Extraer las APIS de un ejecutable

[JuanOrtega]

Hola estoy pensando en hacer un Antivirus en Delphi para extraer las API que usa un exe y detectar si hay API sospechosas , eh visto varios programas en internet que lo hacen pero no encuentro codigo de nada parecido y menos un manual.

¿ Alguien sabe como se puede hacer ?

[[escafandra]]

Revisa este hilo: Explorar datos y funciones exportadas e importadas en el formato PE


Saludos.

[Casimiro Notevi]

[modo broma]
Poco a poco, no quieras correr tanto, todavía eres muy joven y antes tienes que aprender muchas cosas
[/modo broma]

[JuanOrtega]

gracias por responder escafandra.

despues de mucho buscar lo mas parecido que encontre fue esto :

Código Delphi [-]
uses
  ImageHlp;

procedure LoadedDLLExportsFunc(aFileName: string; aList: tStrings);
type
  PDWORDArray = ^TDWORDArray;
  TDWORDArray = array[0..0] of DWORD;
var
  imageinfo: LoadedImage;
  pExportDirectory: PImageExportDirectory;
  dirsize: Cardinal;
  pDummy: PImageSectionHeader;
  i: Cardinal;
  pNameRVAs: PDWORDArray;
  Name: string;
begin
  imageinfo.MappedAddress := PChar(GetModuleHandle(@aFileName[1]));
  if Assigned(imageinfo.MappedAddress) then
  try
    imageinfo.FileHeader := ImageNtHeader(imageinfo.MappedAddress);
    pExportDirectory := ImageDirectoryEntryToData(imageinfo.MappedAddress,
      True, IMAGE_DIRECTORY_ENTRY_EXPORT, dirsize);
    if (pExportDirectory <> nil) then
    begin
      try
        pNameRVAs := PDWORDArray(PChar(imageinfo.MappedAddress) + DWORD(pExportDirectory^.AddressOfNames));
      except
        aList.Add('ERROR: #' + IntToStr(GetLastError));
      end;
      for i := 0 to pExportDirectory^.NumberOfNames - 1 do
        aList.Add(PChar(imageinfo.MappedAddress) + pNameRVAs^[i]);
    end;
  finally
  end;
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
  LoadedDLLExportsFunc('ntdll.dll', Listbox1.Items);
end;

lo eh probado en Windows Seven 64 bits y no funciona con ninguna dll , ¿ alguien le funciona este codigo ?

[[escafandra]]

En Windows 10 si funciona, no lo he probado en Win7. Ese código es muy similar al de ExportVisor

Código PHP:

void __fastcall TForm1::Button2Click(TObject *Sender)
{
   Memo1->Clear();
   HMODULE hModule = LoadLibrary(ComboBox1->Text.c_str());
   if(!hModule)
     hModule = GetModuleHandle(ComboBox1->Text.c_str());
   if(!hModule){
     Memo1->Text = "Can't open module"; 
     return;
   }
   DWORD ImageBase;
   PIMAGE_EXPORT_DIRECTORY IED = ImageExportDirectory(hModule);
   char* ModuleName = (char*)(IED->Name + (DWORD)hModule); 
   Label1->Caption = "Exported data (.edata): " + String(ModuleName);
   Label3->Caption = IntToStr((int)IED->NumberOfNames) + " Functions and variables";
   Update();
   char** Names = (char**)(IED->AddressOfNames + (DWORD)hModule);
   DWORD* EntryPoints = (DWORD*)(IED->AddressOfFunctions + (DWORD)hModule);
   WORD*  Index = (WORD*)(IED->AddressOfNameOrdinals + (DWORD)hModule);

   // Listar las funciones exportadas:
   ImageBase = (DWORD)hModule;
   if(ComboBox1->Text == "ntoskrnl.exe" ||
      ComboBox1->Text == "ntkrnlpa.exe" ||
      ComboBox1->Text == "ntkrnlmp.exe" ||
      ComboBox1->Text == "hal.dll") {
        ImageBase = GetKernelBase();
        Label5->Caption = "Kernel Base: 0x" + IntToHex((int)ImageBase, 8);
   }else
     Label5->Caption = "hModule: 0x" + IntToHex((int)hModule, 8);

   for(int n=0; n<IED->NumberOfNames; n++){
      if(Index[n]>=IED->NumberOfFunctions) continue;
      char* Name = Names[n] + (DWORD)hModule;
      if(CheckBox1->Checked)
        Memo1->Lines->Add("0x" + IntToHex((int)EntryPoints[Index[n]], 8) + ": " + String(Name));
      else
        Memo1->Lines->Add("0x" + IntToHex((int)(EntryPoints[Index[n]]+ ImageBase), 8) + ": " + String(Name));
      Application->ProcessMessages();
   }

   FreeLibrary(hModule);
} 


Funciona en Win10. Algunas dll que aporta este código pertenecen al Kernel de WinXP y no existen en siguientes versiones.

Es preferible no cargar un módulo sino analizar el fichero a lo bruto, como lo hace IEDataVisor, aunque es mucho más complejo.


Saludos.