前一阵子,研究了一段时间的Win32Asm,研究到后来发现Win32的ASM实际上还是和C版的介绍的一样。甚至还封装了一个简版的类似VCL库结构框架的32ASM结构库,不过搞着搞着就没兴趣了,也没继续往下深入,唉!发现年龄越来越大,人也越来越懒。

休息了好长一阵子,在乱七八糟的东西乱弄一堆之后,总算发现了一个能有点用处的东西,于是就欣欣然跑来记录一下日志博客以为备份。

我们都知道在Delphi,VC等这类静态检测形的语言,如果要使用一个函数,必须要先申明一下此函数结构,然后调用的时候,编译器才会根据申明的函数结构进行编译产生数据以做调用。比如MessageBox这类函数,都是在Windows中申明过了,调用的时候可以根据声明来编辑代码。对于使用Delphi这类使用静态预先编译检查的来说,这种方法非常适用简单,但是如果假设,俺们需要自己设计一个脚本语言,然后在这个脚本语言中,我们需要可以调用DLL中的函数,于是我们也给设计一个类似于Delphi的这种预先声明的模式,然后脚本中调用,甚至,还可以不用预先申明,而只用根据参数以及函数名称来调用这个dll中的函数,那么此时我们在脚本中写的东西,我们在Delphi中就并没有预先声明的这个函数结构了。按照常规来调用自然不可行 ,如果说对应每个DLL中的函数给声明一个函数出来外部,这个更是不可能,因为DLL是不可控的,我们并不知道用户用脚本需要调用什么DLL,以及调用什么DLL中的函数。那么此时,我们如何来调用这个DLL中的函数,让脚本中的实现可用呢。我们先来分析一下,首先脚本调用肯定会要知道DLL名称,然后会输入函数名称,然后就是函数参数了,变相来说,就是我们有DLL名可以获得DllHandle,有 DLLHandle和函数名称我们可以获得函数地址CodeAddr。

就是说比如我们设计一个脚本,在脚本中可能输入如下:

dll=DllObject('user32.dll');

dll.MessageBoxW(0,'asf','afd',64); 

那么我们在Delphi中能获得的就是MessageBoxW这个函数的函数地址以及 传递进入的参数,但是我们并不会声明这个函数。我们现在的目的就是要在Delphi中把这个脚本给解析出来并正确调用MessageBoxW。也就如题说的通过未声明函数的地址调用函数。

实际上任何语言中调用某一个函数,模式都是差不多,无非是传参和调用,而传参又有好多模式,比如Delphi的就有Register,Stdcall,Safecall,cdecl等,C也有这些调用模式,Delphi的Register模式对应C中的fastcall。正是这些传参模式的不同而导致了参数的入栈 方式不一样,Register是用优先通过寄存器,然后才入栈,stdcall和cdecl等都是直接入栈,并且入栈顺序都是参数从右向左入栈,唯一的区别是stdcall是不用自己管理栈函数在调用完成之后会自动清理堆栈空间,而cdecl需要调用者我们自己来清理堆栈空间。SafeCall是stdcall模式中加上了对于Com的异常处理等。我们一般Dll中的传参模式都是stdcall和cdecl,所以,这里就只针对这两个来进行处理。

那么现在的任务就是将参数压入堆栈,然后call一下函数地址就OK了。于是重要的任何就是参数压栈 ,call地址这个是最简单的。

现在就需要来分析一下参数压栈,我们都知道在32位系统中,以4字节为单位进行传输的,所以说基本上传递的参数都是4字节模式,那么我们byte,char,wchar,boolean等类型都需要变成4字节来做传输,int64,double等占据8字节,就需要变成2个4字节进行压栈。所以此时我们就可以设计两个数据结构用来处理转换这些类型

tva=record
      case Integer of
      0: (vi: Integer);
      1: (vb: Boolean);
      2: (vc: Char);
      3: (vac: AnsiChar);
      4: (vf: Single);
      5: (vd: DWORD);
    end;
    tpint64dbl = record
      case Integer of
        0: (value: int64);
        1: (vdouble: Double);
        2:
         (
           High: DWORD;
           low: DWORD
         )

end;

tva结构就专门用来将那些低于4字节的参数变成4字节然后进行Push,而 tpint64dbl就是将8字节的Int64和double变成2个4字节进行压栈, tpint64dbl在压栈时,先压low低字节,然后压入High高4字节。于是这些基本参数就可以一一压入堆栈。然后就是一些特殊类型的字段,比如说object,string,以及Record等复杂类型的数据的压栈模式,这个俺们只要懂一点Win32汇编的就可以知道,这些参数的压栈实际上都是偏移地址入栈,所以,取得其地址然后压入堆栈就行了。

那么处理模式可以如下:

如果参数是String,那么就直接

st := Params[i];

        tmp := Integer(PChar(st));
        asm
          push tmp

end;

