Я делаю автоанпакер.
Мне(проге) нужно узнать откуда вызывается одна апи функция.
Как это сделать.(Дельфи)

| Сообщение посчитали полезным:

в смысле модуль, из которого вызывается или адрес, где поисходит вызов?

| Сообщение посчитали полезным:

В смысле адрес где происходит вызов.

| Сообщение посчитали полезным:

Или вопрос не ясно задан или парсить код =)

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

прочитать из стека адрес возврата?

asm
mov eax,[esp]
mov address,eax
end;

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

прочитать из стека адрес возврата?
это понятно а как вообще в дельфи поставить бряк на апи,
чтоб потом уже сделать
asm
mov eax,[esp]
mov address,eax
end;

| Сообщение посчитали полезным:

хех, с этого и надо было начинать...
берёшь процесс под отладку, лепишь на начало функи $CC и ловишь исключение.
Если ничего не понятно, то юзаешь гугл, там есть исходники...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

>>это понятно а как вообще в дельфи поставить бряк на апи,

Юзай DebugApi.

-----
Никто не знает столько, сколько не знаю я

| Сообщение посчитали полезным:

Amachbek пишет:
чтоб потом уже сделать
asm
mov eax,[esp]
mov address,eax
end;

а лучше так:

asm
push EAX
mov EAX,[esp+4]
mov adress,EAX
pop EAX
end;

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Amachbek пишет:
а как вообще в дельфи поставить бряк на апи

Используй API-сплайсинг, а на делфи так вообще с этим просто, т.к. есть Ms-Rem'овский advApiHook

И вообще, эта темя уже на днях обсуждалась здесь

| Сообщение посчитали полезным:

где взять DebugApi?

| Сообщение посчитали полезным:

> а лучше так:
>
> asm
> push EAX
> mov EAX,[esp+4]
> mov adress,EAX
> pop EAX
> end;

Ну можно и так:

asm
push dword ptr [esp]
pop dword ptr address
and;

ps Зачем DebugApi? Добавил в прогу SEH который поставит дебажный флажокк и будет self-tracing.

-----
The one derivative you manage is the one I abhore (c) Slipknot

| Сообщение посчитали полезным:

Chingachguk пишет:
Добавил в прогу SEH который поставит дебажный флажокк и будет self-tracing. - по-моему лучше VEH поставить и обрабатывать все исключения, а не пошагово идти (по-моему скорость будет выше, хотя х.з. ).
P.S: Amachbek-если будешь бряк писать на функцию в длл - пиши только после того места, где ты уверен что все длл подгружены программой (например на ОЕП), иначе будет вечная память героям.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

> а не пошагово идти

Ну я имел в виду что можно контролировать выполняемый код ;)

-----
The one derivative you manage is the one I abhore (c) Slipknot

| Сообщение посчитали полезным:

Попытался использовать HookProc из advApiHook.
Но он реагирует на вызовы функции только в самой программе, а в другой проге нет.
Что делать?

| Сообщение посчитали полезным:

Amachbek
прочитай статьи Ms-Rem о перехвате API. там тебе и код на делфи будет

| Сообщение посчитали полезным:

asd пишет:
рочитай статьи Ms-Rem о перехвате API. там тебе и код на делфи будет
Читал. Не помогло.

| Сообщение посчитали полезным:

Amachbek пишет:
Попытался использовать HookProc из advApiHook.
Но он реагирует на вызовы функции только в самой программе, а в другой проге нет.
Что делать?
Пишеш dll, инжектиш ее к чужому процессу (в том же advApiHook есть куча разных реализаций этого дела), в самой dll перехватываешь API, и делаешь все что хотел...

| Сообщение посчитали полезным:

Satanael пишет:
Юзай DebugApi.

Для автоанпакера использование DebugApi зачастую являеться не наилучшей идеей, учитывая то что большинство протов щас используют кучу антиотладочных фокусов

| Сообщение посчитали полезным: