开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Delphi控件源码 > 查看源码
afxCodeHook.pas
资源名称:DarkMoon.rar [点击查看]
上传用户:hndmjx
上传日期:2014-09-16
资源大小:3369k
文件大小:31k
源码类别:

Delphi控件源码

开发平台:

Delphi

afxCodeHook.pas:源码内容
  1. {
  2.   Delphi Hooking Library by Aphex
  3.   http://www.iamaphex.cjb.net/
  4.   unremote@knology.net
  5. }
  7. unit afxCodeHook;
  9. {$IMAGEBASE $13140000}
  11. interface
  13. uses
  14.   Windows;
  16. function SizeOfCode(Code: pointer): dword;
  17. function SizeOfProc(Proc: pointer): dword;
  19. function InjectString(Process: LongWord; Text: pchar): pchar;
  20. function InjectMemory(Process: LongWord; Memory: pointer; Len: dword): pointer;
  21. function InjectThread(Process: dword; Thread: pointer; Info: pointer; InfoLen: dword; Results: boolean): THandle;
  22. function InjectLibrary(Process: LongWord; ModulePath: string): boolean; overload;
  23. function InjectLibrary(Process: LongWord; Src: pointer): boolean; overload;
  24. function InjectExe(Process: LongWord; EntryPoint: pointer): boolean;
  25. function UninjectLibrary(Process: LongWord; ModulePath: string): boolean;
  27. function CreateProcessEx(lpApplicationName: pchar; lpCommandLine: pchar; lpProcessAttributes, lpThreadAttributes: PSecurityAttributes; bInheritHandles: boolean; dwCreationFlags: longword; lpEnvironment: pointer; lpCurrentDirectory: pchar; const lpStartupInfo: TStartupInfo; var lpProcessInformation: TProcessInformation; ModulePath:  string): boolean; overload;
  28. function CreateProcessEx(lpApplicationName: pchar; lpCommandLine: pchar; lpProcessAttributes, lpThreadAttributes: PSecurityAttributes; bInheritHandles: boolean; dwCreationFlags: longword; lpEnvironment: pointer; lpCurrentDirectory: pchar; const lpStartupInfo: TStartupInfo; var lpProcessInformation: TProcessInformation; Src: pointer): boolean; overload;
  30. function HookCode(TargetModule, TargetProc: string; NewProc: pointer; var OldProc: pointer): boolean;
  31. function UnhookCode(OldProc: pointer): boolean;
  33. function DeleteFileEx(FilePath: pchar): boolean;
  34. function DisableSFC: boolean;
  36. implementation
  38. type
  39.   TModuleList = array of cardinal;
  41.   PImageImportDescriptor = ^TImageImportDescriptor;
  42.   TImageImportDescriptor = packed record
  43.     OriginalFirstThunk: longword;
  44.     TimeDateStamp: longword;
  45.     ForwarderChain: longword;
  46.     Name: longword;
  47.     FirstThunk: longword;
  48.   end;
  50.   PImageBaseRelocation = ^TImageBaseRelocation;
  51.   TImageBaseRelocation = packed record
  52.     VirtualAddress: cardinal;
  53.     SizeOfBlock: cardinal;
  54.   end;
  56.   TDllEntryProc = function(hinstDLL: HMODULE; dwReason: longword; lpvReserved: pointer): boolean; stdcall;
  58.   TStringArray = array of string;
  60.   TLibInfo = record
  61.     ImageBase: pointer;
  62.     ImageSize: longint;
  63.     DllProc: TDllEntryProc;
  64.     DllProcAddress: pointer;
  65.     LibsUsed: TStringArray;
  66.   end;
  68.   PLibInfo = ^TLibInfo;
  69.   Ppointer = ^pointer;
  71.   TSections = array [0..0] of TImageSectionHeader;
  73. const
  74.   IMPORTED_NAME_OFFSET = $00000002;
  75.   IMAGE_ORDINAL_FLAG32 = $80000000;
  76.   IMAGE_ORDINAL_MASK32 = $0000FFFF;
  78.   Opcodes1: array [0..255] of word =
  79.   (
  80.     (16913),(17124),(8209),(8420),(33793),(35906),(0),(0),(16913),(17124),(8209),(8420),(33793),(35906),(0),(0),(16913),
  81.     (17124),(8209),(8420),(33793),(35906),(0),(0),(16913),(17124),(8209),(8420),(33793),(35906),(0),(0),(16913),
  82.     (17124),(8209),(8420),(33793),(35906),(0),(32768),(16913),(17124),(8209),(8420),(33793),(35906),(0),(32768),(16913),
  83.     (17124),(8209),(8420),(33793),(35906),(0),(32768),(529),(740),(17),(228),(1025),(3138),(0),(32768),(24645),
  84.     (24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(69),
  85.     (69),(69),(69),(69),(69),(69),(69),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(24645),(0),
  86.     (32768),(228),(16922),(0),(0),(0),(0),(3072),(11492),(1024),(9444),(0),(0),(0),(0),(5120),
  87.     (5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(5120),(1296),
  88.     (3488),(1296),(1440),(529),(740),(41489),(41700),(16913),(17124),(8209),(8420),(17123),(8420),(227),(416),(0),
  89.     (57414),(57414),(57414),(57414),(57414),(57414),(57414),(32768),(0),(0),(0),(0),(0),(0),(32768),(33025),
  90.     (33090),(769),(834),(0),(0),(0),(0),(1025),(3138),(0),(0),(32768),(32768),(0),(0),(25604),
