delphi下,编写DLL,Hook了一个API,怎么把截取的数据传回主程序

用虚拟文件来 *** 作。

FileMapHandle := CreateFileMapping($FFFFFFFF, nil, PAGE_READWRITE, 0, SizeOf(TDATA), PChar(String_ID));

通过公用内存来 *** 作。

如果中的是屏幕监视类型的木马，软键盘也是不安全的，如果是截取数据的，就更加危险了。所以最重要还的是防范。

当木马程序侵入系统后，它们窃取用户帐号所采用的技术手段通常有以下几种：

1) 键盘记录

常见的方法有利用系统提供的消息钩子注入到目标进程中，过滤并截获键盘输入消息。也有木马采用更底层的技术，例如采用键盘过滤驱动来截获键盘输入。

2) 屏幕监视

在后台开启一个程序，进行小范围和低速屏幕录制或截图。

3) 读取目标程序内存数据

寻找目标程序的内存中的敏感数据，读取并进行解密。

4) 钓鱼和域名劫持

木马程序可以修改系统的host文件，当用户登录银行等官方网站时，将被引导至一个伪造的钓鱼网站，如果用户在这里进行登录 *** 作，个人帐号信息就会丢失。

5) 伪造登录窗口

木马程序如果发现用户执行某些特定程序的登录 *** 作，立即屏蔽掉原始窗口，在其上构造一个伪造的登录窗口（通常会与真正窗口的样子完全一致），截获用户的输入 *** 作。

6) **数字证书：

在用户电脑中寻找数字证书文件，将其发生给盗窃者。

7) 解密网络传输数据包

分析目标程序客户端和服务器端通信的传输数据，尝试解密数据包。

8) 利用社会工程学进行破解

在用户电脑中寻找特殊文件，比如“pwdtxt”、“密码rar”等等，将其发生给盗窃者。

以程序的具体执行过程为例来给你讲解，但愿你能理解：

1程序被打开时，即程序开始运行时，会首先向 *** 作系统请求独占内存空间（一段在程序整个执行过程中都不释放的空间）， *** 作系统会应答请求并分配一段逻辑上连续（其实是将零散的内存空间映射为一段连续的空间）的内存空间给该程序，此时程序得到该段空间的逻辑地址信息，根据地址将程序代码段和数据段装入内存，此时程序载入完成。

2程序运行中，当某一过程任务需要更大内存空间时，会再次向 *** 作系统发出请求， *** 作系统会根据请求再次分配内存空间给该程序，当这一过程任务执行完毕后，该内存空间被释放。同时由于 *** 作系统的存储保护，程序在运行过程中只能访问自己所申请的内存空间，不能访问其他程序的内存空间。

3当程序执行完毕或关闭程序后，该程序所占的所有内存空间都被释放。

当你再次打开程序后，重复上面的过程。

下面对你的问题进行针对性回答：

1当程序运行时，会调入内存，不同时间运行，程序放在内存的位置也可能不同：每运行一次程序，程序都会重新向 *** 作系统申请内存空间，这时 *** 作系统会分配一段全新的内存空间给程序，故不同时间运行程序，程序在内存中的位置是不同的。

2使用内存中数据的位置也可能不同:当程序申请内存空间后， *** 作系统会将所申请的内存空间的地址传给程序，尽管数据的位置不同，但程序知道数据的地址，故程序依然可以根据地址来找到所需要的数据。

3）查看进程列表：adb shell "ps"，同时也能获取到应用的UID，方式如下（不需root权限）：

u0_a开头的都是Android的应用进程，Android的应用的UID是从10000开始，到19999结束，可以在Processjava中查看到（FIRST_APPLICATION_UID和LAST_APPLICATION_UID），u0_a后面的数字就是该应用的UID值减去FIRST_APPLICATION_UID所得的值，所以，对于截图这个应用进程，它是u0_a155，按前面的规制，它的UID就是155 + FIRST_APPLICATION_UID = 10155。

VSS - Virtual Set Size 虚拟耗用内存（包含共享库占用的内存）

RSS - Resident Set Size 实际使用物理内存（包含共享库占用的内存）

PSS - Proportional Set Size 实际使用的物理内存（比例分配共享库占用的内存）

USS - Unique Set Size 进程独自占用的物理内存（不包含共享库占用的内存）

一般来说内存占用大小有如下规律：VSS >= RSS >= PSS >= USS

使用 adb shell "dumpsys meminfo -s <pakagename | pid>"命令，输出结果分以下4部分:

PS：在apk内调用运行获取其他app的内存数据则需要root权限

adb命令：adb shell dumpsys gfxinfo <package | pid>

正常情况下帧率应该在1667ms左右，1秒60帧，执行结果如下：

详细计算方法如下：

还有一个命令是: adb shell dumpsys SurfaceFlinger --latency LayerName

其中LayerName在各个不同系统中获取的命令是不一样的

在Android 6系统直接就是SurfaceView

在Android 7系统中可以通过 dumpsys window windows | grep mSurface | grep SurfaceView 然后通过数据截取到

在Android 8系统中可以通过 dumpsys SurfaceFlinger | grep android包名获取到

执行命令结果如下：

计算方法比较简单，一般打印出来的数据是129行（部分机型打印两次257行，但是第一部分是无效数据，取后半部分），取len-2的第一列数据为end_time，取len-128的第一列数据为start_time

fps = 127/((end_time - start_time) / 10000000)

