深蓝无忌

如何编程导入*.srw

深蓝无忌 — Fri, 4 Jul 2008 17:17:59 +0800

如何编程导入*.srw

http://www.google.com/search?q=PowerBuilder+ORCA+API&hl=zh-CN&lr=&start=10&sa=N

可以应用PB的库列表函数来进行
ls_entries = LibraryDirectory( "c:\pb\dwTemp.pbl", DirWindow! )
根据ls_entries读出每一个窗口名字
写循环进行处理
do while rtncode=0
ls_wsyn = LibraryExport("c:\pb\dwTemp.pbl","窗口名字", ExportWindow!)
rtncode = LibraryImport("c:\pb\dwTemp.pbl", "窗口名字", ImportWindow!, &
ls_wsyn, ErrorBuffer )
loop

pb反编译研究

深蓝无忌 — Fri, 4 Jul 2008 17:21:56 +0800

pb代码维护的应用程序 http://www.mypcera.com/SOFTXUE/20073/pb/xljz/024.htm

api hook可以看一下这里
http://www.autodebug.com/

function long LMI_OpenLibrary60(long pbstg_begin,string path,long flag,long l) library 'pbvm60' alias for "LMI_OpenLibrary"

参数1是pbstg_begin的返回，参数2是pbl或pbd路径，3是1，4是0，有兴趣的可以试下参数3、4调换别的值，如果不怕pb狂死的话。
会返回一个libraryhandle（库的句柄，俺命的名）

function long LMI_CloseLibrary60(long libraryhandle) library 'pbvm60' alias for "LMI_CloseLibrary"

参数只有一个就是刚刚的句柄，返回0成功。

function long pbstg_alc(long pbstg_begin,long l,long p) library 'pbvm60'

第一个还是pbstg_begin的返回，第二个是5，第三个是0。顺便说下，这些参数的值是pb调用该函数时候传的，
参数的含义一概不知，而且，还没有到乱试的阶段……，这函数啥意义我也不知道，具体后述

function long LMI_ListEntriesExtended(long libraryhandle,long l) library 'pbvm60'

说实话这函数还不能确定它是两个参数……说白了，现阶段一调这函数似乎就进入了死循环……

基本上pb显示一个pbl或者pbd里边的对象列表调用的函数顺序都是：
LMI_OpenLibrary
pbstg_alc//似乎是分配什么东西，pbstg_begin也有stg，stg到底是什么？shooting game……?
LMI_ListEntriesExtended
LMI_CloseLibrary
也就是说，今天只实现了打开关闭一个库文件……
现在仔细考虑的话，lmi万一是ListManageInteface的话，一切都是绕远啊………………
我现在还是想要不然先解决导入？导入似乎比列表简单些？
列表导入都实现了，然后就差最后一步了，真的能实现么……

原理大概是开api hook，截获pb自身如何导入sr*到pbl中，这就解决了libraryimport只能import数据窗的缺陷
至于如何生成sr*……，同样想办法截吧~~
顺便说下截获两个字说起来容易，实质上俺的pb至少非法被关闭30次了……
太难，只能阶段性放上成果，现阶段找到了4个函数
lmi_openlibrary
lmi_libraryinformation//改pbl的注释……
lmi_closelibrary
lmi_createlibrary
其中lmi_createlibrary顾名思义就是创建一个新pbl用的，声明为：
function long LMI_CreateLibrary(long l,string path,long flag) library 'pbvm60'
第一个参数似乎必须写23920744，啥含义我也不知道，反正我机子上写这个就能成功
第二个参数就是要创建的pbl的路径，如：C:\test_pb\pbd2pbl\test.pbl
第三个参数写0吧，别问我为什么……

返回值0是正确，-2是文件已经存在，-19也遇到了，当时是第一个参数写0,今天先到这里吧。

PB动态脚本解释器(转载)

深蓝无忌 — Fri, 4 Jul 2008 16:58:28 +0800

PB动态脚本解释器(转载)

当你看到VB、VFP等开发语言提供的强大的宏执行功能，是不是很羡慕呢？当你寻遍 PB的帮助、关于PB开发的书籍或网站而不可得的时候，是不是感到有一丝的遗憾？如果你看到这篇文章，你应该感到振奋，因为你终于可以解决这个问题，而且解决问题的思路既是如此简单、代码既是如此简短。如果再加上你的智慧，应该比我的解决方法更漂亮。

先让我们来了解一些基本知识。

一．代码的载体

在PB中，只有三个地方可以存放代码，那就是函数、事件、属性。这里所指的函数包括有返回值的通常意义下的函数和无返回值的过程以及声明的WINAPI函数，所指的事件指在对象中定义的处理程序，所指的属性指PB系统属性之外的实例变量、共享变量、全局变量。函数和事件是可以用来调用执行的，属性则只能用来赋值和取值。通常我们是在函数或事件中编写代码。