  91.     (25604),(25604),(25604),(25604),(25604),(25604),(25604),(27717),(27717),(27717),(27717),(27717),(27717),(27717),(27717),(17680),
  92.     (17824),(2048),(0),(8420),(8420),(17680),(19872),(0),(0),(2048),(0),(0),(1024),(0),(0),(16656),
  93.     (16800),(16656),(16800),(33792),(33792),(0),(32768),(8),(8),(8),(8),(8),(8),(8),(8),(5120),
  94.     (5120),(5120),(5120),(33793),(33858),(1537),(1602),(7168),(7168),(0),(5120),(32775),(32839),(519),(583),(0),
  95.     (0),(0),(0),(0),(0),(8),(8),(0),(0),(0),(0),(0),(0),(16656),(416)
  96.   );
  98.   Opcodes2: array [0..255] of word =
  99.   (
  100.     (280),(288),(8420),(8420),(65535),(0),(0),(0),(0),(0),(65535),(65535),(65535),(272),(0),(1325),(63),
  101.     (575),(63),(575),(63),(63),(63),(575),(272),(65535),(65535),(65535),(65535),(65535),(65535),(65535),(16419),
  102.     (16419),(547),(547),(65535),(65535),(65535),(65535),(63),(575),(47),(575),(61),(61),(63),(63),(0),
  103.     (32768),(32768),(32768),(0),(0),(65535),(65535),(65535),(65535),(65535),(65535),(65535),(65535),(65535),(65535),(8420),
  104.     (8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(8420),(16935),
  105.     (63),(63),(63),(63),(63),(63),(63),(63),(63),(63),(63),(63),(63),(63),(63),(237),
  106.     (237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(101),(237),(1261),
  107.     (1192),(1192),(1192),(237),(237),(237),(0),(65535),(65535),(65535),(65535),(65535),(65535),(613),(749),(7168),
  108.     (7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(7168),(16656),
  109.     (16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(16656),(0),
  110.     (0),(32768),(740),(18404),(17380),(49681),(49892),(0),(0),(0),(17124),(18404),(17380),(32),(8420),(49681),
  111.     (49892),(8420),(17124),(8420),(8932),(8532),(8476),(65535),(65535),(1440),(17124),(8420),(8420),(8532),(8476),(41489),
  112.     (41700),(1087),(548),(1125),(9388),(1087),(33064),(24581),(24581),(24581),(24581),(24581),(24581),(24581),(24581),(65535),
  113.     (237),(237),(237),(237),(237),(749),(8364),(237),(237),(237),(237),(237),(237),(237),(237),(237),
  114.     (237),(237),(237),(237),(237),(63),(749),(237),(237),(237),(237),(237),(237),(237),(237),(65535),
  115.     (237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(237),(0)
  116.   );
  118.   Opcodes3: array [0..9] of array [0..15] of word =
  119.   (
  120.     ((1296),(65535),(16656),(16656),(33040),(33040),(33040),(33040),(1296),(65535),(16656),(16656),(33040),(33040),(33040),(33040)),
  121.     ((3488),(65535),(16800),(16800),(33184),(33184),(33184),(33184),(3488),(65535),(16800),(16800),(33184),(33184),(33184),(33184)),
  122.     ((288),(288),(288),(288),(288),(288),(288),(288),(54),(54),(48),(48),(54),(54),(54),(54)),
  123.     ((288),(65535),(288),(288),(272),(280),(272),(280),(48),(48),(0),(48),(0),(0),(0),(0)),
  124.     ((288),(288),(288),(288),(288),(288),(288),(288),(54),(54),(54),(54),(65535),(0),(65535),(65535)),
  125.     ((288),(65535),(288),(288),(65535),(304),(65535),(304),(54),(54),(54),(54),(0),(54),(54),(0)),
  126.     ((296),(296),(296),(296),(296),(296),(296),(296),(566),(566),(48),(48),(566),(566),(566),(566)),
  127.     ((296),(65535),(296),(296),(272),(65535),(272),(280),(48),(48),(48),(48),(48),(48),(65535),(65535)),
  128.     ((280),(280),(280),(280),(280),(280),(280),(280),(566),(566),(48),(566),(566),(566),(566),(566)),
  129.     ((280),(65535),(280),(280),(304),(296),(304),(296),(48),(48),(48),(48),(0),(54),(54),(65535))
  130.   );
  132. function SaveOldFunction(Proc: pointer; Old: pointer): longword; forward;
  133. function GetProcAddressEx(Process: LongWord; lpModuleName, lpProcName: pchar): pointer; forward;
  134. function MapLibrary(Process: LongWord; Dest, Src: pointer): TLibInfo; forward;
  136. function SizeOfCode(Code: pointer): longword;
  137. var
  138.   Opcode: word;
  139.   Modrm: byte;
  140.   Fixed, AddressOveride: boolean;
  141.   Last, OperandOveride, Flags, Rm, Size, Extend: longword;
  142. begin
  143.   try
  144.     Last := longword(Code);
  145.     if Code <> nil then
  146.     begin
  147.       AddressOveride := False;
  148.       Fixed := False;
  149.       OperandOveride := 4;
  150.       Extend := 0;
  151.       repeat
  152.         Opcode := byte(Code^);
  153.         Code := pointer(longword(Code) + 1);
  154.         if Opcode = $66 then
  155.         begin
  156.           OperandOveride := 2;
  157.         end
  158.         else if Opcode = $67 then
  159.         begin
