知识大全 Delphi深度探索之外壳执行操作记录器

Posted 2022-07-22 函数

篇首语：学习知识要善于思考，思考，再思。我就是靠这个方法成为科学家的。本文由小常识网(cha138.com)小编为大家整理，主要介绍了知识大全 Delphi深度探索之外壳执行操作记录器相关的知识，希望对你有一定的参考价值。

Delphi深度探索之外壳执行操作记录器 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容，让我们赶快一起来看一下吧！

记录外壳的活动

　　记录外壳活动有很多好处比如当需要监控用户的行为回溯系统崩溃前的过程实现这一功能的关键工具相当简单它就是接口IShellExecuteHook 编写一个实现了这一接口的对象后再在系统中注册就可以容易地控制并影响Windows外壳的运行 Windows 和Windows 都支持IShellExecuteHook外壳扩展而在Windows 和Windows NT 上则必须安装活动桌面扩展后才支持（也就是说必须安装IE ）

　　一个实现了IShellExecuteHook接口的对象可以截获所有对ShellExecute和ShellExecuteEx函数的调用 ShellExecute和ShellExecuteEx函数主要用于执行应用程序它们可以接收一个文件名并能自动获得同文件名相关的可执行文件名此外它们还支持系统安全认证如果在NT上设定了用户的可执行权限 ShellExecute和ShellExecuteEx函数将会在创建新的进程前检查权限(CreateProcess和WinExec函数则没有这项功能) 函数调用的流程如下

　　（）获得将要运行的可执行文件名

　　（）根据程序名检查用户执行权限

　　（）激活全部已注册的IshellExecuteHook扩展

　　（）当所有扩展和权限都同意执行创建新的进程并返回

　　Windows外壳大量调用ShellExecute和ShellExecuteEx函数来执行几乎是所有的资源管理器的操作比如双击目录浏览文件夹内容打印编辑文档查看文件属性选择文档的上下文相关菜单等等此外开始菜单的运行对话框和DOS方式下的Start exe也使用ShellExecuteEx函数来执行程序简单地说几乎用户的所有外壳操作都可以被扩展截获包括其他应用程序对ShellExecute和ShellExecteEx的调用

编写外壳活动记录器

　　首先需要创建一个进程内对象选菜单命令New | ActiveX Library 然后点击菜单New|Com Object 创建对象框架按图填充对话框的内容然后点击OK按钮 Delphi就会自动生成框架文件并保存生成的文件

　　IShellExecuteHook的接口定义在shlobj pas单元中添加shlobj到单元uses部分然后添加IShellExecuteHooko方法原型到对象声明部分声明部分代码如下

unit ShellExecuteHookObj;

interface

uses

Windows ActiveX ComObj ShlObj ShellAPI;

type

TTShellExecuteHook = class (TComObject IShellExecuteHook)

protected

function Execute(var ShellExecuteInfo: TShellExecuteInfo): HResult; stdcall;

end;

const

Class_TShellExecuteHook: TGUID = FA D D B E B AE BE ;

　　下面就是用来截获并记录外壳操作的实现部分一旦外壳扩展被注册后每次ShellExecute 和ShellExecuteEx函数运行时都会调用对象的Execute函数我们的核心代码就是通过Execute方法实现的方法定义如下

function TTShellExecuteHook Execute(var ShellExecuteInfo: TShellExecuteInfo): HResult;

　　Execute方法会从外壳获得一个类型为TshellExecuteInfo的参数参数定义如下

_SHELLEXECUTEINFOA = record

cbSize: DWORD;

fMask: ULONG;

Wnd: HWND;

lpVerb: PAnsiChar;

lpFile: PAnsiChar;

lpParameters: PAnsiChar;

lpDirectory: PAnsiChar;

nShow: Integer;

hInstApp: HINST;

Optional fields

lpIDList: Pointer;

lpClass: PAnsiChar;

eyClass: HKEY;

dwHotKey: DWORD;

hIcon: THandle;

hProcess: THandle;

end;

　　这个记录结构中的lpFile包含了要运行的文件名而lpVerb则表明执行的动作动作由一些标准的字符串代表比如 open（打开） print（打印） edit（编辑） explore（浏览） properties（属性） find（查找）和其他上下文菜单的命令名有时 lpFile并不包含可执行文件名这是因为ShellExecute接到的运行参数是一个文档名比如当我们在资源管理器中双击文本文件时 Windows用文本文件名作为参数调用ShellExecute函数而ShellExecute函数则获得同文本文件相关联的可执行文件名然后执行

　　TShellExecuteInfo结构中还记录了要运行程序的很多信息然而这里我们只能在Execute方法中修改nCmdShow参数 nCmdShow参数定义了窗口在运行后的显示状态包括最大化最小化正常等选项对于其他参数的修改都会被外壳忽略除此之外在Execute方法中可以根据情况允许外壳继续缺省的任务或通知外壳取消执行这可以通过Execute函数的返回值来实现