二．对象的创建

如果对象类型是已知的，可以使用CREATE objecttype 来创建对象，如果对象类型是动态的，可以使用CREATE USING objecttypestring来创建对象。

三．对象函数的调用方式

如果调用一个已知类型的对象的函数或事件，通常采用静态模式，也可采用动态模式，如果调用一个动态创建的对象的函数或事件，则必须采用动态模式，否则编译出错。采用动态模式调用函数是在函数前加dynamic 关键字。读者可查阅PB帮助。

四．库文件的搜索

PB中用于编程的对象是保存在PBL、PBD、DLL中的，如果想要使库文件中的对象在应用程序运行时有效，常用的方法是直接将该PBL编译进去或者说使该PBL在库搜索列表中。如果需要在运行状态下改变库文件搜索列表，PB提供了 SetLibraryList和AddToLibraryList两个函数。SetLibraryList函数只能在应用对象的open事件脚本中使用，否则应用程序会崩溃，AddToLibraryList为PB9新增的函数，用于将新文件加入到库文件搜索列表中，这两个函数都是只能在编译环境下有效。

五．PB库文件的创建与销毁

PB提供了LibraryCreate函数用于创建库文件，提供LibraryDelete、FileDelete函数用于删除库文件。

六．PB实体的导入

PB提供了LibraryImport函数用于根据对象语法创建PB实体并导入到库文件中，但该函数目前只支持数据窗口对象类型的导入。不过，PB提供了相应的WINAPI函数支持其它类型实体的导入，这些相关的WINAPI包括在 PBORCX0.DLL中（不同的PB版本有不同的文件名称，如PBORC90.DLL、PBORC80.DLL）。有关实体的导入的WINAPI包括 PBORCA_SessionOpen、PBORCA_SessionClose、PBORCA_SessionSetLibraryList、 PBORCA_SessionSetCurrentAppl、PBORCA_CompileEntryImport等，读者可以到Sybase网站找 ORCA Guide相应文章寻求支持。

七．PB实体的查找

使用FindClassDefinition或FindFunctionDefinition或LibraryDirectory可以在库文件中查找PB实体是否存在，使用FindClassDefinition或FindFunctionDefinition性能要好。

以下讲开发思路。

一．创建临时库文件

2. 取待创建的临时库文件名称，保证不与已有文件重名

3. 使用LibraryCreate函数创建临时库文件

二．构造用于导入库文件的临时PB实体语法

1．取临时PB实体名称，保证不与库文件列表中已有PB实体重名

2．构造临时PB实体语法，区分函数和过程

三．将临时PB实体导入临时库文件

1．取库文件列表和应用对象所在pbl

2．将实际不存在的库文件从库文件列表中删除，目的是使调用PBORCA_SessionSetLibraryList成功

3．调用PBORCA_CompileEntryImport将临时PB实体导入临时库文件

四．将临时库文件加入到库文件搜索列表

1．调用AddToLibraryList加入新文件到库文件搜索列表

五．创建临时PB实体所对应的对象并调用其函数以执行动态脚本

1．使用CREATE USING objecttypestring语句创建对象

2．通过动态调用对象的of_exec函数执行动态脚本，区分返回值类型

六．销毁所有临时对象

1．调用LibraryDelete函数删除创建的临时库文件

以下讲我在开发时遇到的一些矛盾或问题。

一．代码是逐行解释还是让PB编译器去解释

有些开发人员试图对动态脚本自行逐行解释，这是很困难的事情。一行代码如果脱离它的语境去执行，可能会产生错误的结果，即便你对PB所支持的函数全部做出解释，使用PB开发出来的对象、函数、事件等，你又如何去解释？这等同于你要花很大力气去编写一个PB编译器，除非你与PB编译器的开发团队合作，否则你很难获得成功。所以你必须想办法让PB编译器去解释。既然每行代码不能脱离其它代码而执行，那就创建一个函数或事件，让这个函数或事件包括你想写的所有代码。而函数或事件又不能脱离对象而存在，所以你必须想办法动态创建对象以及函数或事件，对象的声明必须依赖于库文件中的PB实体，由此推出关键是创建PB实体。

二．如何创建PB实体

前面已讲过要使用PBORCX0.DLL中的WINAPI函数来创建并导入实体，这项技术并不难，在sybase的网站或随便狗狗（百度）一下就能出来一大把。

三．创建的PB实体是存放在现有库文件中还是新文件中再导入

我最初的想法是放在现有库文件中，这样就不必花费时间在创建库文件和删除库文件的执行上，结果发现，创建是成功，但运行时PB就是不“认识”我创建的PB实体，一创建该实体的对象就报错，想来PB在程序启动时就读取库文件中有哪些实体形成列表，在没有改变库文件列表之前，其实体列表不会改变，这样对新建的实体就视而不见了。所以我不得不试着新建一个PBL，在新建的PBL中创建PB实体，然后使用AddToLibraryList将新建的PBL包括进来，这一试果然成功。

四．使用数据窗口的Describe调用全局函数还是其它方式来取得返回值

大家都知道，使用数据窗口的Describe函数可以调用全局函数，但是它有很多的局限性，全局函数必须有简单类型的返回值，所有参数只能是简单数据类型而且不能通过参考传值。如果在需要调用的地方直接使用新建对象的函数将不受这些限制。

五．如何进行垃圾对象的清理

既然每次执行动态脚本要创建PB实体，如果执行得多了，就有很多垃圾对象，所以应进行清理。可以通过LibraryDelete函数或FileDelete删除库文件。有意思的是，一旦创建PB实体，即便你删除了，使用 FindClassDefinition或FindFunctionDefinition还是能够找到，但你想使用该实体创建对象则失败，这再次说明PB 在程序启动时就读取库文件中有哪些实体形成列表，在没有改变库文件列表之前，其实体列表不会改变。

以下是所附代码的几点说明

一．所附代码是在PB9环境下开发的，程序运行时必须有PBORC90.DLL，如果改成PB其它版本，请将nvo_pbcompiler中WINAPI函数所使用的动态库做相应修改。

二．nvo_pbcompiler 用于创建PB实体，这是PB动态脚本解释器的核心函数；f_execpbscript()用于执行一段PB脚本的样例代码函数，返回值类型为字符串，如果要使用到其它场合，读者可自行编写函数，思路类似；w_pbcompiler_test为一个用来执行PB脚本的样例界面窗口；其它函数有各自功能。

三．如果想运行PB动态脚本编译器，请先将所有代码分对象导入库文件，然后编译，PB动态脚本编译器在PB开发环境下无效。

四．为了程序方面的简化，有些所使用的全局函数请参考作者的其它文章。

五．所附代码仅为脚本没有参数的情况下有效，如果你想代码有参数，只需要简单地对脚本语法作些改变就可，当然前台需要用户定义参数。

六．本PB动态脚本解释器可执行所有有效的PB代码，例如访问全局变量、使用PB所有的系统函数、使用程序员开发的自定义函数、打开窗口、访问菜单、使用数据窗口等。

七．通常将本PB动态脚本解释器嵌入到现有的使用PB开发出来的系统而不是单独使用，这样可以加载很多免编译的外挂程序。

八．如果再拓宽它的应用范围，你甚至可以做到只需要一个框架程序，其它代码全部动态加载和执行，这样就只需一次编译，升级和维护就变得非常简单，不过你要考虑系统的可用性、系统性能和系统的稳定性等。

附完整源代码

一．pbcompiler

$PBExportHeader$pbcompiler.sra
$PBExportComments$PB动态脚本解释器应用对象

forward
global type pbcompiler from application
end type
global transaction sqlca
global dynamicdescriptionarea sqlda
global dynamicstagingarea sqlsa
global error error
global message message
end forward

global variables

end variables
global type pbcompiler from application
string appname = "pbcompiler"
end type
global pbcompiler pbcompiler

on pbcompiler.create
appname="pbcompiler"
message=create message
sqlca=create transaction
sqlda=create dynamicdescriptionarea
sqlsa=create dynamicstagingarea
error=create error
end on

on pbcompiler.destroy
destroy(sqlca)
destroy(sqlda)
destroy(sqlsa)
destroy(error)
destroy(message)
end on

event open;open(w_pbcompiler_test)
end event

二.f_execpbscript

$PBExportHeader$f_execpbscript.srf
$PBExportComments$执行动态脚本的样例函数

global type f_execpbscript from function_object
end type

forward prototypes
global function string f_execpbscript (string as_returntype, string as_pbscript)
end prototypes

global function string f_execpbscript (string as_returntype, string as_pbscript);/*******************************************************************
函数名称：f_execpbscript()
参数: as_returntype string 返回值类型
as_pbscript string 动态代码
返回值： string 用户自定义或错误信息
功能描述：执行动态代码(只返回字符串)
创建人：康剑民
创建日期：2007-02-12
版本号： V1.0
*******************************************************************/
nvo_pbcompiler lnv_pbcompiler
nonvisualobject luo_pbcompiler
string ls_entryname,ls_libraryname
string ls_return
any la_return

lnv_pbcompiler = create nvo_pbcompiler
//创建实体对象
if lnv_pbcompiler.of_createentry(as_returntype,as_pbscript,ls_libraryname,ls_entryname) = 1 then
if not isnull(FindClassDefinition(ls_entryname) ) then
  luo_pbcompiler = create using ls_entryname
  choose case lower(as_returntype)
  case 'any','blob','boolean','char','character','date','datetime','dec','decimal','double','int','integer','long','real','string','time','uint','ulong','unsignedint','unsignedinteger','unsignedlong'
   la_return = luo_pbcompiler.dynamic of_exec()//执行动态代码
   ls_return = string(la_return)
  case '','none'
   luo_pbcompiler.dynamic of_exec()//执行动态代码
   ls_return = "none"
  case else
   luo_pbcompiler.dynamic of_exec()//执行动态代码
   ls_return = "result is disabled"
  end choose
  if isvalid(luo_pbcompiler) then destroy luo_pbcompiler
else
  ls_return = "error"
end if
else
ls_return = "error"
end if
if isvalid(lnv_pbcompiler) then destroy lnv_pbcompiler

