Привет, у меня несколько вопросов:
1. Какой функцией можно определить запущен процесс или нет.
2. Какой функцией можно прочитать данные из адреса в памяти
3. Какой функцией можно заменить, добавить или удалить данные из адреса в памяти.

Патч - Лодырь писать собираюсь!

С примерами Please!

| Сообщение посчитали полезным:

простенький пример (статья на английском)

3971_loader_delphi.txt.zip

Тут вааще-то было не TXT a HTML, форум изменил расширение.

| Сообщение посчитали полезным:

А на русском нету?


| Сообщение посчитали полезным:

SamoVar
А на русском нету?
Тебе и так помогают как могут ... тем более Z0oMiK давал тебе такой же пример, а тут даже коменты есть, .... просто разберись. Удачи в начинаниях ! ;)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Сенк ю and ALL


| Сообщение посчитали полезным:

mysterio пишет:
А на русском нету? Русского вообще как такового в компах нету.Привыкай к международному,к тому же лучшие статьи в основном на английском.

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

SamoVar пишет:
1. Какой функцией можно определить запущен процесс или нет.
Одной такой супер-пупер API-функции на сегодняшний день не существует (а жаль).

Я знаю 3 подхода к решению задачи.

1. Если прога твоя (не этот случай, но всё же).
Напиши в ней код, который будет как бы флагом. В MSDN предлагают варианта с CreateFileMapping (то есть уникальный файл вместо флага). Вообще говоря, это довольно расточительный способ, но другого (до WinNT) им в голову не пришло =). Можно так же мютексами общаться.

2. Если прога не твоя, и ты даже не знаешь: где она, с кем она, что она (допустим только имя exe).
В таком случае нужно перебирать все запущенные процессы в поисках желанного или не желанного (например, в случае с вирусом =).
Тебе сюда:
Как получить список запущенных процессов? - www.rsdn.ru/article/qna/baseserv/enumproc.xml

3. Если прога не твоя, париться не хочешь и просто пишешь лодырь (как раз для тебя).
Достаточно отрыть файл на чтение/запись эксклюзивно, вот так:
invoke CreateFile, ADDR _FileName, GENERIC_WRITE ,0,0,OPEN_EXISTING,0,0

Ежели он занят, то можно сделать предположение, что файл запущен (для лодыря такое допущение сойдёт =).
Ну а если файл откроется, нужно его закрыть и вперёд, далее по теме.


SamoVar пишет:
2. Какой функцией можно прочитать данные из адреса в памяти
3. Какой функцией можно заменить, добавить или удалить данные из адреса в памяти.
На эти вопросы уже с лихвой ответили.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Замечательная статья (на ангельском) про написание лоадеров:
"Cracking with loaders" (981 kb)

intechhosting.com/~access/ARTeam/ar/cracking/tuts.html

Там и про лодырь-отладчик объясняют.

| Сообщение посчитали полезным:

1.
function IsRunning( sName : string ) : boolean;
var
han : THandle;
ProcStruct : PROCESSENTRY32;
sID : string;
begin
Result := false;
han := CreateToolhelp32Snapshot( TH32CS_SNAPALL, 0 );
if han = 0 then
exit;
ProcStruct.dwSize := sizeof( PROCESSENTRY32 );
if Process32First( han, ProcStruct ) then
begin
repeat
sID := ExtractFileName( ProcStruct.szExeFile );
if uppercase( copy( sId, 1, length( sName ) ) ) = uppercase( sName ) then
begin
Result := true;
Break;
end;
until not Process32Next( han, ProcStruct );
end;
CloseHandle( han );
end;

| Сообщение посчитали полезным:

iddqd
Забыл только добавить что для ProcStruct : PROCESSENTRY32; нужно: uses TLHelp32; ;)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

TOG
Сам линк на статью intechhosting.com/~access/ARTeam/tutorials/file_info/download1.php?file=Cracking_with_Loaders_Theory_General_Approach_and_a_Framework_v12_by_Shub-Nigurrath_ThunderPwr.rar

-----
Computer Security Laboratory

| Сообщение посчитали полезным: