Delphi中是否可以获取另一个进程中函数/过程的地址？

Question

我使用 Madshi 的 madCodeHook 组件在进程中注入 DLL，然后挂钩过程/函数。问题是每次新版本的 EXE 出现时，函数的地址都可能会改变。目前我的做法是使用 Ollydbg，然后对我注入进程的 DLL 中的地址进行硬编码，这是非常丑陋且不安全的。只是想知道如果我可以动态地执行此操作，是否有办法知道过程的定义。

请注意，这并不是出于恶意，我只是为了记录目的而在目标 EXE 中挂接了一些程序。

Answer 1

如果函数本身没有改变（很多），你可以搜索你需要的代码（搜索操作码或十六进制字节）或使用 Madshi 的 disasm 单元来达到相同的目的。

Answer 2

如果没有您所挂接的程序的配合，就没有简单的方法来完成您需要的事情。

通常，这种合作以模块导出表的形式出现，但它也可能来自提供 API 的程序，用于向其询问其函数的地址。

即使您为挂钩程序的每个版本更新 DLL，仍然不能保证您的代码能够正常工作。您正在做的正是解决空间布局随机化问题 应该防止。该程序每次运行时可能会加载到不同的地址。

我认为你最好的选择是，如果你能以某种方式自动化你用来在 Ollydbg 中查找函数的任何过程。然后您可以将其合并到您的 DLL 中，以便它可以搜索函数本身。

Answer 3

这取决于。默认情况下，Delphi 编译为本机机器代码。大多数情况下没有这样的元数据。 （很多人将其视为一项安全功能；它阻止人们完全执行您在此处尝试执行的操作，这可能会用于邪恶目的。）但是任何具有可用 RTTI 的方法都将在 RTTI 表中包含其地址。这包括 D2010 和 Delphi XE 中的所有已发布方法以及所有公共方法（至少默认情况下）。这些RTTI表是可以读取的，但是需要大量的底层知识才能找到它们。

此外，某些程序在安装文件夹中附带了某种地图文件，或者作为资源嵌入，以便在出现问题时方便报告错误。如果这个程序有一个，并且您可以弄清楚它的格式，您也许可以从那里获取方法地址。

Answer 4

如果您使用的是 dll，您可以在 dll 内使用 getprocaddress 来检索函数的地址