LibraryDelete(ls_libraryname)

return ls_return
end function

三.f_parse

$PBExportHeader$f_parse.srf
$PBExportComments$分解字符串到数组

global type f_parse from function_object
end type

forward prototypes
global function long f_parse (readonly string as_text, readonly string as_sep, ref string as_list[])
end prototypes

global function long f_parse (readonly string as_text, readonly string as_sep, ref string as_list[]);/*******************************************************************
函数名称：f_parse()
参数:     as_text string 来源字符串
          as_sep string 分隔字符
    as_list[] ref string 分析后形成的字符串数组
返回值： long 分析后形成的数组元素个数
功能描述：分析字符串到一个数组中
创建人：康剑民
创建日期：2002-11-19
版本号： V1.0
*******************************************************************/
long i,ll_pos
string ls_null[],ls_text

ls_text = as_text
as_list = ls_null
i=0
ll_pos = posw(lower(ls_text),lower(as_sep))
do while ll_pos > 0
i ++
as_list[i]=leftw(ls_text,ll_pos - 1)
ls_text=midw(ls_text,ll_pos + lenw(as_sep),lenw(ls_text))
ll_pos = posw(lower(ls_text),lower(as_sep))
loop
as_list[i + 1] = ls_text

return upperbound(as_list[])
end function

四.f_replacetext

$PBExportHeader$f_replacetext.srf
$PBExportComments$替换字符串

global type f_replacetext from function_object
end type

forward prototypes
global function string f_replacetext (readonly string as_source, readonly string as_oldtag, readonly string as_newtag, readonly long al_seq)
end prototypes

global function string f_replacetext (readonly string as_source, readonly string as_oldtag, readonly string as_newtag, readonly long al_seq);/*******************************************************************
函数名称：f_replacetext()
参数:     as_source string 源字符串
          as_oldtag string 待替换特征字符串
    as_newtag string 替换后特征字符串
    al_seq long 第几个特征替换字符串需替换，0表示全部
返回值： string 替换后字符串
功能描述：用一特征字符串替换指定字符串中的特征字符串,参数al_seq=0时表示全部替换
创建人：康剑民
创建日期：2002-11-19
版本号： V1.0
*******************************************************************/
long ll_start_pos=1,ll_len_old_tag,i = 0
string ls_left,ls_return='',ls_source=''

ls_source = as_source
ll_len_old_tag = lenw(as_oldtag)
ll_start_pos = posw(lower(ls_source),lower(as_oldtag),1)
if al_seq = 0 then
DO WHILE ll_start_pos > 0
  ls_left = leftw(ls_source,ll_start_pos - 1) + as_newtag
  ls_return = ls_return + ls_left
  ls_source = midw(ls_source,ll_start_pos + lenw(as_oldtag),lenw(ls_source))
  ll_start_pos = posw(lower(ls_source),lower(as_oldtag),1)
LOOP
elseif al_seq > 0 then
DO WHILE ll_start_pos > 0
  i ++
  if al_seq = i then
   ls_left = leftw(ls_source,ll_start_pos - 1) + as_newtag
   ls_return = ls_return + ls_left
   ls_source = midw(ls_source,ll_start_pos + lenw(as_oldtag),lenw(ls_source))
   ll_start_pos = posw(lower(ls_source),lower(as_oldtag),1)
  end if
loop
end if
ls_return = ls_return + ls_source

return ls_return

end function

五.nvo_pbcompiler

$PBExportHeader$nvo_pbcompiler.sru
$PBExportComments$PB动态脚本解释器

forward
global type nvo_pbcompiler from nonvisualobject
end type
end forward

global type nvo_pbcompiler from nonvisualobject
end type
global nvo_pbcompiler nvo_pbcompiler

type prototypes
//打开一个会话
Function long SessionOpen () Library "PBORC90.DLL" Alias for "PBORCA_SessionOpen"
//关闭一个会话
Subroutine SessionClose ( long hORCASession ) Library "PBORC90.DLL" Alias for "PBORCA_SessionClose"
//设置当前会话的库清单
Function int SessionSetLibraryList ( long hORCASession, ref string pLibNames[], int iNumberOfLibs) Library "PBORC90.DLL" Alias for "PBORCA_SessionSetLibraryList"
//设置当前会话对应的应用
Function int SessionSetCurrentAppl ( long hORCASession, string lpszApplLibName, string lpszApplName ) Library "PBORC90.DLL" Alias for "PBORCA_SessionSetCurrentAppl"
//导入并编译实体
Function int CompileEntryImport ( long hORCASession, string lpszLibraryName, string lpszEntryName, long otEntryType, string lpszComments, string lpszEntrySyntax, long lEntrySyntaxBuffSize, long pCompErrorProc, long pUserData ) Library "PBORC90.DLL" Alias for "PBORCA_CompileEntryImport"
//取临时目录
Function long GetTempPath(long nBufferLength, ref string lpBuffer) Library "kernel32" Alias for "GetTempPathA"
//获取一个已装载模板的完整路径名称
FUNCTION ulong GetModuleFileName(ulong hModule,ref string lpFileName,ulong nSize) LIBRARY "kernel32.dll" ALIAS FOR "GetModuleFileNameA"

