清家当产，求delphi 通过hook技术拦截某个程序的数据包代码 ( 积分: 100 )

tanafenga · 2007-03-21

只要求提供简单代码！ 将截获的数据内容显示到拦截控制窗体的memo中就可以！ 网络上的很多代码，象外挂等等，都是不提供dll部分的源代码！哭死，找了几天了！ 250全部给他！！！我就这么多了！！

暗夜中独舞 · 2007-03-21

我刚做完的hook 比较乱 ，  unit UnitHookDll; interface uses   Windows, SysUtils, Classes, math, messages, dialogs, UnitNt2000Hook,   UnitHookType,Winsock; const   Trap=True;  //True陷阱式，False表示改引入表式   procedure StartHook;stdcall;   procedure StopHook;stdcall; implementation var   GetMsgHook:THandle;   pShMem: PShareMem;   hMappingFile: THandle;   HookSend:THookClass;{API HOOK类}   HookRecv:THookClass;{API HOOK类} procedure SendData(const SendText: string); var   DS: TCopyDataStruct; begin   DS.dwData := 0;   DS.cbData := Length(SendText);   DS.lpData := @SendText[1];   SendMessage(pShMem^.hProcWnd, WM_COPYDATA, 0, LongWord(@DS)); end; function MyRecv(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; var   RemoteAddr:TSockAddr;   RemoteAddrLen:Integer;   LocalAddr:TSockAddr;   LocalAddrLen:Integer;   str:array of char; begin   HookRecv.Restore;   RemoteAddrLen:=Sizeof(RemoteAddr);   LocalAddrLen:=Sizeof(LocalAddr);   getpeername(s,RemoteAddr,RemoteAddrLen);   getsockname(s,LocalAddr, LocalAddrLen);   pShMem^.LocalAddr:=LocalAddr;   pShMem^.RemoteAddr:=RemoteAddr;   MyRecv:=Recv(s,Buf,len,flags);   PostMessage(pShMem^.hProcWnd, WM_CALLHOOKAPI, FN_RECV, FN_RECV);   setLength(str,len);   copymemory(str,@buf,len);   SendData(string(str));   HookRecv.Change; end; function MySend(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; var   RemoteAddr:TSockAddr;   RemoteAddrLen:Integer;   LocalAddr:TSockAddr;   LocalAddrLen:Integer;   str:array of char; begin   HookSend.Restore;   RemoteAddrLen:=Sizeof(RemoteAddr);   LocalAddrLen:=Sizeof(LocalAddr);   getpeername(s,RemoteAddr,RemoteAddrLen); getsockname(s,LocalAddr, LocalAddrLen);   pShMem^.LocalAddr:=LocalAddr;   pShMem^.RemoteAddr:=RemoteAddr;   MySend:=Send(s,Buf,len,flags);   PostMessage(pShMem^.hProcWnd, WM_CALLHOOKAPI, FN_SEND, FN_SEND);   setlength(str,len);   copymemory(str,@buf,len);   SendData(string(str));   HookSend.Change; end; {消息钩子} function GetMsgHookProc(nCode: integer; wPar: WParam; lPar: LParam): lResult;stdcall; begin     Result := CallNextHookEx(GetMsgHook, nCode, wPar, lPar); end; procedure StartHook; stdcall; begin    if GetMsgHook=0 then    begin      GetMsgHook := SetWindowsHookEx(WH_GETMESSAGE, GetMsgHookProc, HInstance, 0);    end; end; procedure StopHook; stdcall; begin    if GetMsgHook<>0 then    begin       UnhookWindowsHookEx(GetMsgHook);       GetMsgHook:=0;    end; end; initialization         hMappingFile := OpenFileMapping(FILE_MAP_WRITE,False,MappingFileName);         if hMappingFile=0 then            hMappingFile := CreateFileMapping($FFFFFFFF,nil,PAGE_READWRITE,0,SizeOf(TShareMem),MappingFileName)         else         if hMappingFile=0 then Exception.Create('不能建立共享内存!');         pShMem :=  MapViewOfFile(hMappingFile,FILE_MAP_WRITE or FILE_MAP_READ,0,0,0);         if pShMem = nil then         begin            CloseHandle(hMappingFile);            Exception.Create('不能映射共享内存!');         end;        HookSend:=THookClass.Create(Trap,@Send,@MySend);        HookRecv:=THookClass.Create(Trap,@Recv,@MyRecv); finalization        HookSend.Destroy;        HookRecv.Destroy;        UnMapViewOfFile(pShMem); {取消映射视图}        CloseHandle(hMappingFile); {关闭映射文件句柄} end.

