拦截网络数据封包的方法有三种,一是将网卡设为混杂模式,这次就可以监视到局域网上所有的数据包,二是HOOK目标进程的发送和接收的API函数,第三种方法是自己实现一个代理的DLL.在这里我们使用HOOK API的方法,这样易于实现,而且也不会得到大量的无用数据(如第一种方法就会监视到所有的网络数据).
下面是一个尽量简化了的API HOOK的模版,原理是利用消息钩子将DLL中的代码注入到目标进程中,再用GetProcAddress得到API函数入口地址,将函数入口址改为自己定义的函数入口,这样就得到了API函数的相应参数,处理完后,再改回真实API函数入口地址,并调用它.
HOOK.DLL的代码:
library Hook;
uses
SysUtils,
windows,
Messages,
APIHook in ’APIHook.pas’;
type
PData = ^TData;
TData = record
Hook: THandle;
Hooked: Boolean;
end;
var
DLLData: PData;
{------------------------------------}
{过程名:HookProc
{过程功能:HOOK过程
{过程参数:nCode, wParam, lParam消息的相
{ 关参数
{------------------------------------}
procedure HookProc(nCode, wParam, lParam: LongWORD);stdcall;
begin
if not DLLData^.Hooked then
begin
HookAPI;
DLLData^.Hooked := True;
end;
//调用下一个Hook
CallNextHookEx(DLLData^.Hook, nCode, wParam, lParam);
end;
{------------------------------------}
{函数名:InstallHook
{函数功能:在指定窗口上安装HOOK
{函数参数:sWindow:要安装HOOK的窗口
{返回值:成功返回TRUE,失败返回FALSE
{------------------------------------}
function InstallHook(SWindow: LongWORD):Boolean;stdcall;
var
ThreadID: LongWORD;
begin
Result := False;
DLLData^.Hook := 0;
ThreadID := GetWindowThreadProcessId(sWindow, nil);
//给指定窗口挂上钩子
DLLData^.Hook := SetWindowsHookEx(WH_GETMESSAGE, @HookProc, Hinstance, ThreadID);
if DLLData^.Hook > 0 then
Result := True //是否成功HOOK
else
exit;
end;
{------------------------------------}
{过程名:UnHook
{过程功能:卸载HOOK
{过程参数:无
{------------------------------------}
procedure UnHook;stdcall;
begin
UnHookAPI;
//卸载Hook
UnhookWindowsHookEx(DLLData^.Hook);
end;
{------------------------------------}
{过程名:DLL入口函数
{过程功能:进行DLL初始化,释放等
{过程参数:DLL状态
{------------------------------------}
procedure MyDLLHandler(Reason: Integer);
var
FHandle: LongWORD;
begin
case Reason of
DLL_PROCESS_ATTACH:
begin //建立文件映射,以实现DLL中的全局变量
FHandle := CreateFileMapping($FFFFFFFF, nil, PAGE_READWRITE, 0, $ffff, ’MYDLLDATA’);
if FHandle = 0 then
if GetLastError = ERROR_ALREADY_EXISTS then
begin
FHandle := OpenFileMapping(FILE_MAP_ALL_ACCESS, False, ’MYDLLDATA’);
if FHandle = 0 then Exit;
end else Exit;
DLLData := MapViewOfFile(FHandle, FILE_MAP_ALL_ACCESS, 0, 0, 0);
if DLLData = nil then
CloseHandle(FHandle);
end;
DLL_PROCESS_DETACH:
begin
if Assigned(DLLData) then
begin
UnmapViewOfFile(DLLData);
DLLData := nil;
end;
end;
end;
end;
{$R *.res}
exports
InstallHook, UnHook, HookProc;
begin
DLLProc := @MyDLLHandler;
MyDLLhandler(DLL_PROCESS_ATTACH);
DLLData^.Hooked := False;
end.