end prototypes

type variables

end variables
forward prototypes
public function string of_gettemppath ()
public function string of_getapppath ()
public function integer of_createentry (string as_returntype, string as_pbscript, ref string as_libraryname, ref string as_entryname)
end prototypes

public function string of_gettemppath ();/*******************************************************************
函数名称：of_gettemppath()
参数: 无
返回值： string 临时路径
功能描述：取临时路径
创建人：康剑民
创建日期：2006-12-26
版本号： V1.0
*******************************************************************/
string ls_path
ulong lu_size=256

ls_path=space(256)
GetTempPath(lu_size,ls_path)
return trimw(ls_path)
end function

public function string of_getapppath ();/*******************************************************************
函数名称：of_getapppath()
参数: 无
返回值： string 应用程序路径
功能描述：取应用程序路径
创建人：康剑民
创建日期：2002-11-22
版本号： V1.0
*******************************************************************/
string ls_apppath

ls_apppath=space(256)
GetModuleFileName(Handle(GetApplication()),ls_apppath,256)
ls_apppath=Reverse(ls_apppath)
ls_apppath=Reverse(midw(ls_apppath,posw(ls_apppath,'\',1)))

return ls_apppath
end function

public function integer of_createentry (string as_returntype, string as_pbscript, ref string as_libraryname, ref string as_entryname);/*******************************************************************
函数名称：of_createentry()
参数:     as_returntype string 返回值类型
          as_pbscript string 动态代码
    as_libraryname ref string 创建的库文件名称
    as_entryname ref string 创建的实体名称
返回值： long 是否成功(1表示成功,-1表示失败)
功能描述：根据动态代码创建实体
创建人：康剑民
创建日期：2007-02-12
版本号： V1.0
*******************************************************************/
long ll_sid//会话编号
long ll_index//对象序号
string ls_librarylist[]//库文件列表
string ls_librarylist_tmp[]//库文件列表(临时)
string ls_temp_libraryname//临时库文件名称
string ls_temp_path//临时目录
string ls_syntax//实体语法
string ls_app_libraryname//应用程序所在库文件名称
integer li_result//结果
string ls_entryname//对象名称
classdefinition lcd_app//应用程序类定义对象
string ls_librarylist_files//库文件
integer i,j//临时变量

//开发环境下直接退出
if handle(GetApplication()) <= 0 then return -1
//取库文件列表
ls_librarylist_files = getlibrarylist ()
//取应用对象所在pbl
lcd_app = getapplication().classdefinition
ls_app_libraryname = lcd_app.libraryname

ls_temp_path = this.of_gettemppath( )//取临时目录
//取待创建的临时库文件名称
ll_index = 1
ls_temp_libraryname = ls_temp_path + "temp"+string(ll_index) + ".pbl"
do while fileexists(ls_temp_libraryname) or posw(","+ls_librarylist_files+",",","+ls_temp_libraryname+",") > 0
ll_index ++
ls_temp_libraryname = ls_temp_path + "temp"+string(ll_index) + ".pbl"
loop
//创建临时库文件
LibraryCreate(ls_temp_libraryname,"临时库文件")

f_parse(ls_librarylist_files,',',ls_librarylist)//分解字符串到数组
//判断库文件是否存在并形成新列表
j = 0
for i = 1 to upperbound(ls_librarylist)
if fileexists(ls_librarylist[i]) then
j ++
ls_librarylist_tmp[j] = ls_librarylist[i]
end if
next
ls_librarylist = ls_librarylist_tmp
ls_librarylist[upperbound(ls_librarylist)+1] = ls_temp_libraryname