　　如果Execute的返回值为S_FALSE 外壳就继续缺省的任务如果返回S_OK 则外壳认为扩展已经成功就不再继续执行了另外如果返回一个错误代码或系统无法识别的值则外壳会弹出错误信息这给了我们一个控制程序运行的机会比如可以限制任何对记事本的调用代码如下

function TTShellExecuteHook Execute(var ShellExecuteInfo: TShellExecuteInfo): HResult;

var

FileName: String;

begin

Result := S_FALSE;

with ShellExecuteInfo do

begin

FileName := UpperCase(ExtractFileName(lpFile));

if Pos( NOTEPAD FileName) = then

begin

Result := S_OK;

hInstApp := ;

MessageBox(Wnd 不允许记事本运行！错误 MB_OK or MB_ICONERROR);

end;

　　进一步我们甚至可以利用这点实现一个自定义的安全认证机制根据用户要求限制运行的程序有兴趣的朋友可以试验一下一定很有意思

　　有一点要注意的是在Execute方法下不能调用ShellExecute和ShellExecuteEx函数外部程序如果是这样的话我们的Execute方法又会被新的ShellExecute调用这样系统就会进入死循环如果我们确实想在Execute方法中调用外部程序的话可以使用CreateProcess或WinExec函数来替代这两个函数不会被ShellExecuteHook截获

　　对于外壳动作记录器来说只要在Execute方法中记录程序信息到日志文件中就可以了代码非常简单因为所有需要的信息都在TShellExecuteInfo记录中包含了这里只记录运行的动作文件名和时间需要记录其他信息的话大家可自行修改代码示意如下

function TTShellExecuteHook Execute(var ShellExecuteInfo: TShellExecuteInfo): HResult;

var

FileStream: TFileStream;

a:TStringList;

S:string;

begin

Result := S_FALSE;

with ShellExecuteInfo do

begin

FileStream:=TFileStream Create( c:\\shellexecutehook txt fmopenwrite);

S:=string(lpVerb)+ : +string(lpFile)+DateTimeToStr(Now)+# # ;

FileStream Seek(FileStream Size soFromBeginning);

FileStream Write(PChar(S)^ Length(S));

FileStream Free;

end;

注册ShellExecuteHook

　　要想使对象被外壳加载需要在注册表中注册一些信息在下面这个子键中添加类的GUID及描述字符串后就可以了（描述字符串可以不赋值但不妨给一个以便于识别）

HKEY_LOCAL_MACHINE

SOFARE

Microsoft

Windows

CurrentVersion

Explorer

ShellExecuteHooks

CLSID= 描述字符串

　　修改注册表可以通过重载的类工厂的UpdateRegistry方法来实现代码示意如下

implementation

uses ComServ SysUtils;

resourcestring

sCreateRegKeyError = 创建注册表项失败 ;

type

TShellExComObjectFactory = class(TComObjectFactory)

public

procedure UpdateRegistry(Register: Boolean); override;

end;

TShellExComObjectFactory

procedure TShellExComObjectFactory UpdateRegistry(Register: Boolean);

const

hellExecuteHooksKey= SOFARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks ;

var

Handle: HKey;

Status Disposition: Integer;

ClassID: String;

begin

ClassID := GUIDToString(Class_TShellExecuteHook);

if Register then

begin

Status := RegCreateKeyEx(HKEY_LOCAL_MACHINE PChar(ShellExecuteHooksKey) REG_OPTION_NON_VOLATILE KEY_READ or KEY_WRITE nil Handle @Disposition);

if Status = then

begin

Status := RegSetValueEx(Handle PChar(ClassID) REG_SZ

PChar(Description) Length(Description) + );

RegCloseKey(Handle);

end;

end else

begin

Status := RegOpenKeyEx(HKEY_LOCAL_MACHINE PChar(ShellExecuteHooksKey)

KEY_READ or KEY_WRITE Handle);

if Status = then

begin

Status := RegDeleteValue(Handle PChar(ClassID));

RegCloseKey(Handle);

end;

if Status <> then raise EOleError Create(sCreateRegKeyError);

inherited UpdateRegistry(Register);

end;

initialization

TShellExComObjectFactory Create(ComServer TTShellExecuteHook Class_TShellExecuteHook TShellExecuteHook ShellExecute hook sample ciMultiInstance tmApartment);

end 　　如果系统中有多个ShellExecuteHook的话外壳会按照ShellExecuteHook的安装顺序进行调用如果要想使某个外壳扩展优先运行可先删除其他扩展然后添加优先扩展原来的扩展依次放在后面不过这样做也可能意义不大因为别人也会这么干最后程序运行的结果

　　记住ShellExecuteHook并不是一个完善的用于监视系统运行的扩展它只能监视ShellExecute和ShellExecuteEx的运行它不能保证记录系统所有的行为特别是很多情况下外壳并不使用ShellExecute来进行一些常用的操作比如我们在资源管理器中选择一个文件然后调用右键菜单的属性命令后记录器没有记录这个动作但如果直接调用ShellExecute（如下示）的话 ShellExecuteHook却会正确执行

ShellExecute(nil properties foo txt nil nil SW_SHOW);

cha138/Article/program/Delphi/201311/24787