Delphi版COM高级应用

Delphi深度探索之外壳执行操作记录器

作者： 哈巴狗的小窝　来源：希赛网　http://www.csai.cn　2006年01月20日

记录外壳的活动

　　记录外壳活动有很多好处，比如当需要监控用户的行为，回溯系统崩溃前的过程。实现这一功能的关键工具相当简单，它就是COM接口IShellExecuteHook。编写一个实现了这一接口的COM对象后，再在系统中注册，就可以容易地控制并影响Windows外壳的运行。Windows 98和Windows 2000都支持IShellExecuteHook外壳扩展，而在Windows 95和Windows NT 4.0上则必须安装活动桌面扩展后才支持（也就是说必须安装IE 4.01）。

　　一个实现了IShellExecuteHook接口的COM对象可以截获所有对ShellExecute和ShellExecuteEx函数的调用。ShellExecute和ShellExecuteEx函数主要用于执行应用程序，它们可以接收一个文件名并能自动获得同文件名相关的可执行文件名。此外，它们还支持系统安全认证。如果在NT上设定了用户的可执行权限，ShellExecute和ShellExecuteEx函数将会在创建新的进程前检查权限(CreateProcess和WinExec函数则没有这项功能)。函数调用的流程如下：

　　（1）获得将要运行的可执行文件名。

　　（2）根据程序名检查用户执行权限。

　　（3）激活全部已注册的IshellExecuteHook扩展。

　　（4）当所有扩展和权限都同意执行，创建新的进程并返回。

　　Windows外壳大量调用ShellExecute和ShellExecuteEx函数来执行几乎是所有的资源管理器的操作，比如双击目录、浏览文件夹内容、打印编辑文档、查看文件属性、选择文档的上下文相关菜单等等。此外，开始菜单的运行对话框和DOS方式下的Start.exe也使用ShellExecuteEx函数来执行程序。简单地说几乎用户的所有外壳操作都可以被扩展截获，包括其他应用程序对ShellExecute和ShellExecteEx的调用。

编写外壳活动记录器

　　首先需要创建一个进程内COM对象，选菜单命令New | ActiveX Library，然后点击菜单New|Com Object，创建COM对象框架，按图2.14填充对话框的内容，然后点击OK按钮。Delphi就会自动生成框架文件，并保存生成的文件。

　　IShellExecuteHook的接口定义在shlobj.pas单元中，添加shlobj到单元uses部分，然后添加IShellExecuteHooko方法原型到COM对象声明部分，声明部分代码如下：

unit ShellExecuteHookObj;

interface

uses

Windows, ActiveX, ComObj, ShlObj, ShellAPI;

type

TTShellExecuteHook = class (TComObject, IShellExecuteHook)

protected

function Execute(var ShellExecuteInfo: TShellExecuteInfo): HResult; stdcall;

end;

const

Class_TShellExecuteHook: TGUID = ''''{935FA400-243D-11D3-B06E-857B2AE2BE64}'''';

　　下面就是用来截获并记录外壳操作的实现部分，一旦外壳扩展被注册后，每次ShellExecute 和ShellExecuteEx函数运行时都会调用COM对象的Execute函数。我们的核心代码就是通过Execute方法实现的。方法定义如下：

function TTShellExecuteHook.Execute(
var ShellExecuteInfo: TShellExecuteInfo): HResult;

　　Execute方法会从外壳获得一个类型为TshellExecuteInfo的参数，参数定义如下：

_SHELLEXECUTEINFOA = record

cbSize: DWORD;

fMask: ULONG;

Wnd: HWND;

lpVerb: PAnsiChar;

lpFile: PAnsiChar;

lpParameters: PAnsiChar;

lpDirectory: PAnsiChar;

nShow: Integer;

hInstApp: HINST;

{ Optional fields }

lpIDList: Pointer;

lpClass: PAnsiChar;

hkeyClass: HKEY;

dwHotKey: DWORD;

hIcon: THandle;

hProcess: THandle;

end;

　　这个记录结构中的lpFile包含了要运行的文件名，而lpVerb则表明执行的动作，动作由一些标准的字符串代表，比如，open（打开）、print（打印）、edit（编辑）、explore（浏览）、properties（属性）、find（查找）和其他上下文菜单的命令名。 有时，lpFile并不包含可执行文件名，这是因为ShellExecute接到的运行参数是一个文档名。比如当我们在资源管理器中双击文本文件时，Windows用文本文件名作为参数调用ShellExecute函数，而ShellExecute函数则获得同文本文件相关联的可执行文件名，然后执行。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!