如果是Object,那么在 Delphi中直接就是地址

然后传递参数的模式,我们就可以用for 尾部 downto 0按照规则进行压栈

如果是高版本的Delphi我们可以直接用array of TValue作为参数进行传递,那么函数的调用实现模式可以如下

function InvokeRtti(codeptr: Pointer;Params: array of TValue): Integer;overload;
var
  i: Integer;
  type
    tva=record
      case Integer of
      : (vi: Integer);
      : (vb: Boolean);
      : (vc: Char);
      : (vac: AnsiChar);
      : (vf: Single);
      : (vd: DWORD);
    end;
    tpint64dbl = record
      case Integer of
        : (value: int64);
        : (vdouble: Double);
        :
         (
           High: DWORD;
           low: DWORD
         )
    end;
var
  p64: tpint64dbl;
  v: tva;
  tmp: Integer;
  st: string;
begin
  for i := High(Params) downto  do
  begin
    case Params[i].TypeInfo.Kind of
    tkInteger:
      begin
        tmp := Params[i].AsInteger;
        asm
          push tmp
        end;
      end;
    tkChar:
    begin
       v.vac := params[i].AsType<AnsiChar>;
       asm
          push v
       end;
    end;
    tkWChar:
    begin
      v.vc := Params[i].AsType<Char>;
      asm
          push v
      end;
    end;
    tkFloat:
      begin
        v.vf := Params[i].AsType<Single>;
        asm
          push v
        end;
      end;
    tkInt64:
      begin
        p64.value := Params[i].AsInt64;
        asm
          lea ecx,p64
          push [ecx][]  //先压低字节,再压高字节
          push [ecx][]
        end;
      end;
    tkRecord,tkClass:
      begin
        tmp := Integer(Params[i].GetReferenceToRawData);
        asm
          push tmp
        end;
      end;
    tkString,tkUString:
      begin
        st := Params[i].AsString;
        tmp := Integer(PChar(st));
        asm
          push tmp
        end;
      end;
    end;
  end;
  tmp := Integer(codeptr);
  asm
    call tmp
    mov  result,eax
  end;

end;

使用方法

h := LoadLibrary('user32.dll');
  if h <>  then
    fh := GetProcAddress(h,'MessageBoxW'); 
 if fh <> nil then
  begin
    InvokeRtti(fh,[TValue.From(Handle),'asf','',])

end;

如果是低版本的,可以由Variant入手来实现如下

function Invoke(codeptr: Pointer;Params: array of Variant): Integer;overload;
var
  i: Integer;
  type
    tva=record
      case Integer of
      : (vi: Integer);
      : (vb: Boolean);
      : (vc: Char);
      : (vac: AnsiChar);
      : (vf: Single);
      : (vd: DWORD);
    end;
    tpint64dbl = record
      case Integer of
        : (value: int64);
        : (vdouble: Double);
        :
         (
           High: DWORD;
           low: DWORD
         )
    end;
var
  p64: tpint64dbl;
  v: tva;
  tmp: Integer;
  st: string;
  ast: AnsiString;
  vtype: TVarType;
begin
  for i := High(Params) downto  do
  begin
    vtype := VarType(Params[i]);
    case vtype of
    varUString:
      begin
        st := Params[i];
        tmp := Integer(PChar(st));
        asm
          push tmp
        end;
      end;
    varString:
      begin
        st := Params[i];
        ast := AnsiString(st);
        tmp := Integer(PAnsiChar(ast));
        asm
          push tmp
        end;
      end;
    varInteger,varSmallint,varWord,varByte:
      begin
        v.vi := Params[i];
        asm
          push v
        end;
      end;
    varLongWord:
      begin
        v.vd := Params[i];
        asm
          push v
        end;
      end;
    varSingle:
      begin
        v.vf := Params[i];
        asm
          push v
        end;
      end;
    varDouble:
      begin
        p64.vdouble := Params[i];
        asm
          lea ecx,p64
          push [ecx][]  //先压低字节,再压高字节
          push [ecx][]
        end;
      end;
    varInt64:
      begin
        p64.value := Params[i];
        asm
          lea ecx,p64
          push [ecx][]  //先压低字节,再压高字节
          push [ecx][]
        end;
      end;
    end;
  end;
  tmp := Integer(codeptr);
  asm
    call tmp
    mov  result,eax
  end;

end;

用法类似如下:

procedure Showmsg(msg: string;tmp: Double); stdcall;
begin
  ShowMessage(msg+floattostr(tmp));
end; var
  tmp: Single;
begin
  tmp := 13234.24;
  Invoke(@Showmsg,['asfsf',tmp])

end;

至此基本上的功能就完成了,不过此种方法有一个不好的问题,那就是对于调用函数的返回结果,无法预测,返回的都是integer类型,而无法确定返回的结果是地址还是确实就是integer还是说是其他类型。另外,此方法并非全面的一些实现,如果要使用的全面请反汇编参考Delphi对应的函数调用的参数传递过程以对应进行修正。

奇淫怪巧之在Delphi中调用不申明函数的更多相关文章

  1. 你可能不知道的 docker 命令的奇淫怪巧

    你可能不知道的 docker 命令的奇淫怪巧 Intro 介绍并收录一些可能会用到的一些简单实用却很少有人用的 docker 命令 dangling images build 自己的 docker 镜 ...