  160.           AddressOveride := True;
  161.         end
  162.         else
  163.         begin
  164.           if not ((Opcode and $E7) = $26) then
  165.           begin
  166.             if not (Opcode in [$64..$65]) then
  167.             begin
  168.               Fixed := True;
  169.             end;
  170.           end;
  171.         end;
  172.       until Fixed;
  173.       if Opcode = $0f then
  174.       begin
  175.         Opcode := byte(Code^);
  176.         Flags := Opcodes2[Opcode];
  177.         Opcode := Opcode + $0f00;
  178.         Code := pointer(longword(Code) + 1);
  179.       end
  180.       else
  181.       begin
  182.         Flags := Opcodes1[Opcode];
  183.       end;
  184.       if ((Flags and $0038) <> 0) then
  185.       begin
  186.         Modrm := byte(Code^);
  187.         Rm := Modrm and $7;
  188.         Code := pointer(longword(Code) + 1);
  189.         case (Modrm and $c0) of
  190.           $40: Size := 1;
  191.           $80:
  192.             begin
  193.               if AddressOveride then
  194.               begin
  195.                 Size := 2;
  196.               end
  197.               else
  198.                 Size := 4;
  199.               end;
  200.           else
  201.           begin
  202.             Size := 0;
  203.           end;
  204.         end;
  205.         if not (((Modrm and $c0) <> $c0) and AddressOveride) then
  206.         begin
  207.           if (Rm = 4) and ((Modrm and $c0) <> $c0) then
  208.           begin
  209.             Rm := byte(Code^) and $7;
  210.           end;
  211.           if ((Modrm and $c0 = 0) and (Rm = 5)) then
  212.           begin
  213.             Size := 4;
  214.           end;
  215.           Code := pointer(longword(Code) + Size);
  216.         end;
  217.         if ((Flags and $0038) = $0008) then
  218.         begin
  219.           case Opcode of
  220.             $f6: Extend := 0;
  221.             $f7: Extend := 1;
  222.             $d8: Extend := 2;
  223.             $d9: Extend := 3;
  224.             $da: Extend := 4;
  225.             $db: Extend := 5;
  226.             $dc: Extend := 6;
  227.             $dd: Extend := 7;
  228.             $de: Extend := 8;
  229.             $df: Extend := 9;
  230.           end;
  231.           if ((Modrm and $c0) <> $c0) then
  232.           begin
  233.             Flags := Opcodes3[Extend][(Modrm shr 3) and $7];
  234.           end
  235.           else
  236.           begin
  237.             Flags := Opcodes3[Extend][((Modrm shr 3) and $7) + 8];
  238.           end;
  239.         end;
  240.       end;
  241.       case (Flags and $0C00) of
  242.         $0400: Code := pointer(longword(Code) + 1);
  243.         $0800: Code := pointer(longword(Code) + 2);
  244.         $0C00: Code := pointer(longword(Code) + OperandOveride);
  245.         else
  246.         begin
  247.           case Opcode of
  248.             $9a, $ea: Code := pointer(longword(Code) + OperandOveride + 2);
  249.             $c8: Code := pointer(longword(Code) + 3);
  250.             $a0..$a3:
  251.               begin
  252.                 if AddressOveride then
  253.                 begin
  254.                   Code := pointer(longword(Code) + 2)
  255.                 end
  256.                 else
  257.                 begin
  258.                   Code := pointer(longword(Code) + 4);
  259.                 end;
  260.               end;
  261.           end;
  262.         end;
  263.       end;
  264.     end;
  265.     Result := longword(Code) - Last;
  266.   except
  267.     Result := 0;
  268.   end;
  269. end;
  271. function SizeOfProc(Proc: pointer): longword;
  272. var
  273.   Length: longword;
  274. begin
  275.   Result := 0;
  276.   repeat
  277.     Length := SizeOfCode(Proc);
  278.     Inc(Result, Length);
  279.     if ((Length = 1) and (byte(Proc^) = $C3)) then Break;
  280.     Proc := pointer(longword(Proc) + Length);
  281.   until Length = 0;
  282. end;
  284. function InjectString(Process: LongWord; Text: pchar): pchar;
  285. var
  286.   BytesWritten: longword;
  287. begin
  288.   Result := VirtualAllocEx(Process, nil, Length(Text) + 1, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  289.   WriteProcessMemory(Process, Result, Text, Length(Text) + 1, BytesWritten);
  290. end;
  292. function InjectMemory(Process: LongWord; Memory: pointer; Len: longword): pointer;
  293. var
  294.   BytesWritten: longword;
