College project / РџСЂРѕРµРєС‚ РєРѕР»Р»РµРґР¶Р°

DotFix Forum / Вопросы программирования и исследования защит / College project / РџСЂРѕРµРєС‚ РєРѕР»Р»РµРґР¶Р°

Автор

Сообщение

beautifulcoder
Участник

Дата: 28 Апр 2008 23:14

I am working on a project for college. An API has been hooked so when trying to call a function from that API using GetProcAddress an error comes up. I think it is hooked using extended code overwriting.

I have found this code but I don't have Madshi's madDisAsm.pas so it is useless to me.

function GetRealProcAddress(hModule: HMODULE; lpProcName: pchar): pointer;
var
Proc: pointer;
CodeInfo: TCodeInfo;
FunctionInfo: TFunctionInfo;
begin
Proc := GetProcAddress(hModule, lpProcName);
Result := Proc;
CodeInfo := ParseCode(Proc);
if not (CodeInfo.Call or CodeInfo.Jmp) then Exit;
FunctionInfo := ParseFunction(Proc);
if FunctionInfo.CodeLen <> 5 then Exit;
repeat
Result := FunctionInfo.FarCalls[Low(FunctionInfo.FarCalls)].Target;
FunctionInfo := ParseFunction(FunctionInfo.FarCalls[Low(FunctionInfo.FarCalls)].Target );
until FunctionInfo.CodeLen = 10;
end;

Does anyone have madDisAsm.pas or can someone help me write another function similar to this one?

////////////////////////////////////////////////////////////////////// //
////////////////////////////////////////////////////////////////////// //

РЇ РІРѕР·РґРµР№С?С‚РІСѓСЋ РЅР° РїСЂРѕРµРєС‚ РґР»С? РєРѕР»Р»РµРґР¶Р°. РџСЂРѕРіСЂР°РјРјРЅС‹Р№ РёРЅС‚РµСЂС„РµР№С? РїСЂРёР»РѕР¶РµРЅРёС? Р±С‹Р» Р·Р°РІРµСЂР±РѕРІР°РЅ С‚Р°Рє, РїСЂРѕР±СѓС? РЅР°Р·РІР°С‚СЊ С„СѓРЅРєС†РёСЋ РѕС‚ С‚РѕРіРѕ РїСЂРѕРіСЂР°РјРјРЅРѕРіРѕ РёРЅС‚РµСЂС„РµР№С?Р° РїСЂРёР»РѕР¶РµРЅРёС?, РёС?РїРѕР»СЊР·СѓС? GetProcAddress, РѕС€РёР±РєР° РїРѕРґРѕС€Р»Р°. РЇ РґСѓРјР°СЋ, С‡С‚Рѕ С?С‚Рѕ Р·Р°РІРµСЂР±РѕРІР°РЅРѕ, РёС?РїРѕР»СЊР·СѓС? СЂР°С?С€РёСЂРµРЅРЅРѕРµ РєРѕРґРѕРІРѕРµ РїРµСЂРµРїРёС?С‹РІР°РЅРёРµ.

РЇ РЅР°С€РµР» С?С‚РѕС‚ РєРѕРґРµРєС?, РЅРѕ С? РЅРµ РёРјРµСЋ madDisAsm.pas РњР°РґС€Рё, С‚Р°РєРёРј РѕР±СЂР°Р·РѕРј С?С‚Рѕ Р±РµС?РїРѕР»РµР·РЅРѕ РєРѕ РјРЅРµ.

function GetRealProcAddress(hModule: HMODULE; lpProcName: pchar): pointer;
var
Proc: pointer;
CodeInfo: TCodeInfo;
FunctionInfo: TFunctionInfo;
begin
Proc := GetProcAddress(hModule, lpProcName);
Result := Proc;
CodeInfo := ParseCode(Proc);
if not (CodeInfo.Call or CodeInfo.Jmp) then Exit;
FunctionInfo := ParseFunction(Proc);
if FunctionInfo.CodeLen <> 5 then Exit;
repeat
Result := FunctionInfo.FarCalls[Low(FunctionInfo.FarCalls)].Target;
FunctionInfo := ParseFunction(FunctionInfo.FarCalls[Low(FunctionInfo.FarCalls)].Target );
until FunctionInfo.CodeLen = 10;
end;

Р›СЋР±РѕР№ РёРјРµРµС‚ madDisAsm.pas, РёР»Рё РєС‚Рѕ - С‚Рѕ РјРѕР¶РµС‚ РїРѕРјРѕС‡СЊ РјРЅРµ РїРёС?Р°С‚СЊ РґСЂСѓРіСѓСЋ С„СѓРЅРєС†РёСЋ, РїРѕРґРѕР±РЅСѓСЋ С?С‚РѕРјСѓ?