Радар своими руками

[GoldFinch]

xkor, на wasm.ru/forum периодически проскакивает, вот этот например (выглядит правда страшно)
http://wasm.ru/forum/viewtopic.php?id=36993

А чем LoadLibrary плоха? Особенно если инжектить длл при создании процесса.

Вообще если дллка простенькая, без наворотов, (без TLS, импортов, file align = 0x1000) то ей надо только релоки настроить, а это несложно.

[xkor]

Цитата:

Сообщение от GoldFinch

А чем LoadLibrary плоха? Особенно если инжектить длл при создании процесса.

да мне не для инжектов а для кое каких других извращений)

[Yegor]

GoldFinch, непойму все таки как отлаживать мою dll. Сейчас пишу тв Delphi. Точнее как запустить отладку нашгел, но каждый раз после перекомпиляции dll получается прийдется перезагружать l2?

[xkor]

Yegor, именно, а кто говорил что будет просто)

[GoldFinch]

Yegor, напиши в длл код который позволит выгрузить себя и загрузить новую версию длл, если надо

[Эдвадко]

Цитата:

Сообщение от GoldFinch

Yegor, напиши в длл код который позволит выгрузить себя и загрузить новую версию длл, если надо

Это как-то мудрено очень. К тожу-же, чуть напортачишь в
подгружаемой dll и клиент вылетает с ошибкой.
Я инжектируемую dll пишу, чтоб была возможно более простая.
Только перехват команд от клиента и от сервера и отсылка в основной
модуль программы. Связь между dll и модулем делал раньше через
mapped file а сейчас по IP(UDP).
На будущее, это позволит собирать инфу с нескольких клиентов запущеных на разных компах в один коммандный центр.

[Yegor]

GoldFinch, это то я напишу, но вот Delphi для отладки dll хочет сама запускать процесс в который её будет загружать.


Эдвадко, в l2ext от Alexteamа похоже сделано так же, начну сначала с общения через message а потом и tcp\ip задействую.

[Эдвадко]

[quote=Yegor;88284]GoldFinch, это то я напишу, но вот Delphi для отладки dll хочет сама запускать процесс в который её будет загружать.

Я например отладчик не пользую - ну так получилось.
В качестве отладчика использую ту-же внедряемую dll

Удалось перехватить какую функцию - хук начинает логировать
адреса вызова этой функции и параметры вызова.

Потом ползаю по дизассемблированой engine.dll по соотв. адресам и смотрю че и как.

static DWORD HookProcAdr;

void __declspec(naked) __stdcall HookProcE9()
{
static DWORD SavedRetAddr,SavedArg0,SavedArg4,SavedArg8;
__asm push ebp
__asm mov ebp,esp
__asm pushad

__asm mov eax,[ebp+4] //RetAddr
__asm mov SavedRetAddr,eax
__asm mov eax,[ebp+8] //Arg0
__asm mov SavedArg0,eax
__asm mov eax,[ebp+12] //Arg4
__asm mov SavedArg4,eax
__asm mov eax,[ebp+16] //Arg8
__asm mov SavedArg8,eax

static char str[100];
_snprintf(str,100,"%u",*(PBYTE)SavedArg0);
MappedText(str,0xFFFFFF00);

fprintf(LogFile,"HookE9 %x %x %x %x %02x\n",SavedRetAddr,SavedArg0,SavedArg4,SavedArg8 ,*(PBYTE)SavedArg0);

__asm popad
__asm pop ebp
__asm push HookProcAdr
__asm retn
}

[Yegor]

GoldFinch, ты ранее писал переходник для вызова с++ функций с соглашением ThisCall из делфи. А можно сделать переодник дял того чтобы функция делфи вызывалась как ThisCall?

Добавлено через 2 часа 51 минуту
Вопрос снят, получилось