  295. begin
  296.   Result := VirtualAllocEx(Process, nil, Len, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  297.   WriteProcessMemory(Process, Result, Memory, Len, BytesWritten);
  298. end;
  300. function InjectThread(Process: longword; Thread: pointer; Info: pointer; InfoLen: longword; Results: boolean): THandle;
  301. var
  302.   pThread, pInfo: pointer;
  303.   BytesRead, TID: longword;
  304. begin
  305.   pInfo := InjectMemory(Process, Info, InfoLen);
  306.   pThread := InjectMemory(Process, Thread, SizeOfProc(Thread));
  307.   Result := CreateRemoteThread(Process, nil, 0, pThread, pInfo, 0, TID);
  308.   if Results then
  309.   begin
  310.     WaitForSingleObject(Result, INFINITE);
  311.     ReadProcessMemory(Process, pInfo, Info, InfoLen, BytesRead);
  312.   end;
  313. end;
  315. function InjectLibrary(Process: LongWord; ModulePath: string): boolean;
  316. type
  317.   TInjectLibraryInfo = record
  318.     pLoadLibrary: pointer;
  319.     lpModuleName: pointer;
  320.     pSleep: pointer;
  321.   end;
  322. var
  323.   InjectLibraryInfo: TInjectLibraryInfo;
  324.   Thread: THandle;
  326.   procedure InjectLibraryThread(lpParameter: pointer); stdcall;
  327.   var
  328.     InjectLibraryInfo: TInjectLibraryInfo;
  329.   begin
  330.     InjectLibraryInfo := TInjectLibraryInfo(lpParameter^);
  331.     asm
  332.       push InjectLibraryInfo.lpModuleName
  333.       call InjectLibraryInfo.pLoadLibrary
  334.       @noret:
  335.         mov eax, $FFFFFFFF
  336.         push eax
  337.         call InjectLibraryInfo.pSleep
  338.       jmp @noret
  339.     end;
  340.   end;
  342. begin
  343.   Result := False;
  344.   InjectLibraryInfo.pSleep := GetProcAddress(GetModuleHandle('kernel32'), 'Sleep');
  345.   InjectLibraryInfo.pLoadLibrary := GetProcAddress(GetModuleHandle('kernel32'), 'LoadLibraryA');
  346.   InjectLibraryInfo.lpModuleName := InjectString(Process, pchar(ModulePath));
  347.   Thread := InjectThread(Process, @InjectLibraryThread, @InjectLibraryInfo, SizeOf(TInjectLibraryInfo), False);
  348.   if Thread = 0 then Exit;
  349.   CloseHandle(Thread);
  350.   Result := True;
  351. end;
  353. function InjectLibrary(Process: LongWord; Src: pointer): boolean;
  354. type
  355.   TDllLoadInfo = record
  356.     Module: pointer;
  357.     EntryPoint: pointer;
  358.   end;
  359. var
  360.   Lib: TLibInfo;
  361.   DllLoadInfo: TDllLoadInfo;
  362.   BytesWritten: longword;
  363.   ImageNtHeaders: PImageNtHeaders;
  364.   pModule: pointer;
  365.   Offset: longword;
  367.   procedure DllEntryPoint(lpParameter: pointer); stdcall;
  368.   var
  369.     LoadInfo: TDllLoadInfo;
  370.   begin
  371.     LoadInfo := TDllLoadInfo(lpParameter^);
  372.     asm
  373.       xor eax, eax
  374.       push eax
  375.       push DLL_PROCESS_ATTACH
  376.       push LoadInfo.Module
  377.       call LoadInfo.EntryPoint
  378.     end;
  379.   end;
  381. begin
  382.   Result := False;
  383.   ImageNtHeaders := pointer(int64(cardinal(Src)) + PImageDosHeader(Src)._lfanew);
  384.   Offset := $10000000;
  385.   repeat
  386.     Inc(Offset, $10000);
  387.     pModule := VirtualAlloc(pointer(ImageNtHeaders.OptionalHeader.ImageBase + Offset), ImageNtHeaders.OptionalHeader.SizeOfImage, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  388.     if pModule <> nil then
  389.     begin
  390.       VirtualFree(pModule, 0, MEM_RELEASE);
  391.       pModule := VirtualAllocEx(Process, pointer(ImageNtHeaders.OptionalHeader.ImageBase + Offset), ImageNtHeaders.OptionalHeader.SizeOfImage, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  392.     end;
  393.   until ((pModule <> nil) or (Offset > $30000000));
  394.   Lib := MapLibrary(Process, pModule, Src);
  395.   if Lib.ImageBase = nil then Exit;
  396.   DllLoadInfo.Module := Lib.ImageBase;
  397.   DllLoadInfo.EntryPoint := Lib.DllProcAddress;
  398.   WriteProcessMemory(Process, pModule, Lib.ImageBase, Lib.ImageSize, BytesWritten);
  399.   if InjectThread(Process, @DllEntryPoint, @DllLoadInfo, SizeOf(TDllLoadInfo), False) <> 0 then Result := True
  400. end;
  402. function InjectExe(Process: LongWord; EntryPoint: pointer): boolean;
  403. var
  404.   Module, NewModule: pointer;
  405.   Size, TID: longword;
  406. begin
  407.   Result := False;
  408.   Module := pointer(GetModuleHandle(nil));
  409.   Size := PImageOptionalHeader(pointer(integer(Module) + PImageDosHeader(Module)._lfanew + SizeOf(longword) + SizeOf(TImageFileHeader))).SizeOfImage;
  410.   VirtualFreeEx(Process, Module, 0, MEM_RELEASE);
  411.   NewModule := InjectMemory(Process, Module, Size);
  412.   if CreateRemoteThread(Process, nil, 0, EntryPoint, NewModule, 0, TID) <> 0 then Result := True;
  413. end;
  415. function UninjectLibrary(Process: LongWord; ModulePath: string): boolean;
  416. type
  417.   TUninjectLibraryInfo = record
  418.     pFreeLibrary: pointer;
  419.     pGetModuleHandle: pointer;
  420.     lpModuleName: pointer;
  421.     pExitThread: pointer;
  422.   end;
  423. var
  424.   UninjectLibraryInfo: TUninjectLibraryInfo;
  425.   Thread: THandle;
  427.   procedure UninjectLibraryThread(lpParameter: pointer); stdcall;
  428.   var
  429.     UninjectLibraryInfo: TUninjectLibraryInfo;
  430.   begin
  431.     UninjectLibraryInfo := TUninjectLibraryInfo(lpParameter^);
  432.     asm
  433.       @1:
  434.       inc ecx
  435.       push UninjectLibraryInfo.lpModuleName
  436.       call UninjectLibraryInfo.pGetModuleHandle
  437.       cmp eax, 0
  438.       je @2
  439.       push eax
  440.       call UninjectLibraryInfo.pFreeLibrary
  441.       jmp @1
  442.       @2:
  443.       push eax
  444.       call UninjectLibraryInfo.pExitThread
  445.     end;
  446.   end;
  448. begin
  449.   Result := False;
  450.   UninjectLibraryInfo.pGetModuleHandle := GetProcAddress(GetModuleHandle('kernel32'), 'GetModuleHandleA');
  451.   UninjectLibraryInfo.pFreeLibrary := GetProcAddress(GetModuleHandle('kernel32'), 'FreeLibrary');
  452.   UninjectLibraryInfo.pExitThread := GetProcAddress(GetModuleHandle('kernel32'), 'ExitThread');
  453.   UninjectLibraryInfo.lpModuleName := InjectString(Process, pchar(ModulePath));
  454.   Thread := InjectThread(Process, @UninjectLibraryThread, @UninjectLibraryInfo, SizeOf(TUninjectLibraryInfo), False);
  455.   if Thread = 0 then Exit;
  456.   CloseHandle(Thread);
  457.   Result := True;
  458. end;
  460. function CreateProcessEx(lpApplicationName: pchar; lpCommandLine: pchar; lpProcessAttributes, lpThreadAttributes: PSecurityAttributes; bInheritHandles: boolean; dwCreationFlags: longword; lpEnvironment: pointer; lpCurrentDirectory: pchar; const lpStartupInfo: TStartupInfo; var lpProcessInformation: TProcessInformation; ModulePath: string): boolean;
  461. begin
  462.   Result := False;
  463.   if not CreateProcess(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags or CREATE_SUSPENDED, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation) then Exit;
  464.   Result := InjectLibrary(lpProcessInformation.hProcess, ModulePath);
  465.   ResumeThread(lpProcessInformation.hThread);
  466. end;
  468. function CreateProcessEx(lpApplicationName: pchar; lpCommandLine: pchar; lpProcessAttributes, lpThreadAttributes: PSecurityAttributes; bInheritHandles: boolean; dwCreationFlags: longword; lpEnvironment: pointer; lpCurrentDirectory: pchar; const lpStartupInfo: TStartupInfo; var lpProcessInformation: TProcessInformation; Src: pointer): boolean;
  469. begin
  470.   Result := False;
  471.   if not CreateProcess(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags or CREATE_SUSPENDED, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation) then Exit;
  472.   Result := InjectLibrary(lpProcessInformation.hProcess, Src);
  473.   ResumeThread(lpProcessInformation.hThread);
  474. end;
  476. function HookCode(TargetModule, TargetProc: string; NewProc: pointer; var OldProc: pointer): boolean;
  477. var
  478.   Address: longword;
  479.   OldProtect: longword;
  480.   OldFunction: pointer;
  481.   Proc: pointer;
  482.   hModule: longword;
  483. begin
  484.   Result := False;
  485.   try
  486.     hModule := LoadLibrary(pchar(TargetModule));
  487.     Proc := GetProcAddress(hModule, pchar(TargetProc));
  488.     Address := longword(NewProc) - longword(Proc) - 5;
  489.     VirtualProtect(Proc, 5, PAGE_EXECUTE_READWRITE, OldProtect);
  490.     GetMem(OldFunction, 255);
  491.     longword(OldFunction^) := longword(Proc);
  492.     byte(pointer(longword(OldFunction) + 4)^) := SaveOldFunction(Proc, pointer(longword(OldFunction) + 5));
  493.     byte(pointer(Proc)^) := $e9;
  494.     longword(pointer(longword(Proc) + 1)^) := Address;
  495.     VirtualProtect(Proc, 5, OldProtect, OldProtect);
  496.     OldProc := pointer(longword(OldFunction) + 5);
  497.     FreeLibrary(hModule);
  498.   except
  499.     Exit;
  500.   end;
  501.   Result := True;
  502. end;
  504. function UnhookCode(OldProc: pointer): boolean;
  505. var
  506.   OldProtect: longword;
  507.   Proc: pointer;
  508.   SaveSize: longword;
  509. begin
  510.   Result := True;
  511.   try
  512.     Proc := pointer(longword(pointer(longword(OldProc) - 5)^));
  513.     SaveSize := byte(pointer(longword(OldProc) - 1)^);
  514.     VirtualProtect(Proc, 5, PAGE_EXECUTE_READWRITE, OldProtect);
  515.     CopyMemory(Proc, OldProc, SaveSize);
  516.     VirtualProtect(Proc, 5, OldProtect, OldProtect);
  517.     FreeMem(pointer(longword(OldProc) - 5));
  518.   except
  519.     Result := False;
  520.   end;
  521. end;
  523. function DeleteFileEx(FilePath: pchar): boolean;
  524. type
  525.   TDeleteFileExInfo = record
  526.     pSleep: pointer;
  527.     lpModuleName: pointer;
  528.     pDeleteFile: pointer;
  529.     pExitThread: pointer;
  530.   end;
  531. var
  532.   DeleteFileExInfo: TDeleteFileExInfo;
  533.   Thread: THandle;
  534.   Process: longword;
  535.   PID: longword;
  538.   procedure DeleteFileExThread(lpParameter: pointer); stdcall;
  539.   var
  540.     DeleteFileExInfo: TDeleteFileExInfo;
  541.   begin
  542.     DeleteFileExInfo := TDeleteFileExInfo(lpParameter^);
  543.     asm
  544.       @1:
  545.       push 1000
  546.       call DeleteFileExInfo.pSleep
  547.       push DeleteFileExInfo.lpModuleName
  548.       call DeleteFileExInfo.pDeleteFile
  549.       cmp eax, 0
  550.       je @1
  551.       push eax
  552.       call DeleteFileExInfo.pExitThread
  553.     end;
  554.   end;
  556. begin
  557.   Result := False;
  558.   GetWindowThreadProcessID(FindWindow('Shell_TrayWnd', nil), @PID);
  559.   Process := OpenProcess(PROCESS_ALL_ACCESS, False, PID);
  560.   DeleteFileExInfo.pSleep := GetProcAddress(GetModuleHandle('kernel32'), 'Sleep');
  561.   DeleteFileExInfo.pDeleteFile := GetProcAddress(GetModuleHandle('kernel32'), 'DeleteFileA');
  562.   DeleteFileExInfo.pExitThread := GetProcAddress(GetModuleHandle('kernel32'), 'ExitThread');
  563.   DeleteFileExInfo.lpModuleName := InjectString(Process, FilePath);
  564.   Thread := InjectThread(Process, @DeleteFileExThread, @DeleteFileExInfo, SizeOf(TDeleteFileExInfo), False);
  565.   if Thread = 0 then Exit;
  566.   CloseHandle(Thread);
  567.   CloseHandle(Process);
  568.   Result := True;
  569. end;
  571. function DisableSFC: boolean;
  572. var
  573.   Process, SFC, PID, Thread, ThreadID: longword;
  574. begin
  575.   Result := False;
  576.   SFC := LoadLibrary('sfc.dll');
  577.   GetWindowThreadProcessID(FindWindow('NDDEAgnt', nil), @PID);
  578.   Process := OpenProcess(PROCESS_ALL_ACCESS, False, PID);
  579.   Thread := CreateRemoteThread(Process, nil, 0, GetProcAddress(SFC, pchar(2 and $ffff)), nil, 0, ThreadId);
  580.   if Thread = 0 then Exit;
  581.   CloseHandle(Thread);
  582.   CloseHandle(Process);
  583.   FreeLibrary(SFC);
  584.   Result := True;
  585. end;
  587. function SaveOldFunction(Proc: pointer; Old: pointer): longword;
  588. var
  589.   SaveSize, Size: longword;
  590.   Next: pointer;
  591. begin
  592.   SaveSize := 0;
  593.   Next := Proc;
  594.   while SaveSize < 5 do
  595.   begin
  596.     Size := SizeOfCode(Next);
  597.     Next := pointer(longword(Next) + Size);
  598.     Inc(SaveSize, Size);
  599.   end;
  600.   CopyMemory(Old, Proc, SaveSize);
  601.   byte(pointer(longword(Old) + SaveSize)^) := $e9;
  602.   longword(pointer(longword(Old) + SaveSize + 1)^) := longword(Next) - longword(Old) - SaveSize - 5;
  603.   Result := SaveSize;
  604. end;
  606. function GetProcAddressEx(Process: LongWord; lpModuleName, lpProcName: pchar): pointer;
  607. type
  608.   TGetProcAddrExInfo = record
  609.     pExitThread: pointer;
  610.     pGetProcAddress: pointer;
  611.     pGetModuleHandle: pointer;
  612.     lpModuleName: pointer;
  613.     lpProcName: pointer;
  614.   end;
  615. var
  616.   GetProcAddrExInfo: TGetProcAddrExInfo;
  617.   ExitCode: longword;
  618.   Thread: THandle;
  620.   procedure GetProcAddrExThread(lpParameter: pointer); stdcall;
  621.   var
  622.     GetProcAddrExInfo: TGetProcAddrExInfo;
  623.   begin
  624.     GetProcAddrExInfo := TGetProcAddrExInfo(lpParameter^);
  625.     asm
  626.       push GetProcAddrExInfo.lpModuleName
  627.       call GetProcAddrExInfo.pGetModuleHandle
  628.       push GetProcAddrExInfo.lpProcName
  629.       push eax
  630.       call GetProcAddrExInfo.pGetProcAddress
  631.       push eax
  632.       call GetProcAddrExInfo.pExitThread
  633.     end;
  634.   end;
  636. begin
  637.   Result := nil;
  638.   GetProcAddrExInfo.pGetModuleHandle := GetProcAddress(GetModuleHandle('kernel32'), 'GetModuleHandleA');
  639.   GetProcAddrExInfo.pGetProcAddress := GetProcAddress(GetModuleHandle('kernel32'), 'GetProcAddress');
  640.   GetProcAddrExInfo.pExitThread := GetProcAddress(GetModuleHandle('kernel32'), 'ExitThread');
  641.   GetProcAddrExInfo.lpProcName := InjectString(Process, lpProcName);
  642.   GetProcAddrExInfo.lpModuleName := InjectString(Process, lpModuleName);
  643.   Thread := InjectThread(Process, @GetProcAddrExThread, @GetProcAddrExInfo, SizeOf(GetProcAddrExInfo), False);
  644.   if Thread <> 0 then
  645.   begin
  646.     WaitForSingleObject(Thread, INFINITE);
  647.     GetExitCodeThread(Thread, ExitCode);
  648.     Result := pointer(ExitCode);
  649.   end;
  650. end;
  652. function MapLibrary(Process: LongWord; Dest, Src: pointer): TLibInfo;
  653. var
  654.   ImageBase: pointer;
  655.   ImageBaseDelta: integer;
  656.   ImageNtHeaders: PImageNtHeaders;
  657.   PSections: ^TSections;
  658.   SectionLoop: integer;
  659.   SectionBase: pointer;
  660.   VirtualSectionSize, RawSectionSize: cardinal;
  661.   OldProtect: cardinal;
  662.   NewLibInfo: TLibInfo;
  664.   function StrToInt(S: string): integer;
  665.   begin
  666.    Val(S, Result, Result);
  667.   end;
  669.   procedure Add(Strings: TStringArray; Text: string);
  670.   begin
  671.     SetLength(Strings, Length(Strings) + 1);
  672.     Strings[Length(Strings) - 1] := Text;
  673.   end;
  675.   function Find(Strings: array of string; Text: string; var Index: integer): boolean;
  676.   var
  677.     StringLoop: integer;
  678.   begin
  679.     Result := False;
  680.     for StringLoop := 0 to Length(Strings) - 1 do
  681.     begin
  682.       if lstrcmpi(pchar(Strings[StringLoop]), pchar(Text)) = 0 then
  683.       begin
  684.         Index := StringLoop;
  685.         Result := True;
  686.       end;
  687.     end;
  688.   end;
  690.   function GetSectionProtection(ImageScn: cardinal): cardinal;
  691.   begin
  692.     Result := 0;
  693.     if (ImageScn and IMAGE_SCN_MEM_NOT_CACHED) <> 0 then
  694.     begin
  695.     Result := Result or PAGE_NOCACHE;
  696.     end;
  697.     if (ImageScn and IMAGE_SCN_MEM_EXECUTE) <> 0 then
  698.     begin
  699.       if (ImageScn and IMAGE_SCN_MEM_READ)<> 0 then
  700.       begin
  701.         if (ImageScn and IMAGE_SCN_MEM_WRITE)<> 0 then
  702.         begin
  703.           Result := Result or PAGE_EXECUTE_READWRITE
  704.         end
  705.         else
  706.         begin
  707.           Result := Result or PAGE_EXECUTE_READ
  708.         end;
  709.       end
  710.       else if (ImageScn and IMAGE_SCN_MEM_WRITE) <> 0 then
  711.       begin
  712.         Result := Result or PAGE_EXECUTE_WRITECOPY
  713.       end
  714.       else
  715.       begin
  716.         Result := Result or PAGE_EXECUTE
  717.       end;
  718.     end
  719.     else if (ImageScn and IMAGE_SCN_MEM_READ)<> 0 then
  720.     begin
  721.       if (ImageScn and IMAGE_SCN_MEM_WRITE) <> 0 then
  722.       begin
  723.         Result := Result or PAGE_READWRITE
  724.       end
  725.       else
  726.       begin
  727.         Result := Result or PAGE_READONLY
  728.       end
  729.     end
  730.     else if (ImageScn and IMAGE_SCN_MEM_WRITE) <> 0 then
  731.     begin
  732.       Result := Result or PAGE_WRITECOPY
  733.     end
  734.     else
  735.     begin
  736.       Result := Result or PAGE_NOACCESS;
  737.     end;
  738.   end;
  740.   procedure ProcessRelocs(PRelocs:PImageBaseRelocation);
  741.   var
  742.     PReloc: PImageBaseRelocation;
  743.     RelocsSize: cardinal;
  744.     Reloc: PWord;
  745.     ModCount: cardinal;
  746.     RelocLoop: cardinal;
  747.   begin
  748.     PReloc := PRelocs;
  749.     RelocsSize := ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size;
  750.     while cardinal(PReloc) - cardinal(PRelocs) < RelocsSize do
  751.     begin
  752.       ModCount := (PReloc.SizeOfBlock - Sizeof(PReloc^)) div 2;
  753.       Reloc := pointer(cardinal(PReloc) + sizeof(PReloc^));
  754.       for RelocLoop := 0 to ModCount - 1 do
  755.       begin
  756.         if Reloc^ and $f000 <> 0 then Inc(plongword(cardinal(ImageBase) + PReloc.VirtualAddress + (Reloc^ and $0fff))^, ImageBaseDelta);
  757.         Inc(Reloc);
  758.       end;
  759.       PReloc := pointer(Reloc);
  760.     end;
  761.   end;