tanafenga · 2007-03-21

分给少了！不好意思，心急没注意！ 收到满意答复一定给，全部家产都给

暗夜中独舞 · 2007-03-21

//这个是HookAPI的类，不是我写的，是delphi深入windows下编程那本书里的 unit UnitNt2000Hook; interface uses classes, Windows,SysUtils, messages,dialogs; type   TImportCode = packed record      JumpInstruction: Word;      AddressOfPointerToFunction: PPointer;   end;   PImportCode = ^TImportCode;   PImage_Import_Entry = ^Image_Import_Entry;   Image_Import_Entry = record     Characteristics: DWORD;     TimeDateStamp: DWORD;     MajorVersion: Word;     MinorVersion: Word;     Name: DWORD;     LookupTable: DWORD;   end;   TLongJmp = packed record      JmpCode: ShortInt; {指令，用$E9来代替系统的指令}      FuncAddr: DWORD; {函数地址}   end;   THookClass = class   private      Trap:boolean; {调用方式：True陷阱式，False改引入表式}      hProcess: Cardinal; {进程句柄，只用于陷阱式}      AlreadyHook:boolean; {是否已安装Hook，只用于陷阱式}      AllowChange:boolean; {是否允许安装、卸载Hook，只用于改引入表式}      Oldcode: array[0..4]of byte; {系统函数原来的前5个字节}      Newcode: TLongJmp; {将要写在系统函数的前5个字节}   private   public      OldFunction,NewFunction

ointer;{被截函数、自定义函数}      constructor Create(IsTrap:boolean;OldFun,NewFun

ointer);      constructor Destroy;      procedure Restore;      procedure Change;   published   end; implementation {取函数的实际地址。如果函数的第一个指令是Jmp，则取出它的跳转地址（实际地址），这往往是由于程序中含有Debug调试信息引起的} function FinalFunctionAddress(Code: Pointer): Pointer; Var   func: PImportCode; begin   Result:=Code;   if Code=nil then exit;   try     func:=code;     if (func.JumpInstruction=$25FF) then       {指令二进制码FF 25  汇编指令jmp [...]}       Func:=func.AddressOfPointerToFunction^;     result:=Func;   except     Result:=nil;   end; end; {更改引入表中指定函数的地址，只用于改引入表式} function PatchAddressInModule(BeenDone:Tlist;hModule: THandle; OldFunc,NewFunc: Pointer):integer; const    SIZE=4; Var    Dos: PImageDosHeader;    NT: PImageNTHeaders;    ImportDesc: PImage_Import_Entry;    rva: DWORD;    Func: PPointer;    DLL: String;    f: Pointer;    written: DWORD;    mbi_thunk:TMemoryBasicInformation;    dwOldProtect

WORD; begin   Result:=0;   if hModule=0 then exit;   Dos:=Pointer(hModule);   {如果这个DLL模块已经处理过，则退出。BeenDone包含已处理的DLL模块}   if BeenDone.IndexOf(Dos)>=0 then exit;   BeenDone.Add(Dos);{把DLL模块名加入BeenDone}   OldFunc:=FinalFunctionAddress(OldFunc);{取函数的实际地址}   {如果这个DLL模块的地址不能访问，则退出}   if IsBadReadPtr(Dos,SizeOf(TImageDosHeader)) then exit;   {如果这个模块不是以'MZ'开头，表明不是DLL，则退出}   if Dos.e_magic<>IMAGE_DOS_SIGNATURE then exit;{IMAGE_DOS_SIGNATURE='MZ'}   {定位至NT Header}   NT :=Pointer(Integer(Dos) + dos._lfanew);   {定位至引入函数表}   RVA:=NT^.OptionalHeader.      DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;   if RVA=0 then exit;{如果引入函数表为空，则退出}   {把函数引入表的相对地址RVA转换为绝对地址}   ImportDesc := pointer(DWORD(Dos)+RVA);{Dos是此DLL模块的首地址}   {遍历所有被引入的下级DLL模块}   While (ImportDesc^.Name<>0) do   begin     {被引入的下级DLL模块名字}     DLL:=PChar(DWORD(Dos)+ImportDesc^.Name);     {把被导入的下级DLL模块当做当前模块，进行递归调用}     PatchAddressInModule(BeenDone,GetModuleHandle(PChar(DLL)),OldFunc,NewFunc);     {定位至被引入的下级DLL模块的函数表}     Func:=Pointer(DWORD(DOS)+ImportDesc.LookupTable);     {遍历被引入的下级DLL模块的所有函数}     While Func^<>nil do     begin       f:=FinalFunctionAddress(Func^);{取实际地址}       if f=OldFunc then {如果函数实际地址就是所要找的地址}       begin          VirtualQuery(Func,mbi_thunk, sizeof(TMemoryBasicInformation));          VirtualProtect(Func,SIZE,PAGE_EXECUTE_WRITECOPY,mbi_thunk.Protect);{更改内存属性}          WriteProcessMemory(GetCurrentProcess,Func,@NewFunc,SIZE,written);{把新函数地址覆盖它}          VirtualProtect(Func, SIZE, mbi_thunk.Protect,dwOldProtect);{恢复内存属性}       end;       If Written=4 then Inc(Result); //      else showmessagefmt('error:%d',[Written]);       Inc(Func);{下一个功能函数}     end;     Inc(ImportDesc);{下一个被引入的下级DLL模块}   end; end; {HOOK的入口，其中IsTrap表示是否采用陷阱式} constructor THookClass.Create(IsTrap:boolean;OldFun,NewFun

ointer); begin    {求被截函数、自定义函数的实际地址}    OldFunction:=FinalFunctionAddress(OldFun);    NewFunction:=FinalFunctionAddress(NewFun);    Trap:=IsTrap;    if Trap then{如果是陷阱式}    begin       {以特权的方式来打开当前进程}       hProcess := OpenProcess(PROCESS_ALL_ACCESS,FALSE, GetCurrentProcessID);       {生成jmp xxxx的代码，共5字节}       Newcode.JmpCode := ShortInt($E9); {jmp指令的十六进制代码是E9}       NewCode.FuncAddr := DWORD(NewFunction) - DWORD(OldFunction) - 5;       {保存被截函数的前5个字节}       move(OldFunction^,OldCode,5);       {设置为还没有开始HOOK}       AlreadyHook:=false;    end;    {如果是改引入表式，将允许HOOK}    if not Trap then AllowChange:=true;    Change; {开始HOOK}    {如果是改引入表式，将暂时不允许HOOK}    if not Trap then AllowChange:=false; end; {HOOK的出口} constructor THookClass.Destroy; begin    {如果是改引入表式，将允许HOOK}    if not Trap then AllowChange:=true;    Restore; {停止HOOK}    if Trap then{如果是陷阱式}       CloseHandle(hProcess); end; {开始HOOK} procedure THookClass.Change; var    nCount: DWORD;    BeenDone: TList; begin   if Trap then{如果是陷阱式}   begin     if (AlreadyHook)or (hProcess = 0) or (OldFunction = nil) or (NewFunction = nil) then         exit;     AlreadyHook:=true;{表示已经HOOK}     WriteProcessMemory(hProcess, OldFunction, @(Newcode), 5, nCount);   end   else begin{如果是改引入表式}        if (not AllowChange)or(OldFunction=nil)or(NewFunction=nil)then exit;        BeenDone:=TList.Create; {用于存放当前进程所有DLL模块的名字}        try          PatchAddressInModule(BeenDone,GetModuleHandle(nil),OldFunction,NewFunction);        finally          BeenDone.Free;        end;   end; end; {恢复系统函数的调用} procedure THookClass.Restore; var    nCount: DWORD;    BeenDone: TList; begin   if Trap then{如果是陷阱式}   begin     if (not AlreadyHook) or (hProcess = 0) or (OldFunction = nil) or (NewFunction = nil) then         exit;     WriteProcessMemory(hProcess, OldFunction, @(Oldcode), 5, nCount);     AlreadyHook:=false;{表示退出HOOK}   end   else begin{如果是改引入表式}     if (not AllowChange)or(OldFunction=nil)or(NewFunction=nil)then exit;     BeenDone:=TList.Create;{用于存放当前进程所有DLL模块的名字}     try       PatchAddressInModule(BeenDone,GetModuleHandle(nil),NewFunction,OldFunction);     finally       BeenDone.Free;     end;   end; end; end.

tanafenga · 2007-03-21

暗夜中独舞 谢谢！你这个是专门在2000下的吧！ 能写个xp下简单的代码吗？

暗夜中独舞 · 2007-03-21

unit UnitHookType; interface uses   windows, messages,winsock; const     MaxStringLen = 100;     WM_CALLHOOKAPI = WM_USER + 1139;     FN_SEND=1;     FN_RECV=2;     MappingFileName = 'Hook API for NT 2000 XP'; type     TShareMem = packed record         hProcWnd: HWND; {主应用窗口句柄}         RemoteAddr:TSockAddr;         LocalAddr:TSockAddr;     end;     PShareMem = ^TShareMem; implementation end.

暗夜中独舞 · 2007-03-21

这个XP下也可以用 我就是XP下调试过的

暗夜中独舞 · 2007-03-21

//EXE的主要代码 //如果有需要我把EXE的部分也全贴出来 procedure TForm1.WMCopyData(var Msg: TWMCopyData); var   S: string; begin   SetLength(S, Msg.CopyDataStruct.cbData);   CopyMemory(@S[1], Msg.CopyDataStruct.lpData, Msg.CopyDataStruct.cbData);   buttondown(S);   inherited; end; //把提交的头给你，你自己处理 procedure TForm1.buttondown(s:string); var   List1:TStringList;   i:integer; begin   List1:=TStringList.Create;   List1.Text:=s;   for i:=0 to List1.Count-1 do   begin      ListBox1.Items.Add(list1);   end;   List1.Free; end;

tanafenga · 2007-03-21

暗夜中独舞 那太好了！ 我看了一下你使用的了共享内存！你的控制程序的代码能提供吗？ 或者写个简单的，就把数据内容显示在memo内就好了！ 谢谢谢谢谢谢谢谢谢谢！跪求了