ll_sid = SessionOpen()//打开一个会话
//设置当前会话的库清单
li_result = SessionSetLibraryList (ll_sid, ls_librarylist, upperbound(ls_librarylist))
if li_result = 0 then
//设置当前会话对应的应用
li_result = SessionSetCurrentAppl (ll_sid, ls_app_libraryname, getapplication().appname )
   if li_result = 0 then
  //取实体名称(保证不重复)
  ll_index = 1
  do while not isnull(FindClassDefinition("nvo_"+string(ll_index)))
   ll_index ++
  loop
  ls_entryname = "nvo_"+string(ll_index)
  //实体声明
  ls_syntax = "$PBExportHeader$"+ls_entryname+".sru"+"~r~n"&
    + "forward"+"~r~n"&
    + "global type "+ls_entryname+" from nonvisualobject"+"~r~n"&
    + "end type"+"~r~n"&
    + "end forward"+"~r~n"&
    + "~r~n"&
    + "global type "+ls_entryname+" from nonvisualobject"+"~r~n"&
    + "end type"+"~r~n"&
    + "global "+ls_entryname+" "+ls_entryname+""+"~r~n"&
    + "~r~n"&
    + "forward prototypes"+"~r~n"
  //区分函数还是过程
  if trimw(lower(as_returntype)) = 'none' or trimw(lower(as_returntype)) = '' then
   ls_syntax = ls_syntax + "public subroutine of_exec ()"+"~r~n"&
    + "end prototypes"+"~r~n"&
    + "~r~n"&
    + "public subroutine of_exec ();"+as_pbscript+"~r~n"&
    + "end subroutine"
  else
   ls_syntax = ls_syntax + "public function " + as_returntype + " of_exec ()"+"~r~n"&
    + "end prototypes"+"~r~n"&
    + "~r~n"&
    + "public function " + as_returntype + " of_exec ();"+as_pbscript+"~r~n"&
    + "end function"
  end if
  //实体语法尾部
  ls_syntax = ls_syntax + "~r~n" + "on " + ls_entryname + ".create"+"~r~n"&
   + "call super::create"+"~r~n"&
   + "TriggerEvent( this, ~"constructor~" )"+"~r~n"&
   + "end on"+"~r~n"&
   + "~r~n"&
   + "on " + ls_entryname + ".destroy"+"~r~n"&
   + "TriggerEvent( this, ~"destructor~" )"+"~r~n"&
   + "call super::destroy"+"~r~n"&
   + "end on"
  //导入并编译实体
  li_result = CompileEntryImport (ll_sid, ls_temp_libraryname, ls_entryname, 6 , "comment - new object", ls_syntax, len(ls_syntax), 0, 0 )
   end if
end if
SessionClose(ll_sid)//关闭一个会话

as_libraryname = ls_temp_libraryname
as_entryname=ls_entryname

//加入新文件到库文件搜索列表
AddToLibraryList(ls_temp_libraryname)

if li_result = 0 then
return 1
else
return -1
end if
end function

on nvo_pbcompiler.create
call super::create
TriggerEvent( this, "constructor" )
end on

on nvo_pbcompiler.destroy
TriggerEvent( this, "destructor" )
call super::destroy
end on

六.w_pbcompiler_test

$PBExportHeader$w_pbcompiler_test.srw
$PBExportComments$PB动态脚本解释器测试窗口

forward
global type w_pbcompiler_test from window
end type
type st_returnvalue from statictext within w_pbcompiler_test
end type
type st_returntype from statictext within w_pbcompiler_test
end type
type st_script from statictext within w_pbcompiler_test
end type
type sle_returnvalue from singlelineedit within w_pbcompiler_test
end type
type cb_exit from commandbutton within w_pbcompiler_test
end type
type sle_returntype from singlelineedit within w_pbcompiler_test
end type
type mle_script from multilineedit within w_pbcompiler_test
end type
type cb_ok from commandbutton within w_pbcompiler_test
end type
end forward

global type w_pbcompiler_test from window
integer width = 1979
integer height = 1100
boolean titlebar = true
string title = "PB脚本解释器(测试)"
boolean controlmenu = true
boolean minbox = true
boolean maxbox = true
boolean resizable = true
long backcolor = 67108864
string icon = "AppIcon!"
boolean center = true
st_returnvalue st_returnvalue
st_returntype st_returntype
st_script st_script
sle_returnvalue sle_returnvalue
cb_exit cb_exit
sle_returntype sle_returntype
mle_script mle_script
cb_ok cb_ok
end type
global w_pbcompiler_test w_pbcompiler_test

type prototypes

end prototypes
type variables

end variables
on w_pbcompiler_test.create
this.st_returnvalue=create st_returnvalue
this.st_returntype=create st_returntype
this.st_script=create st_script
this.sle_returnvalue=create sle_returnvalue
this.cb_exit=create cb_exit
this.sle_returntype=create sle_returntype
this.mle_script=create mle_script
this.cb_ok=create cb_ok
this.Control[]={this.st_returnvalue,&
this.st_returntype,&
this.st_script,&
this.sle_returnvalue,&
this.cb_exit,&
this.sle_returntype,&
this.mle_script,&
this.cb_ok}
end on

on w_pbcompiler_test.destroy
destroy(this.st_returnvalue)
destroy(this.st_returntype)
destroy(this.st_script)
destroy(this.sle_returnvalue)
destroy(this.cb_exit)
destroy(this.sle_returntype)
destroy(this.mle_script)
destroy(this.cb_ok)
end on