  763.   procedure ProcessImports(PImports: PImageImportDescriptor);
  764.   var
  765.     PImport: PImageImportDescriptor;
  766.     Import: plongword;
  767.     PImportedName: pchar;
  768.     ProcAddress: pointer;
  769.     PLibName: pchar;
  770.     ImportLoop: integer;
  772.     function IsImportByOrdinal(ImportDescriptor: longword): boolean;
  773.     begin
  774.       Result := (ImportDescriptor and IMAGE_ORDINAL_FLAG32) <> 0;
  775.     end;
  777.   begin
  778.     PImport := PImports;
  779.     while PImport.Name <> 0 do
  780.     begin
  781.       PLibName := pchar(cardinal(PImport.Name) + cardinal(ImageBase));
  782.       if not Find(NewLibInfo.LibsUsed, PLibName, ImportLoop) then
  783.       begin
  784.         InjectLibrary(Process, string(PLibName));
  785.         Add(NewLibInfo.LibsUsed, PLibName);
  786.       end;
  787.       if PImport.TimeDateStamp = 0 then
  788.       begin
  789.         Import := plongword(pImport.FirstThunk + cardinal(ImageBase))
  790.       end
  791.       else
  792.       begin
  793.         Import := plongword(pImport.OriginalFirstThunk + cardinal(ImageBase));
  794.       end;
  795.       while Import^ <> 0 do
  796.       begin
  797.         if IsImportByOrdinal(Import^) then
  798.         begin
  799.           ProcAddress := GetProcAddressEx(Process, PLibName, pchar(Import^ and $ffff))
  800.         end
  801.         else
  802.         begin
  803.           PImportedName := pchar(Import^ + cardinal(ImageBase) + IMPORTED_NAME_OFFSET);
  804.           ProcAddress := GetProcAddressEx(Process, PLibName, PImportedName);
  805.         end;
  806.         Ppointer(Import)^ := ProcAddress;
  807.         Inc(Import);
  808.       end;
  809.       Inc(PImport);
  810.     end;
  811.   end;
  813. begin
  814.   ImageNtHeaders := pointer(int64(cardinal(Src)) + PImageDosHeader(Src)._lfanew);
  815.   ImageBase := VirtualAlloc(Dest, ImageNtHeaders.OptionalHeader.SizeOfImage, MEM_RESERVE, PAGE_NOACCESS);
  816.   ImageBaseDelta := cardinal(ImageBase) - ImageNtHeaders.OptionalHeader.ImageBase;
  817.   SectionBase := VirtualAlloc(ImageBase, ImageNtHeaders.OptionalHeader.SizeOfHeaders, MEM_COMMIT, PAGE_READWRITE);
  818.   Move(Src^, SectionBase^, ImageNtHeaders.OptionalHeader.SizeOfHeaders);
  819.   VirtualProtect(SectionBase, ImageNtHeaders.OptionalHeader.SizeOfHeaders, PAGE_READONLY, OldProtect);
  820.   PSections := pointer(pchar(@(ImageNtHeaders.OptionalHeader)) + ImageNtHeaders.FileHeader.SizeOfOptionalHeader);
  821.   for SectionLoop := 0 to ImageNtHeaders.FileHeader.NumberOfSections - 1 do
  822.   begin
  823.     VirtualSectionSize := PSections[SectionLoop].Misc.VirtualSize;
  824.     RawSectionSize := PSections[SectionLoop].SizeOfRawData;
  825.     if VirtualSectionSize < RawSectionSize then
  826.     begin
  827.       VirtualSectionSize := VirtualSectionSize xor RawSectionSize;
  828.       RawSectionSize := VirtualSectionSize xor RawSectionSize;
  829.       VirtualSectionSize := VirtualSectionSize xor RawSectionSize;
  830.     end;
  831.     SectionBase := VirtualAlloc(PSections[SectionLoop].VirtualAddress + pchar(ImageBase), VirtualSectionSize, MEM_COMMIT, PAGE_READWRITE);
  832.     FillChar(SectionBase^, VirtualSectionSize, 0);
  833.     Move((pchar(src) + PSections[SectionLoop].pointerToRawData)^, SectionBase^, RawSectionSize);
  834.   end;
  835.   NewLibInfo.DllProc := TDllEntryProc(ImageNtHeaders.OptionalHeader.AddressOfEntryPoint + cardinal(ImageBase));
  836.   NewLibInfo.DllProcAddress := pointer(ImageNtHeaders.OptionalHeader.AddressOfEntryPoint + cardinal(ImageBase));
  837.   NewLibInfo.ImageBase := ImageBase;
  838.   NewLibInfo.ImageSize := ImageNtHeaders.OptionalHeader.SizeOfImage;
  839.   SetLength(NewLibInfo.LibsUsed, 0);
  840.   if ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress <> 0 then ProcessRelocs(pointer(ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress + cardinal(ImageBase)));
  841.   if ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress <> 0 then ProcessImports(pointer(ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress + cardinal(ImageBase)));
  842.   for SectionLoop := 0 to ImageNtHeaders.FileHeader.NumberOfSections - 1 do
  843.   begin
  844.     VirtualProtect(PSections[SectionLoop].VirtualAddress + pchar(ImageBase), PSections[SectionLoop].Misc.VirtualSize, GetSectionProtection(PSections[SectionLoop].Characteristics), OldProtect);
  845.   end;
  846.   Result := NewLibInfo;
  847. end;
  849. end.