----------------------------------------------------------------------------------------
APIHook.Pas的代码:
unit APIHook;
interface
uses
SysUtils,
Windows, WinSock;
type
//要HOOK的API函数定义
TSockProc = function (s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;
PJmpCode = ^TJmpCode;
TJmpCode = packed record
JmpCode: BYTE;
Address: TSockProc;
MovEAX: Array [0..2] of BYTE;
end;
//--------------------函数声明---------------------------
procedure HookAPI;
procedure UnHookAPI;
var
OldSend, OldRecv: TSockProc; //原来的API地址
JmpCode: TJmpCode;
OldProc: array [0..1] of TJmpCode;
AddSend, AddRecv: pointer; //API地址
TmpJmp: TJmpCode;
ProcessHandle: THandle;
implementation
{---------------------------------------}
{函数功能:Send函数的HOOK
{函数参数:同Send
{函数返回值:integer
{---------------------------------------}
function MySend(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;
var
dwSize: cardinal;
begin
//这儿进行发送的数据处理
MessageBeep(1000); //简单的响一声
//调用直正的Send函数
WriteProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);
Result := OldSend(S, Buf, len, flags);
JmpCode.Address := @MySend;
WriteProcessMemory(ProcessHandle, AddSend, @JmpCode, 8, dwSize);
end;
{---------------------------------------}
{函数功能:Recv函数的HOOK
{函数参数:同Recv
{函数返回值:integer
{---------------------------------------}
function MyRecv(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;
var
dwSize: cardinal;
begin
//这儿进行接收的数据处理
MessageBeep(1000); //简单的响一声
//调用直正的Recv函数
WriteProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);
Result := OldRecv(S, Buf, len, flags);
JmpCode.Address := @MyRecv;
WriteProcessMemory(ProcessHandle, AddRecv, @JmpCode, 8, dwSize);
end;
{------------------------------------}
{过程功能:HookAPI
{过程参数:无
{------------------------------------}
procedure HookAPI;
var
DLLModule: THandle;
dwSize: cardinal;
begin
ProcessHandle := GetCurrentProcess;
DLLModule := LoadLibrary(’ws2_32.dll’);
AddSend := GetProcAddress(DLLModule, ’send’); //取得API地址
AddRecv := GetProcAddress(DLLModule, ’recv’);
JmpCode.JmpCode := $B8;
JmpCode.MovEAX[0] := $FF;
JmpCode.MovEAX[1] := $E0;
JmpCode.MovEAX[2] := 0;
ReadProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);
JmpCode.Address := @MySend;
WriteProcessMemory(ProcessHandle, AddSend, @JmpCode, 8, dwSize); //修改Send入口
ReadProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);
JmpCode.Address := @MyRecv;
WriteProcessMemory(ProcessHandle, AddRecv, @JmpCode, 8, dwSize); //修改Recv入口
OldSend := AddSend;
OldRecv := AddRecv;
end;
{------------------------------------}
{过程功能:取消HOOKAPI
{过程参数:无
{------------------------------------}
procedure UnHookAPI;
var
dwSize: Cardinal;
begin
WriteProcessMemory(ProcessHandle, AddSend, @OldProc[0], 8, dwSize);
WriteProcessMemory(ProcessHandle, AddRecv, @OldProc[1], 8, dwSize);
end;
end.
---------------------------------------------------------------------------------------------
编译这个DLL后,再新建一个程序调用这个DLL的InstallHook并传入目标进程的主窗口句柄就可:
unit fmMain;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls;
type
TForm1 = class(TForm)
Button1: TButton;
Button2: TButton;
Edit1: TEdit;
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
InstallHook: function (SWindow: THandle):Boolean;stdcall;
UnHook: procedure;stdcall;
implementation
{$R *.dfm}
procedure TForm1.Button1Click(Sender: TObject);
var
ModuleHandle: THandle;
TmpWndHandle: THandle;
begin
TmpWndHandle := 0;
TmpWndHandle := FindWindow(nil, ’目标窗口的标题’);
if not isWindow(TmpWndHandle) then
begin
MessageBox(self.Handle, ’没有找到窗口’, ’!!!’, MB_OK);
exit;
end;
ModuleHandle := LoadLibrary(’Hook.dll’);
@InstallHook := GetProcAddress(ModuleHandle, ’InstallHook’);
@UnHook := GetProcAddress(ModuleHandle, ’UnHook’);
if InstallHook(FindWindow(nil, ’Untitled’)) then
ShowMessage(’Hook OK’);
end;
procedure TForm1.Button2Click(Sender: TObject);
begin
UnHook
end;
end.
转贴请请保留出处, 谢谢
按以下步骤,可以重先编译CE5.6
一. 准备工作
1.CE5.6源码:http://http://www.cheatengine.org/downloads.php
2.微软的WDK:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=36a2630f-5d56-43b5-b996-7633f2ec14ff
3.Delphi7,自己去找了。。。
解压CE原码到本地硬盘I盘,目录改成I:\CE56
安装好WDK
二.生成dbk32.sys和dbk32.dll
1.改文件ntifs.h
用记事本打开改文件I:\CE56\DBKKernel\ntifs.h, 保存, 关闭
这一步是为了去掉有些编译器不认识的字符。
2.生成dbk32,sys
在运行里输入
C:\WINDOWS\system32\cmd.exe /k C:\WinDDK\bin\setenv.bat C:\WinDDK\ fre x86 WXP 回车
或直接在菜单操作
开始>所有程序>Windows Driver Kits>WDK 7600.16385.1>Build Environments>Windows XP>x86 Free Build Environment
进入一个CMD界面,先转到I盘,再进入DBKKernel, 运行ce.bat
输入 I: 回车
输入 cd I:\CE56\DBKKernel 回车
输入 ce.bat 回车
如果一切正常,你将会在CMD界面看到如下字样
13 files compiled.