至于为啥要取第一列数据，这里不做过多介绍，欢迎参看这两篇文章

老罗的文章SurfaceView原理

Android性能测试之fps获取

至于为啥要处于1000000，因为命令打印出来的是纳秒单位，要转为毫秒进行计算，127就是因为命令一次打印出来127帧的数据而已

有两种方法可以获取

1） adb shell "top -n 5 | grep <package | pid>" ，第三列就是实时监控的CPU占用率（-n 指定执行次数，不需root权限），这边top命令执行需要2到3s左右，一般可以采用busybox 的top命令执行，效率会快很多

2） adb shell "dumpsys cpuinfo | grep <package | pid>"

两种方法直接区别在于，top是持续监控状态，而dumpsys cpuinfo获取的实时CPU占用率数据

adb命令：adb shell "dumpsys batterystats < package | pid>" (Android 50后引入)

获取单个应用的耗电量信息，具体返回结果待研究

adb命令：adb shell "dumpsys battery"

出现信息解读：

AC powered：false 是否连接AC（电源）充电线

USB powered：true 是否连接USB（PC或笔记本USB插口）充电

Wireless powered：false 是否使用了无线电源

status: 1 电池状态，2为充电状态，其他为非充电状态

level：58 电量（%）

scale: 100 电量最大数值

voltage: 3977 当前电压（mV）

current now: -335232 当前电流（mA）

temperature:355 电池温度，单位为01摄氏度

adb 命令：adb shell "dumpsys< package | pid> | grep UID" [通过ps命令，获取app的UID（安装后唯一且固定）]

adb shell cat /proc/uid_stat/UID/tcp_rcv [cat为查看命令，读取tcp_rcv获取应用接收流量信息（设备重启后清零）]

adb shell cat /proc/uid_stat/UID/tcp_snd [cat为查看命令，读取tcp_snd获取应用发送流量信息（设备重启后清零）]

计算流量消耗步骤：

或者还有一种方式获取应用流量消耗：

首先判断类型：

cat /sys/class/thermal/thermal_zone/type

只有红框框出来的是有效的

cat /sys/class/thermal/thermal_zone/temp

获取CPU温度

dumpsys battery | grep temperature 单位01摄氏度

获取/proc/stat文件内容（无权限限制）

总的cpu时间片是 total = user+nice+system+idle+iowait+irq+softirq

忙碌时间为 notidle = user+nice+system +iowait+irq+softirq

cpu使用率计算方法为，先取开始的total值和忙碌时间notidle，隔一段时间片，再取一次计算total2，notidle2, cpuuse = (notidle2 – notidle) 100 / (total2 - total)%

PS:由于Android 8权限收紧，在Android 8系统手机内apk内读取文件内容为空，需要shell权限才可获取文件内容，下同

读/sys/devices/system/cpu/cpuX/cpufreq/scaling_cur_freq文件的值，X不定，看是几核手机，scaling_cur_freq是否存在也不一定，需要判断

至于为啥不取cpuinfo_cur_freq文件的值，原因是android 6,7系统获取的时候，这个文件shell没有读取权限，需要root权限

参考文章： >

1、首先打开java构造方法代码。

2、接下来就可以获得网卡物理地址方法代码。

3、然后得到获得机器IP地址方法代码。

4、然后得到获得机器子网掩码方法代码。

5、然后得到获得机器默认网关方法代码。

6、然后得到获得DNS方法代码。

7、最后得到主函数测试方法代码。

扩展资料

当使用80386时，必须区分以下三种不同的地址：

逻辑地址：机器语言指令仍用这种地址指定一个 *** 作数的地址或一条指令的地址。这种寻址方式在Intel的分段结构中表现得尤为具体，它使得MS-DOS或Windows程序员把程序分为若干段。每个逻辑地址都由一个段和偏移量组成。

线性地址：针对32位CPU，线性地址是一个32位的无符号整数，可以表达高达2³² （4GB）的地址。通常用16进制表示线性地址，其取值范围为0x00000000～0xffffffff。对64位CPU，线性地址是一个64位的无符号整数，可以表达高达2⁶⁴  。

物理地址：也就是内存单元的实际地址，用于芯片级内存单元寻址。物理地址也由32位无符号整数表示。

电脑的内存（尤其是指主存）是由许多“内存地址”所组成的，每个内存地址都有一个“物理地址”，能供CPU（或其他设备）访问。一般，只有如BIOS、 *** 作系统及部分特定之公用软件（如内存测试软件）等系统软件；

能使用机器码的运算对象或寄存器对物理地址定址，指示CPU要求内存控制器之类的硬件设备，使用内存总线或系统总线，亦或分别之控制总线、地址总线及数据总线，运行该程序之命令。

内存控制器的总线是由数条并行的线路所组成的，每条线路表示一个比特。总线的宽度因此依电脑不同，决定了可定址之存储单位数量，以及每一单位内的比特数量。

计算机程序使用内存地址来运行机器码、存储及截取数据。大多数的应用程序无法得知实际的物理地址，而是使用电脑的内存管理单元及 *** 作系统的内存映射，为“逻辑地址”或虚拟地址定址。

参考资料：

以上就是关于delphi下,编写DLL,Hook了一个API,怎么把截取的数据传回主程序全部的内容，包括:delphi下,编写DLL,Hook了一个API,怎么把截取的数据传回主程序、用软键盘输密码也能被盗、程序运行时的内存问题等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！