  2. 如何在Delphi中调用VC6.0开发的COM

    上次写了如何在VC6.0下对Delphi写的COM进行调用,原本想马上写如何在Delphi中调用VC6.0开发的COM时,由于在写事例程序中碰到了个很怪的问题,在我机子上用VC写的接口程序编译能通过. ...

  3. Delphi中unicode转汉字函数(转)

    源:Delphi中unicode转汉字函数 近期用到这个函数,无奈没有找到 delphi 自带的,网上找了下 有类似的,没有现成的,我需要的是 支持 “\u4f00 ” 这种格式的,即前面带标准的 “ ...

  4. [教程]Delphi 中三种回调函数形式解析

    Delphi 支持三种形式的回调函数 全局函数这种方式几乎是所有的语言都支持的,类的静态函数也可以归为此类,它保存的只是一个函数的代码起始地址指针( Pointer ).在 Delphi 中声明一般为 ...

  5. 在VBA中调用工作表函数

    虽然VBA几乎可以完成所有工作表函数的功能,但是有时候在无法打开思路的时候,适当调用一些工作表函数也未尝不可,在VBA中调用工作表函数需要用到 WorksheetFunction对象,例如: Work ...

  6. python利用or在列表解析中调用多个函数.py

    python利用or在列表解析中调用多个函数.py """ python利用or在列表解析中调用多个函数.py 2016年3月15日 05:08:42 codegay & ...

  7. 使用Ajax在javascript中调用后台C#函数

    使用Ajax在javascript中调用后台C#函数 最近一段时间在紧跟一个网站的项目,数据库中用户表的UserName要求是唯一的,所以当用户选定一个用户名进行注册时要首先检查该用户名是否已被占用, ...

  8. 在Delphi中调用"数据链接属性"对话框设置ConnectionString

    项目需要使用"数据链接属性"对话框来设置ConnectionString,查阅了一些资料,解决办法如下: 1.Delphi 在Delphi中比较简单,步骤如下: 方法1: use ...

  9. Delphi 中调用JS文件中的方法

    unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms ...

随机推荐

  1. Struts2 架构图

    Struts2架构图 请求首先通过Filter chain,Filter主要包括ActionContextCleanUp,它主要清理当前线程的ActionContext和Dispatcher:Filt ...

  2. android 按钮特效 波纹 Android button effects ripple

    android 按钮特效 波纹 Android button effects ripple 作者:韩梦飞沙 Author:han_meng_fei_sha 邮箱:313134555@qq.com E- ...

  3. LOJ.6062.[2017山东一轮集训]Pair(Hall定理 线段树)

    题目链接 首先Bi之间的大小关系没用,先对它排序,假设从小到大排 那么每个Ai所能匹配的Bi就是一个B[]的后缀 把一个B[]后缀的匹配看做一条边的覆盖,设Xi为Bi被覆盖的次数 容易想到 对于每个i ...

  4. Java并发程序设计(十三)锁的性能优化

    锁的性能优化 一.优化注意事件 一)减少锁的持有时间 只在必要时进行同步,能明显减少锁的持有时间. 二)锁的细化 缺陷:当系统需要全局锁时,其消耗的资源会比较多. 三)锁的分离 比如读写分离锁 四)锁 ...

  5. 潭州课堂25班:Ph201805201 爬虫基础 第四课 Requests (课堂笔记)

    优雅到骨子里的Requests   1528811134432   简介   上一篇文章介绍了Python的网络请求库urllib和urllib3的使用方法,那么,作为同样是网络请求库的Request ...

  6. Linux内核笔记:epoll实现原理(二)

    在通过epoll_ctl(2)向epoll中添加被监视文件描述符时,会将ep_poll_callback()作为回调函数添加被监视文件的等待队列中.下面分析ep_poll_callback()函数 1 ...

  7. 你不知道的js

    1.<a>标签 (1)href属性包含超链接或超链接指向的URL或URL片段,URL 片段是哈希标记(#)前面的名称,哈希标记指定当前文档中的内部目标位置(HTML 元素的 ID).URL ...

  8. android: ADB错误“more than one device and emulator”

    启动模拟器调试,执行ADB指令时,报错.C:\Users\gaojs>adb shellerror: more than one device and emulatorC:\Users\gaoj ...

  9. Mac下的命令行自动补全功能

    /usr/local/etc/bash_completion.d

  10. centos安装memcached和PHP php-pecl-memcached.x86_64

    安装memcached sudo yum install memcached.x86_64 安装php-pecl-memcached php memcache有两个实现类 php-pecl-memca ...