想把kernel32.DLL导出函数翻译为Delphi函数

最近看到一篇老文章，说的是使用GetCommandLine获取远程进程的命令行。我用Delphi重新实现了一下

function GetSysFuncAddr(AFunc: Pointer): Integer;

begin

  asm

    mov eax, AFunc

    add eax, 2

    mov eax, [eax]

    mov eax, [eax]

    mov Result, eax

  end;

end;

 

procedure GetRemoteCommandLine(ABuf: PChar; APID: Integer);

var

         dwAddr, dwRead: DWORD;

  hProc: THandle;

begin

  dwAddr :=  GetSysFuncAddr(@GetCommandLine) + 7;

  dwAddr :=  $7dd75178 - dwAddr;

  dwAddr :=  $7dd70d2c - dwAddr;

  asm

    mov eax, dwAddr

    mov eax, [eax]

    add eax, 1

    mov eax, [eax]

    mov dwAddr, eax

  end;

  hProc := OpenProcess(PROCESS_VM_READ, False, APID);

  ReadProcessMemory(hProc, Pointer(dwAddr), @dwAddr, 4, dwRead);

  ReadProcessMemory(hProc, Pointer(dwAddr), ABuf, MAX_PATH, dwRead);

End;

 

procedure  test;

var

         buf: array [0..MAX_PATH] of Char;

begin

         GetRemoteCommandLine(@buf, 3556);

End;

原帖地址忘了，原理大概是每一个进程都会把命令行存于自己进程空间的特定位置，GetCommandLineA会从这个位置读取命令行。

当然，只知道这一点是不够的，因为我们不知道另一个进程的命令行存的位置。但是有一种办法可以获得这个地址，那就是使用GetCommandLineA,

GetCommandLineA在所有的进程里地址是一样的（kernel32.DLL中所有函数都有这个特点），因此只要读取远端进程的GetCommandLineA的地址，加上特定的偏移，

就可以获得命令行存储的地址。（说的比较随便，其实只要看一下GetCommandLineA就能明白了）

后来我反编译了几个kernel32.DLL的函数，发现这对于学习系统有很大的帮助，因此就萌生了将kernel32.DLL中的函数翻译为Delphi函数的想法，希望能够坚持下去。