一个进程的命令行存的位置。但是有一种办法可以获得这个地址,那就是使用GetCommandLineA,

GetCommandLineA在所有的进程里地址是一样的(kernel32.DLL中所有函数都有这个特点),因此只要读取远端进程的GetCommandLineA的地址,加上特定的偏移,

就可以获得命令行存储的地址。(说的比较随便,其实只要看一下GetCommandLineA就能明白了)

后来我反编译了几个kernel32.DLL的函数,发现这对于学习系统有很大的帮助,因此就萌生了将kernel32.DLL中的函数翻译为Delphi函数的想法,希望能够坚持下去。

 

f2378
关注
专栏目录
Kernel32.dll导出函数的CRC32
雪之梦的专栏
06-27 1103
#include #include #define MAXSIZE 2048typedef struct tagElem{ unsigned int iData[MAXSIZE+1]; int iLength;}Elem;////////////////////////////////////////////////////////////////// 计算字符
动态获取kernel32.dll函数
01-04
动态获取kernel32.dll实现无导入表的hello world
React OS 中的 Kernel32.dll & Ntdll.dll & ntoskrnl 所导出函数
%50 perseverance, %40 effort, %5 luck, %5 optimism...
12-19 1006
好久没有更新了,一眼看去最后一次更新还是 07 年。相隔了一年多啊。今天记录一些研究 ROS 后的结论,防止以后忘记。 ROS 中(同理 Windows 中)的 App 所调用的 API 先是通过 Kernel32.dll 中的函数然后由此再通过 Ntdll 中的 "sysenter" 指令进入内核中的 ntoskrnl.exe 调用最后的函数。当然有些不需要进入内核的则直接在 Ker
windows xp sp3 系统kernel32.dll所有导出的API函数列表大全(整理在此,方便查阅,学习)
热门推荐
关注互联网安全的小虾米一枚
03-13 1万+
kernel32.dll是Windows9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管 理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域, 使别的程序无法占用这个内存区域。 ordinal hint RVA name 1
C# Kernel32 导出函数
大地缸的专栏
01-12 1723
/// /// Kernel32导出函数 /// public class Kernel32 { [DllImport("KERNEL32.DLL ")] public static extern IntPtr CreateToolhelp32Snapshot(uint flags, uint processid);
ejecter-le-CD-ROM.zip_delphi kernel32.dll
最新发布
09-24
标题中的"ejecter-le-CD-ROM.zip_delphi kernel32.dll"暗示了这是一个使用Delphi编程语言编写的程序,其功能是通过调用Windows系统DLL文件`KERNEL32.DLL`来弹出CD-ROM驱动器。在Windows操作系统中,`KERNEL32.DLL`是...
EXE-Call.rar_DELPHI调用CALL_call_exe_exe 导出函数_exe调用exe
09-19
这个函数位于`kernel32.dll`中,需要通过PInvoke调用。 4. **调用函数**:一旦获取到函数地址,就可以像调用本地函数一样调用它。例如,`MyFunction := GetProcAddress(HInstanceOfTargetEXE, 'MyFunction');`,...
一个用来查看DLL 和OCX 函数的小工具(Delphi源码)
03-09
标题中的“一个用来查看DLL 和OCX 函数的小工具(Delphi源码)”是指一个用Delphi编程语言编写的程序,其主要功能是用于浏览和分析动态链接库(DLL)和活动控件(OCX)中的函数。这些库文件在Windows操作系统中广泛...
DELPHI的API函数.pdf
09-30
每个类别对应不同的动态链接库(DLL)文件,如kernel32.dll、shell32.dll、winmm.dll等。 - 基本管理类API涉及内存分配、任务管理和文件操作等,而Shell例程则包括加载其他程序和管理登录。MCI接口用于多媒体控制,...
DELPHI HOOK 钩子 DLL+调用
12-19
此外,我们还需要确保DLL能够正确地导出钩子回调函数和初始化函数,以便在目标进程中可以找到和调用它们。 在实际应用中,这种技术常用于调试、监控、安全分析或恶意软件检测等领域。然而,不恰当的使用可能会对...
取得KERNEL32.DLL位置的一种方法
misterliwei的专栏
01-06 3372
 取得KERNEL32.DLL位置的一种方法2009-10-7编辑 在代码插入运行时,常常要知道kernel32.dll的位置,进而获得GetProcAddress的地址,最近看了以前的一篇《从PEB中取出MODULENAME》的文章,可以通过这种方法获得kernel32.dll的地址。下面
Kernel32.dll!BaseInitializeContext 反编译源码
vcPlayer的专栏
05-25 2753
近期反编译CreateProcessInternalW中的一小段函数:BaseInitializeContext 为Kernel32.dll文件中一内部函数,其作用为即将创建的线程初始化上下文CONTEXT的结构。由于每个OS及补丁的版本不同,Kernel32.dll都不尽相同。下文例子所使用的相关文件信息如下:Kernel32.dll 的文件信息:文件版本: 5.1.2600.5512 (xpsp.080413-2111)MD5: BF1CDAF5792B78D4730727FACF307D46     
delphi中调用外部dll导出函数
gust2012的专栏
06-26 692
<br />procedure test(i:int); Type T_test=Procedure (i:int) ;cdecl; var hModule1: HMODULE ; _test:T_test; begin hModule1:= GetModuleHandle('test.dll') ; @_test:= GetProcAddress(hModule1,'_test_'); _test(2) ; end;
Kernel32.DLL APIs
Lobbyfish的专栏
10-07 1874
_hread_hwrite_lclose_lcreat_llseek_lopen_lread_lwriteActivateActCtxAddAtomAAddAtomWAddConsoleAliasAAddConsoleAliasWAddLocalAlternateComputerNameAAddLocalAlternateComputerNameWAddRefActCtxAddVectoredCo
windbg分析Kernel32.dll导出
weixin_30566063的博客
04-10 493
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出表结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址; I) 遍历导出名称表(下面统称为ENT),匹配到需要的函数...
KERNEL32.dll的ExportTable以及如何查找导出函数
乱七八糟の中转站
05-21 1578
我的上一篇博客Analysis of notepad process loading涉及的程序是没有ExportTable的,所以这一篇呢,就分析一下DLL里的ExportTable,以KERNEL32.dll为例。 首先在Hex Edit里打开KERNEL32.dll: 可以看出,KERNEL32.dll还是符合PE文件格式滴~① ExportTable(RVA):00 0B 4D E0,Si
KERNEL32相关函数
靠别人不如靠自已。
05-30 1万+
<br />CALL DWord Ptr [<&KERNEL32.WriteFile>] kernel32.WriteFile 将数据写入一个文件,也可将这个函数应用于对通信设备、管道、套接字以及邮槽的处理 CALL DWord Ptr [<&KERNEL32.WriteConsole>] kernel32.WriteConsole 在当前光标位置写入字符串到控制台屏幕缓冲区. CALL DWor
kernel32基地址获得学习笔记
ProgrammingRing的专栏
09-08 7112
原文链接:点击打开链接 第一种方法 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。 线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是 程序入口点处)通过获得堆栈指针中E
动态获取Kernel32函数地址
做一个快乐学习者
05-04 1105
VOID ShowDll() { //Kernel32.dll基址 DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出表指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
Windows程序设计基础:API集中在kernel32.dll、user32.dll、GDI32.dll
"这篇资料主要介绍了Windows程序设计的基础知识,特别是关于API在Windows操作系统中的核心DLL——kernel32.dll、user32.dll和GDI32.dll中的分布情况,以及API与MFC的关系。" 在Windows程序设计领域,API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值