как убить поток в процессе l2.bin

controller · 16.10.2015, 19:48

Совбственно вопрос в теме.. возможно ли через делфи?
убить вот это dsetup.dll??0Cdsetup@@QAE@XZ+0x8100

Yegor · 17.10.2015, 22:04

Чтобы убить поток нужно вычислить его PID.

Это dsetup.dll??0Cdsetup@@QAE@XZ+0x8100 по идее точка старта потока.

Получаем список потоков нужного процесса.
Находим тот из них который имеет нужную точку старта и киляем его.

controller · 19.10.2015, 10:16

как получить список всех ID я понял, а как по ИД получить имя потока не подскажешь?

supernewbie · 19.10.2015, 21:11

controller, возможно, так:

Код:

entry_point_ptr = GetProcAddress(GetModuleHandle('dsetup.dll'), '??0Cdsetup@@QAE@XZ') + 0x8100;
loop:
  thread_entry_point_ptr = NtQueryInformationThread(thread_handle, ...);
  if thread_entry_point_ptr == entry_point_ptr then
    break;
  thread_handle = get_next_thread_handle();
end_loop;

ссылка на функцию получения точки старта потока:
http://stackoverflow.com/questions/1...ead-in-windows

controller · 20.10.2015, 02:37

ничего не понятно все равно

Код:

procedure test;stdcall;
var
lpStartAddress:Pointer;
begin
lpStartAddress:=GetProcAddress(GetModuleHandle('dsetup.dll'), '??0Cdsetup@@QAE@XZ');
//lpStartAddress:=GetProcAddress(GetModuleHandle('dsetup.dll'), '??0Cdsetup@@QAE@XZ')+$8190; это не работает делфи ругается
ShowMessage (IntToStr(Integer(lpStartAddress)));
end;
 в итоге тут я получаю 0

Это правильно я сделал? просто пока я получаю 0, нет смысла дальше работать

Yegor · 20.10.2015, 16:29

А GetModuleHandle('dsetup.dll') возвращает не ноль?

controller · 22.10.2015, 14:24

код длл
function gethandle():thandle;stdcall;
var
dsetup:thandle;
begin
dsetup:=GetModuleHandle('dsetup.dll');
end;

код в программе после инжекта этой длл
begin
ds:=gethandle();
showmessage(inttostr(ds));
end;
тут возвращает не 0!
Я ведь правильно делаю?

Yegor · 25.10.2015, 13:41

Правильно.

Значит '??0Cdsetup@@QAE@XZ' неверное название экспортируемой функции. В обычной dsetup у экспортируемых функций названия без кодирования.

controller · 25.10.2015, 19:45

значит адрес узнать так:
код длл
function gethandle()

ointer ;stdcall;
var
dsetup:thandle;
S t a r t Ad d r e s s : P o i n t e r
begin
dsetup:=GetModuleHandle ('dsetup.dll');
S t a r t Ad d r e s s : = G e t P r o c Ad d r e s s (dsetup,'??0Cdsetup@@QAE@XZ');
end;

код в программе после инжекта
этой длл
begin
startaddres:=gethandle();
showmessage(inttostr(integer(startaddres)));
end;

тогда это будет так? Если не обращать внимание на неверное название функции. Просто по синтаксису, все правильно? Просто пока нет возможности проверить да же. Доступ к компу будет только через неделю

хоть тут пока в тексте подумать

Добавлено через 2 часа 46 минут
и еще. Нет ли примера на делфи, как подменить чужую функцию...

controller · 27.10.2015, 15:22

Код:

RVA      Ord. Hint Name
-------- ---- ---- ----
000010D0    1 0000 ??0Cdsetup@@QAE@XZ
000010B0    2 0001 ??4Cdsetup@@QAEAAV0@ABV0@@Z
000010C0    3 0002 ?fndsetup@@YAHXZ
0002788C    4 0003 ?ndsetup@@3HA

как можно запретить l2.exe использовать эти функции из dsetup.dll ?