type st_returnvalue from statictext within w_pbcompiler_test
integer x = 9
integer y = 608
integer width = 297
integer height = 60
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
long textcolor = 33554432
long backcolor = 67108864
string text = "返回值:"
boolean focusrectangle = false
end type

type st_returntype from statictext within w_pbcompiler_test
integer x = 9
integer y = 476
integer width = 297
integer height = 60
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
long textcolor = 33554432
long backcolor = 67108864
string text = "返回值类型:"
boolean focusrectangle = false
end type

type st_script from statictext within w_pbcompiler_test
integer x = 9
integer y = 12
integer width = 206
integer height = 60
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
long textcolor = 33554432
long backcolor = 67108864
string text = "PB脚本:"
boolean focusrectangle = false
end type

type sle_returnvalue from singlelineedit within w_pbcompiler_test
integer x = 334
integer y = 608
integer width = 1582
integer height = 104
integer taborder = 30
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
long textcolor = 33554432
borderstyle borderstyle = stylelowered!
end type

type cb_exit from commandbutton within w_pbcompiler_test
integer x = 1664
integer y = 856
integer width = 242
integer height = 104
integer taborder = 50
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
string text = "退出"
end type

event clicked;close(parent)
end event

type sle_returntype from singlelineedit within w_pbcompiler_test
integer x = 334
integer y = 476
integer width = 1582
integer height = 104
integer taborder = 20
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
long textcolor = 33554432
borderstyle borderstyle = stylelowered!
end type

type mle_script from multilineedit within w_pbcompiler_test
integer x = 334
integer y = 12
integer width = 1582
integer height = 432
integer taborder = 10
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
long textcolor = 33554432
boolean vscrollbar = true
boolean autovscroll = true
borderstyle borderstyle = stylelowered!
end type

type cb_ok from commandbutton within w_pbcompiler_test
integer x = 1417
integer y = 856
integer width = 242
integer height = 104
integer taborder = 40
integer textsize = -9
integer weight = 400
fontcharset fontcharset = ansi!
fontpitch fontpitch = variable!
fontfamily fontfamily = swiss!
string facename = "Arial"
string text = "执行"
end type

event clicked;sle_returnvalue.text = f_execpbscript(sle_returntype.text,mle_script.text)
end event

转载自：http://blog.csdn.net/pbdesigner/archive/2007/03/31/1547706.aspx

pborcl研究2

深蓝无忌 — Fri, 4 Jul 2008 16:46:47 +0800

自动生成pbr文件的东东，思路如下

1.用GetLibraryList() 得到WorkSpace中所有PBL列表，并进行分解

2.创建数据窗口，用dw_1.ImportString(LibraryDirectoryEx(pbl, DirAll!))将用某PBL中所有对象名导入到dw_1

3.作出类型判断：
choose case dw_1.GetItemString(j, "type")
case "Application"; syntax = LibraryExport(pbl, name, ExportApplication!)
case "DataWindow"; syntax = LibraryExport(pbl, name, ExportDataWindow!)
case "Function"; syntax = LibraryExport(pbl, name, ExportFunction!)
case "Menu"; syntax = LibraryExport(pbl, name, ExportMenu!)
case "Pipeline"; syntax = LibraryExport(pbl, name, ExportPipeline!)
case "Project"; syntax = LibraryExport(pbl, name, ExportProject!)
case "Query"; syntax = LibraryExport(pbl, name, ExportQuery!)
case "Structure"; syntax = LibraryExport(pbl, name, ExportStructure!)
case "UserObject"; syntax = LibraryExport(pbl, name, ExportUserObject!)
case "Window"; syntax = LibraryExport(pbl, name, ExportWindow!)
case else
end choose

4.具体对象的相关信息，保存在syntax变量中。

pborcl资料

深蓝无忌 — Fri, 4 Jul 2008 16:45:39 +0800

你希望实现的功能需要使用PowerBuilder提供的ORCA接口来完成，在http://manuals.sybase.com/onlinebooks/group-pb/adt0650e/orca/@Generic__BookView;lang=zh有ORCA的详细资料，我也有一个别人用ORCA接口做管理PBL的例子的PB源码，如果你需要请来信：marsor@263.netTop

