Поиск процедуры в исполняемом файле.

[SoundMan]

Уже несколько дней ломаю голову над реализацией следующего:
Допустим есть процедура

Код:

procedure MsgBox;
begin
  MessageBox(0, 'Hello world', 'ddd', mb_iconinformation + mb_ok);
end;

Мне нужно найти эту процедуру в уже скомпилированном экзешнике.
Я пробовал вставлять метки, а потом уже искать их:

Код:

procedure MsgBox;
begin
  asm
    db 'L_00_00_start'
  end;
  MessageBox(0, 'Hello world', 'ddd', mb_iconinformation + mb_ok);
  asm
    db 'L_00_00_end'
  end;
end;

Но если посмотреть на это место через 16-тиричный редактор, то там будет не то, что мне нужно:



Как я понял, здесь хранятся строки, которые я использую в программе. Но как тогда найти саму процедуру?

[mihali4]

Вы можете попробовать сначала найти строковые переменные ('Hello world', 'ddd'), вернее, их относительные адреса, по которым они расположены в скомпилированной программе, а потом, если повезет - участок программы, где извлекаются (используются) данные по этим адресам.
Думаю, так...

[uberchel]

Если надо вызвать эту процедуру из другой программы, то пишеться так

Код:

procedure MsgBox; stdCall;
begin
  asm
    db 'L_00_00_start'
  end;
  MessageBox(0, 'Hello world', 'ddd', mb_iconinformation + mb_ok);
  asm
    db 'L_00_00_end'
  end;
end;

......
exports
MsgBox; name='MsgBox';

[Serge_Bliznykov]

SoundMan, ну, мне не совсем понятно, зачем Вам таких сложным и извращённым способом искать процедуру (или любой код), но Вам надо использовать ассемблерный код в качестве метки:
например, такая процедура:

Код:

  asm
    mov ax, 05455h
    xor ax,ax
  end;
  MessageBox(0, 'Hello world', 'ddd', mb_iconinformation + mb_ok);

компилируется в такой набор байт

Код:

-.0043F154: 66B85554                     mov         ax,05455 ;"TU"
-.0043F158: 6631C0                       xor         ax,ax
-.0043F15B: 6A40                         push        040
-.0043F15D: 6870F14300                   push        00043F170  -----v (1)
-.0043F162: 6874F14300                   push        00043F174  -----v (2)
-.0043F167: 6A00                         push        000
-.0043F169: E85274FCFF                   call        MessageBoxA ;user32.dll

и если искать 66 B8 55 54 66 31 C0 то однозначно найдёте свою "метку"...

разумеется, ассемблерную вставку я написал "наобум" - можете придумать свой фирменные наборчик байт ;-)

[Роман Радер]

не проще сделать так как сказал uberchel, а в другой программе просто:

Код:

var p:pointer;
...
h:=LoadLibrary('yourprogram.exe');
p:=GetProcAddress(h,'MsgBox');

для нахождения просто указателя.
а если надо еще и вызвать то

Код:

var p:procedure;
...
@p:=GetProcAddress(h,'MsgBox');
p();

[Stilet]

Нет, Рома, не проще. Или вернее это только полдела. Это даст указатель на функу в ДЛЛке винды, а автору нужно перехватить ее вызов в самой программе.
Тут сплайсинг нужен. Об этом много писано и лучшая статья безусловно у MS-REMa.

Впрочем Серж, тож верно сказал, только я бы искал инструкцию E85274FCFF

[Роман Радер]

ну возможно..

Цитата:

Сообщение от Stilet

E85274FCFF

я бы так не делал. мало-ли где в программе еще вызывается MessageBoxA

[Stilet]

Цитата:

ало-ли где в программе еще вызывается MessageBoxA

Вот это еще одна из задач, которую придется решить автору если он применит именноо эту методику

[SoundMan]

Всем спасибо за ответы, дальше буду думать сам)