1 Executable built
同时dbk32.sys也会出现在I:\CE56\bin里
3.生成dbk32,dll
delphi7打开I:\CE56\DBKKernel\dbk32.dpr, 编译
I:\CE56\bin里出现dbk32.dll
三. 生成DLL和exe
按顺序编译以下工程
I:\CE56\standalone\trainerwithassembler.dpr
I:\CE56\CEHook\CEHook.dpr
I:\CE56\stealth\stealth.dpr
I:\CE56\SystemcallRetriever\systemcallsignal.dpr
I:\CE56\SystemcallRetriever\Systemcallretriever.dpr
I:\CE56\dbk32\Kernelmodule unloader\Kernelmoduleunloader.dpr
I:\CE56\cheatengine.dpr
四. 完成
建立运行目录,如I:\NCE56
copy I:\CE56\bin\*.* I:\NCE56
copy I:\CE56\stealth.dll I:\NCE56
copy I:\CE56\driver.dat I:\NCE56
copy I:\CE56\underc\ucc12.dll I:\NCE56
这里的ucc12.dll原来就有的。。
完成后,I:\NCE56有10个文件
cheatengine.exe
CEHook.dll
dbk32.dll
dbk32.sys
driver.dat
Kernelmoduleunloader.exe
stealth.dll
Systemcallretriever.exe
systemcallsignal.exe
ucc12.dll
我们经常会遇到许多不请自来自己启动的程序,还有许多是我们不想让它启动的程序,不要以为管好了“开始→程序→启动”菜单就万事大吉,实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,下文告诉你最重要的两个文件夹和八个注册键。看看里面有哪些是你不想要的,请按“del”键。
文件夹
一、当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\“开始”菜单\程序\启动,其中“<用户名字>”是当前登录的用户账户名称。
二、对所有用户有效的启动文件夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\“开始”菜单\程序\启动。
注册表
三、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
四、Userinit注册键
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe。这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。
五、Explorer\Run注册键
和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run。
六、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W
indows\CurrentVersion\RunServicesOnce。
七、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\ RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices。
八、RunOnce\Setup注册键
RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce\Setup。
九、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\ Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnceEx。
十、Run注册键
Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。
汇总如下:
\Documents and Settings\<用户名字>\“开始”菜单\程序\启动
\Documents and Settings\All Users\“开始”菜单\程序\启动
|
|
本例通过注册表控制
注:使用注册表要有User 子句中添加 Registry 单元
- procedure TForm1.Button1Click(Sender: TObject);
- var
- mouse_key:Tregistry;
- begin
- mouse_key:=Tregistry.Create;
- begin
- mouse_key.RootKey:=Hkey_current_user;
- try
- if mouse_key.OpenKey('Control Panel\mouse',True) then
- begin
- if mouse_key.ValueExists(key_value) then
- if mouse_key.ReadString(key_value)=Left_M then
- begin
- SwapMouseButton(True);
- mouse_key.WriteString(key_value,right_M);
- end
- else
- begin
- SwapMousebutton(False);
- mouse_key.WriteString(key_value,Left_M);
- end;
- mouse_key.CloseKey;
- end;
- finally
- mouse_key.Free;
- end;
- end;
- end;
- end.
新建一个工程,主窗体命名为FrmCheckOnline,在窗体中添加 TAnimate,Tbutton和 TGroupBox 组件
自定一个函数测试连接状态
- function TFrmCheckOnline.CheckOffline: boolean;
- var
- ConnectState: DWORD;
- StateSize: DWORD;
- begin
- ConnectState:= 0;
- StateSize:= SizeOf(ConnectState);
- InternetQueryOption(nil, INTERNET_OPTION_CONNECTED_STATE, @ConnectState, StateSize);
- if (ConnectState and INTERNET_STATE_DISCONNECTED) =
- INTERNET_STATE_DISCONNECTED then
- result:= true
- else
- result:= false;
- end;
- procedure TFrmCheckOnline.BtnCheckClick(Sender: TObject);
- begin
- ani.Visible:=true;
- if CheckOffline then
- begin
- ani.Active:=false;
- showmessage('没在线!');
- end
- else
- begin
- ani.Active:=true;
- showmessage('在线!');
- end;
- end;
