shellexecuteinfo_c# shellexecuteinfo_afxres.rc

Delphi深度探索之外壳执行操作记录器发布者：chxiaodn 时间：09-03 阅读数：489

记录外壳的活动

记录外壳活动有很多好处，比如当需要监控用户的行为，回溯系统崩溃前的过程。实现这一功能的关键工具相当简单，它就是COM接口IShellExecuteHook。编写一个实现了这一接口的COM对象后，再在系统中注册，就可以容易地控制并影响Windows外壳的运行。Windows 98和Windows 2000都支持IShellExecuteHook外壳扩展，而在Windows 95和Windows NT 4.0上则必须安装活动桌面扩展后才支持（也就是说必须安装IE 4.01）。

一个实现了IShellExecuteHook接口的COM对象可以截获所有对ShellExecute和ShellExecuteEx函数的调用。ShellExecute和ShellExecuteEx函数主要用于执行应用程序，它们可以接收一个文件名并能自动获得同文件名相关的可执行文件名。此外，它们还支持系统安全认证。如果在NT上设定了用户的可执行权限，ShellExecute和ShellExecuteEx函数将会在创建新的进程前检查权限(CreateProcess和WinExec函数则没有这项功能)。函数调用的流程如下：

（1）获得将要运行的可执行文件名。

（2）根据程序名检查用户执行权限。shellexecuteinfo

（3）激活全部已注册的IshellExecuteHook扩展。

（4）当所有扩展和权限都同意执行，创建新的进程并返回。

编写外壳活动记录器

首先需要创建一个进程内COM对象，选菜单命令New | ActiveX Library，然后点击菜单New|Com Object，创建COM对象框架，按图2.14填充对话框的内容，然后点击OK按钮。Delphi就会自动生成框架文件，并保存生成的文件。

IShellExecuteHook的接口定义在shlobj.pas单元中，添加shlobj到单元uses部分，然后添加IShellExecuteHooko方法原型到COM对象声明部分，声明部分代码如下：

unit ShellExecuteHookObj;

intece

uses

Windows, ActiveX, ComObj, ShlObj, ShellAPI;

type

TTShellExecuteHook = class (TComObject, IShellExecuteHook)

protected

function Execute(var ShellExecuteInfo: TShellExecuteInfo): HResult; stdcall;

end;

const

Class_TShellExecuteHook: TGUID = '{935FA400-243D-11D3-B06E-857B2AE2BE64}';

下面就是用来截获并记录外壳操作的实现部分，一旦外壳扩展被注册后，每次ShellExecute 和ShellExecuteEx函数运行时都会调用COM对象的Execute函数。我们的核心代码就是通过Execute方法实现的。方法定义如下：

function TTShellExecuteHook.Execute(

var ShellExecuteInfo: TShellExecuteInfo): HResult;

Execute方从外壳获得一个类型为TshellExecuteInfo的参数，参数定义如下：

_SHELLEXECUTEINFOA = record

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-30580-1.html