Функции из таблицы экспортов PE

[Johnson]

Здравствуйте, уважаемые.

Сразу оговорюсь, что пишу на дэльфи, но по воле случая и необходимости пришлось обратиться в этот раздел за помощью.

Итак, суть проблемы:
Есть некая библиотека.
У неё есть громадная таблица экспортов PE.
Все экспорты имеют такой формат (отрывок, их несколько тысяч):

Цитата:

0x2012 0x003D0BE0 "?ReplyGameGuardQuery@UNetworkHandl er@@UAEXKKKKW4GAMEGUARD_CHECK_TYPE@ @@Z"
0x2163 0x003D4CE0 "?ResponseAuthGameGuard@UNetworkHan dler@@UAEHXZ"

Программа сетевая, и я вычислил, что это функции обработки некоторых пакетов. Формат соответствующих пакетов, или всю таблицу экспорта я могу предоставить.

Теперь вопрос.
Правильно ли я понимаю, что значения "QAEXKKKKH" это представления аргументов, передаваемых в функцию?
Есть ли информация по этому формату?

Для примера:
Формат записи в пакет "GameGuardQuery":

Код:

	public void writeImpl(){
		writeC(0x74);
		writeD(0x27533DD9);
		writeD(0x2E72A51D);
		writeD(0x2017038B);
		writeD(0xC35B1EA3);
	}

Чтение пакета "AuthGameGuard":

Код:

	protected boolean readImpl(){
		if (super._buf.remaining() >= 20){
			_sessionId = readD();
			_data1 = readD();
			_data2 = readD();
			_data3 = readD();
			_data4 = readD();
			return true;
		}
		return false;
	}

Помогите разобраться с этим, требуется хукать вызовы этих функций, и подменять аргументы (не вирус).
С хуком я справлюсь как-нибудь, а вот с формат входящих аргументов победить не могу.
Буду очень благодарен за любую помощь!


PS: Да, вот ещё. Нашел один похожий пример, но он под старую версию клиента. Экспортируется функция по-другому. Да и нужна другая функция.

Код:

 ReplyGameGuardQuery = '?ReplyGameGuardQuery@UNetworkHandler@@UAEXKKKK@Z';
procedure GGReplay; cdecl;
asm
  push esp
  push ecx
  call CheckEnv
  pop ecx
  pop esp
  mov eax,[ecx+048h]
  mov ecx,[eax]
  mov  edx, [PacketHdr]
  push edx
  mov  edx, [PK1]
  push edx
  mov  edx, [PK2]
  push edx
  mov  edx, [ID]
  push edx
  push $CA
  push cdddd
  push eax
  mov  eax, [ecx+068h]
  call eax
  add esp,$1c
  ret $10
end;


begin
   DllHandle := GetModuleHandle('engine.dll');
   if DllHandle <> 0 then begin

    ReplyGameGuardQueryAddr := GetProcAddress(DllHandle,ReplyGameGuardQuery);
    if NOT assigned(ReplyGameGuardQueryAddr) then exit;
    if VirtualProtectEx(GetCurrentProcess,ReplyGameGuardQueryAddr,10,PAGE_EXECUTE_READWRITE,Offset) then begin
     ReplyGameGuardQueryAddr^ := $E9;
     Offset := Dword(@GGReplay)-DWord(ReplyGameGuardQueryAddr)-5;
     move(Offset,Pointer(DWord(ReplyGameGuardQueryAddr)+1)^,sizeof(Offset));

    end;
    DisableThreadLibraryCalls(GetModuleHandle(nil));
   end;

end;

Разумеется, код на дэльфи, но он не такой уж сложный. Вникать нет смысла, главное логика.

PK1,PK2,ID, PakcetHdr определяются в процедуре CheckEnv

[waleri]

Это не просто функции а методы класса...
Надо узнать каким компилятором сделан DLL и искат demangler для этого компилятора. Почитайте на досуге, описаны разные компиляторы - http://en.wikipedia.org/wiki/Name_mangling

[Johnson]

На MSVC написана либа и всё приложение в целом.
По критическим ошибкам определил.

[netrino]

Вместе MSVC утилита была, вроде undname.exe называлась, которая умела преобразовывать декорированные имена к человекочитаемым.

[Johnson]

Не могли бы вы её скинуть, качать весь msvc нет возможности сейчас...

[netrino]

К сожалению, у меня сейчас нет под рукой компьютера с виндовс и мсвц. Быть может есть смысл поискать в интернете, наверняка кто-то уже выкладывал

[waleri]

Напишите сами, на Delphi, используя вот это:
http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx

[Johnson]

Спасибо большое, сделал.
Мало ли, кому пригодится в дальнейшем, исход и скомпилированный файл в аттаче.

[Johnson]

Так-с. Имя-то андекорировал, а толку?
Оно использует _thiscall. Из дэльфи можно только заглушкой asm вызвать...
Кто-нибудь поможе заглушку написать, чтоб сплайсингом на нее можно было управление передать?

Вызывалось под старую версию клиента так:

Цитата:

public: virtual void __thiscall UNetworkHandler::ReplyGameGuardQuer y(unsigned long,unsigned long,unsigned long,unsigned long)

Использовалась заглушка:

Код:

procedure GGReplay; cdecl;
asm
  push esp
  push ecx
  call CheckEnv
  pop ecx
  pop esp
  mov eax,[ecx+048h]
  mov ecx,[eax]
  mov  edx, [PacketHdr]
  push edx
  mov  edx, [PK1]
  push edx
  mov  edx, [PK2]
  push edx
  mov  edx, [ID]
  push edx
  push $CA
  push cdddd
  push eax
  mov  eax, [ecx+068h]
  call eax
  add esp,$1c
  ret $10
end;

Теперь, в новом клиенте оно вызывается так:

Цитата:

public: virtual void __thiscall UNetworkHandler::ReplyGameGuardQuer y(unsigned long,unsigned long,unsigned long,unsigned long,enum GAMEGUARD_CHECK_TYPE)

Помогите переписать код заглушки на новый вызов?