暗夜中独舞 · 2007-03-21

//控制程序的代码我是把数据发到TListBox上 //你看看吧。。。。。。。。。。。 unit UnitMain; interface uses   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,   Dialogs, StdCtrls, ExtCtrls,UnitHookType; type   TForm1 = class(TForm)     Panel1: TPanel;     ListBox1: TListBox;     Button1: TButton;     Edit1: TEdit;     Edit2: TEdit;     Edit3: TEdit;     Edit4: TEdit;     Edit5: TEdit;     Edit6: TEdit;     Edit7: TEdit;     Edit8: TEdit;     Button2: TButton;     Button3: TButton;     procedure FormCreate(Sender: TObject);     procedure FormClose(Sender: TObject; var Action: TCloseAction);     procedure Button1Click(Sender: TObject);     procedure Button2Click(Sender: TObject);     procedure Button3Click(Sender: TObject);   private     { Private declarations }     hMapObj : THandle;     pShMem : PShareMem;     fWndClosed:boolean;{是否正在退出主程序}     procedure WMCopyData(var Msg: TWMCopyData); message WM_COPYDATA;     procedure WMCallHookAPI(var Msg:TMessage);message WM_CALLHOOKAPI;     procedure buttondown(s:string);   public     { Public declarations }   end; var   Form1: TForm1;   procedure StartHook; stdcall; external 'HookDll.dll';   procedure StopHook; stdcall; external 'HookDll.dll'; implementation {$R *.dfm} procedure TForm1.WMCallHookAPI(var Msg:TMessage); begin   if Msg.WParam=FN_RECV then      ListBox1.Items.Add('接受：')   else if Msg.WParam=FN_SEND then      ListBox1.Items.Add('发送');   Edit1.Text:=IntToStr(pShMem^.RemoteAddr.sin_port);   Edit2.Text:=IntToStr(pShMem^.LocalAddr.sin_family);   //Edit3.Text:=IntToStr(pShMem^.RemoteAddr.sin_addr);   Edit4.Text:=IntToStr(pShMem^.RemoteAddr.sa_family);   Edit6.Text:=IntToStr(pShMem^.LocalAddr.sin_family);   Edit5.Text:=IntToStr(pShMem^.LocalAddr.sin_port);   //Edit7.Text:=IntToStr(pShMem^.LocalAddr.sin_addr);   Edit8.Text:=IntToStr(pShMem^.LocalAddr.sa_family); end; procedure TForm1.WMCopyData(var Msg: TWMCopyData); var   S: string; begin   SetLength(S, Msg.CopyDataStruct.cbData);   CopyMemory(@S[1], Msg.CopyDataStruct.lpData, Msg.CopyDataStruct.cbData);   buttondown(S);   inherited; end; //把提交的头给你，你自己处理 procedure TForm1.buttondown(s:string); var   List1:TStringList;   i:integer; begin   List1:=TStringList.Create;   List1.Text:=s;   for i:=0 to List1.Count-1 do   begin      ListBox1.Items.Add(list1);   end;   List1.Free; end; procedure TForm1.FormCreate(Sender: TObject); begin   hMapObj := OpenFileMapping(FILE_MAP_WRITE,{获取完全访问映射文件}                              False,{不可继承的}                              LPCTSTR(MappingFileName));{映射文件名字}   {if hMapObj = 0 then     hMapObj := CreateFileMapping($FFFFFFFF,nil,PAGE_READWRITE,0,SizeOf(TShareMem),MappingFileName)   else   if hMapObj=0 then Exception.Create('不能建立共享内存!');}     if hMapObj = 0 then   begin     ShowMessage('不能定位内存映射文件块!');     Halt;   end;   pShMem := MapViewOfFile(hMapObj,FILE_MAP_WRITE,0,0,0);   if pShMem = nil then   begin     ShowMessage('映射文件错误'+ IntToStr(GetLastError));     CloseHandle(hMapObj);     Halt;   end;   FillChar(pShMem^, SizeOf(TShareMem), 0);   pShMem^.hProcWnd := Self.Handle;   fWndClosed:=false; end; procedure TForm1.FormClose(Sender: TObject; var Action: TCloseAction); begin   fWndClosed := True;{正在退出主程序}   if Button1.caption<>'开始' then      Button1.Click; end; procedure TForm1.Button1Click(Sender: TObject); begin   if Button1.caption='开始' then   begin      StartHook;      Button1.caption:='停止';   end   else begin      StopHook;      Button1.caption:='开始';   end; end; procedure TForm1.Button2Click(Sender: TObject); begin   ListBox1.Clear; end; procedure TForm1.Button3Click(Sender: TObject); begin   ListBox1.Items.SaveToFile(ExtractFilePath(Application.ExeName)+'result.txt'); end; end.

tanafenga · 2007-03-21

可以给您的QQ或者EMAIL吗？有机会向多想您请教

暗夜中独舞 · 2007-03-21

这是用hook技术来实现的，我只把数据包拦截下来  但是不会分析 有机会我们再一起讨论下如何分析

暗夜中独舞 · 2007-03-21

我的QQ:66054635 Email:chenyi.mailbox@163.com

tanafenga · 2007-03-21

接受答案了.

清家当产，求delphi 通过hook技术拦截某个程序的数据包代码 ( 积分: 100 )

tanafenga

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

tanafenga

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

tanafenga

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

tanafenga

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

tanafenga

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

暗夜中独舞

Unregistered / Unconfirmed

tanafenga

Unregistered / Unconfirmed

Similar threads