перехват

← →
Игорь Шевченко © (2004-09-10 11:03) [120]

kaZaNoVa (10.09.04 10:27) [119]

> а что за "драйвер" тут недавно был на КОЛ ?

На Delphi драйвер написать нельзя в силу того, что в любой программе на Delphi присутствуют вызовы функций из DLL пользовательского режима, которые недопустимы в драйвере. Хоть KOL, хоть еще что. Если кто-то найдет способ, как поменять RTL таким образом, чтобы не было обращений к тем самым DLL, тогда можно будет. Пока не поменяли - нельзя.

← →
Burmistroff (2004-09-10 18:20) [121]

По поводу скрытия процессов -- недавно презентацию/публикацию видел, где показывалось что в принципе можно скрыть процесс поменяв ссылки в EPROCESS/KPROCESS (не помню точно где) на следующие/предыдущие элементы связного списка. Насколько я представляю, тогда процесс действительно будет обнаружить не так просто, хотя он будет оставаться законным процессом... так вот :-/

← →
kaZaNoVa (2004-09-10 19:59) [122]

[121] Burmistroff (10.09.04 18:20)
- что-то про такое не слышал ......
поясни ?

← →
noname © (2004-09-12 07:35) [123]

Игорь, поменяй SysInit и System на свои. И ничего не будет импортироваться из DLL.
System.pas:
unit System; interface procedure _InitExe; procedure _HandleFinally; procedure _halt0; function ZwTerminateProcess(hProc: LongWord; Code: LongWord): Integer; stdcall; external "ntoskrnl.exe" name "ZwTerminateProcess"; function ZwTerminateProcess2(hProc: LongWord; Code: LongWord): Integer; stdcall; external "ntdll.dll" name "ZwTerminateProcess"; type TGUID = record D1: LongWord; D2: Word; D3: Word; D4: array [0..7] of Byte; end; implementation procedure _InitExe; asm end; procedure _HandleFinally; asm end; procedure _halt0; asm push 0 push $FFFFFFFF call ZwTerminateProcess2 end; end.

А потом смени Subsystem в PE-заголовке.
DriverEntry = begin end.
Потом ссылки корректируешь на загрузку, выгрузку, etc.

← →
VMcL © (2004-09-12 12:36) [124]

>>noname © (12.09.04 07:35) [123]

Зачем удалять гланды через задний проход, когда можно спокойно и удобно написать драйвер на MSVC++ или MASM?

← →
Alekc (2004-09-12 15:16) [125]

Не помню где, но видел исходники vxd на дельфи, с небольшой вставкой на асме... а что тогда vxd если не драйвер ?

← →
kaZaNoVa (2004-09-12 19:15) [126]

[123] noname © (12.09.04 07:35)
выложи где-нить откопмилированные DCU, если не сложно ...
- для 7 делфи ..
- имхо компилять system.pas сложно ...

← →
Игорь Шевченко © (2004-09-13 10:34) [127]

Alekc (12.09.04 15:16) [125]

Он не на Delphi, он на ассемблере. Эта статья уже обсуждалась давно и долго.

noname © (12.09.04 07:35) [123]

Охотно верю.

Кстати, каких возможностей я при этом лишаюсь ?

← →
noname © (2004-09-13 12:44) [128]

kaZaNoVa (12.09.04 19:15) [126]
Компиль батником:
G:\PROGRAMMING\Delphi7\Bin\dcc32 -q system sysinit -m -y -z -$D IF EXIST SysInit.~pas DEL SysInit.~pas if exist System.~pas del System.~pas
Игорь Шевченко © (13.09.04 10:34) [127]
Таких же, как и при программировании драйвера на C или асме.
То есть использовании только нативных функции(Subsystem=Native).

← →
Burmistroff (2004-09-13 20:29) [129]

>noname
Хм... забавный подход. А есть какие-либо работающие (пусть даже самые примитивные) исходники драйвера такого рода? Хотелось бы попробовать :) Если не сложно, буду признателен получить их на divineglitch@mail.ru :)
Относительно преимуществ, полагаю, что имелось ввиду отсутсвие описаний тех самых NativeAPI, различных структур и прочих вещей из DDK -- все-таки самому вручную их набивать немного лень, равно как и транслятор писать, если такого еще нет :)...

← →
Игорь Шевченко © (2004-09-14 09:23) [130]

> Относительно преимуществ, полагаю, что имелось ввиду отсутсвие
> описаний тех самых NativeAPI, различных структур и прочих
> вещей из DDK

Их как раз есть - и в Jedi и у отдельных энтузиастов

← →
Vlad Oshin © (2004-09-14 11:53) [131]

спасибо

← →
noname © (2004-09-14 12:09) [132]

Я сейчас как раз пишу конвертер C-типов в Delphi.

← →
Игорь Шевченко © (2004-09-14 12:48) [133]

noname © (14.09.04 12:09) [132]

В Jedi есть headconv.exe
Там же, заодно, куча всего отконвертированого.

http://www.delphi-jedi.org

← →
noname © (2004-09-14 15:49) [134]

Видел. Но всё-таки интересно написать свой конвертер.

← →
kaZaNoVa © (2004-09-16 19:59) [135]

noname © (13.09.04 12:44) [128]
а как из драйвера например прочитать файл ?
Read - не пойдёт ?

← →
cerber1 (2004-09-17 23:08) [136]

Может не в тему, но у меня, на Д5,
RtlEnterCriticalSection
отсутсвует, есть только
EnterCriticalSection. Что делать?

← →
kaZaNoVa © (2004-09-23 18:50) [137]

http://delphimaster.net/view/4-1095880863/
людям интересно )))))

← →
noname © (2004-09-23 19:02) [138]

kaZaNoVa © (16.09.04 19:59) [135]
Используй NativeAPI, пред этом прочитав пару книжек.
cerber1: RtlEnterCriticalSection - нет объявленна ни в одном стандартном юните Делфи.
Сам объявляй. Ищи прототип функции.

← →
kaZaNoVa © (2004-09-23 19:07) [139]

noname © (23.09.04 19:02) [138]
ок, буду понемногу книги читать .. :))
- какие порекомендуешь ?

← →
cerber1 (2004-09-23 23:03) [140]

← →
Fakir_SUPER_Proframmer (2004-10-03 20:29) [141]

ну, дык, где сам код перехвата нужной функции ???

← →
n0name (2004-10-04 10:12) [142]

Про NativeAPI:
Свен Шрайбер "Недокументированные возможности Windows 2000"
Гарри Неббет
Baker Jerry Lozano "The Windows 2000 Device Driver Book, A Guide for Programmers, Second Edition Art"
Oney, Walter "Programming the Microsoft Windows Driver Model"
Руссиновича с Соломоном, Пиетрека

n0name (04.10.04 10:12) [142]
а Архангельский рулит ?

Fakir_SUPER_Proframmer (03.10.04 20:29) [141]
а что тебе нужно ?
-код - в этой "бессмертной" ветке :))

n0name (04.10.04 10:12) [142]
;))

у меня идея, может всю информацию этй ветки собрать и оформить ввиде статьи ???

Удалено модератором
Примечание: Offtopic

перехват Найти похожие ветки