20 楼marsor（阿东）回复于 2004-12-08 10:38:20 得分 0

//以下是PBORCA中的部分常用函数声明，全部函数请参考Sybase网站
/************************************************************************
*用途：启动连接回话
************************************************************************/
Function Ulong PBORCA_SessionOpen() Library 'pborc80.dll'
/************************************************************************
*用途：关闭连接会话
************************************************************************/
Function Ulong PBORCA_SessionClose(Ulong hSession) Library 'pborc80.dll'
/************************************************************************
*用途：创建库文件
************************************************************************/
Function Int PBORCA_LibraryCreate(Ulong hSession, String lpszLibName, &
String lpszLibComments) Library 'pborc80.dll'
/************************************************************************
*用途：删除库文件
************************************************************************/
Function Int PBORCA_LibraryDelete(Ulong hSession, String lpszLibName) Library 'pborc80.dll'
/************************************************************************
*用途：设置应用库列表
************************************************************************/
Function Int PBORCA_SessionSetLibraryList(Ulong hSession, String pLIbnames[], &
int nNoOfLibs) Library 'pborc80.dll'
/************************************************************************
*用途：设置当前应用，此函数在setlibrarylist函数之后，而在任何编译和查询之
* 前调用
************************************************************************/
Function Int PBORCA_SessionSetCurrentAppl(Ulong hSession, String lpszApplLibName,&
String lpszApplName) Library 'pborc80.dll'
/************************************************************************
*?用途：浏览库目录，查看全部内容
************************************************************************/
Function Int PBORCA_LibraryDirectory(Ulong hSession, String lpszLibName,&
String lpszLibComments, int nBufferSize, &
String pListProc, String pUserData) Library 'pborc80.dll'
/************************************************************************
*用途：导入对象
************************************************************************/
Function Int PBORCA_CompileEntryImport(Ulong hSession, String lpszLibname, &
String lpszEntryName, Ulong otEntryType, &
String lpszComments, String lpszEntrySyntax, &
long lBufferSize, string pCompErrorProc, &
String pUserData) Library "pborc80.dll"
/************************************************************************
*用途：导出对象
************************************************************************/
Function Int PBORCA_LibraryEntryExport(Ulong hSession, String lpszLibName, &
String lpszEntryName, Ulong otEntryType, &
ref String lpszExportBuffer, long lExportBufferSize)&
Library 'pborc80.dll'
/************************************************************************
*用途：库间拷贝对象
************************************************************************/
Function Int PBORCA_LibraryEntryCopy(ULong hSession, String lpszSourceLibName, &
String lpsDestLibName, String lpszEntryName, &
Ulong otEntryType) Library 'pborc80.dll'
/************************************************************************
*用途：库间拷贝移动
************************************************************************/
Function Int PBORCA_LibraryEntryMove(ULong hSession, String lpszSourceLibName, &
String lpsDestLibName, String lpszEntryName, &
Ulong otEntryType) Library 'pborc80.dll'
/************************************************************************
*用途：删除库对象
************************************************************************/
Function Int PBORCA_LibraryEntryDelete(Ulong hSession, String lpszSourceLibName, &
String lpszEntryName, Ulong otEntryType) &
Library 'pborc80.dll'
/************************************************************************
*用途：Check-Out
************************************************************************/
Function Int PBORCA_CheckOutEntry(Ulong hSession, String lpszEntryName, &
String lpszSourceLibName, String lpszDestLibName, &
String lpszUserID, Ulong otEntryType, &
Int bMakeCopy) Library 'pborc80.dll'
/************************************************************************
*用途：Check-In
************************************************************************/
Function Int PBORCA_CheckInEntry(Ulong hSession, String lpszEntryName, &
String lpszSourceLibName, String lpszDestLibName, &
String lpszUserID, Ulong otEntryType, &
Int bMoveEntry) Library 'pborc80.dll'

teb,peb研究

深蓝无忌 — Wed, 25 Jun 2008 08:58:56 +0800

0:000> dt ntdll!_ldr_data_table_entry
ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY
   +0x008 InMemoryOrderLinks : _LIST_ENTRY
   +0x010 InInitializationOrderLinks : _LIST_ENTRY
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING
   +0x02c BaseDllName      : _UNICODE_STRING
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 Void
   +0x04c PatchInformation : Ptr32 Void

0:000> dt ntdll!_peb
ntdll!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
   +0x014 SubSystemData    : Ptr32 Void
   +0x018 ProcessHeap      : Ptr32 Void
   +0x01c FastPebLock      : Ptr32 _RTL_CRITICAL_SECTION
   +0x020 FastPebLockRoutine : Ptr32 Void
   +0x024 FastPebUnlockRoutine : Ptr32 Void
   +0x028 EnvironmentUpdateCount : Uint4B
   +0x02c KernelCallbackTable : Ptr32 Void
   +0x030 SystemReserved   : [1] Uint4B
   +0x034 AtlThunkSListPtr32 : Uint4B
   +0x038 FreeList         : Ptr32 _PEB_FREE_BLOCK
   +0x03c TlsExpansionCounter : Uint4B
   +0x040 TlsBitmap        : Ptr32 Void
   +0x044 TlsBitmapBits    : [2] Uint4B
   +0x04c ReadOnlySharedMemoryBase : Ptr32 Void
   +0x050 ReadOnlySharedMemoryHeap : Ptr32 Void
   +0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void
   +0x058 AnsiCodePageData : Ptr32 Void
   +0x05c OemCodePageData : Ptr32 Void
   +0x060 UnicodeCaseTableData : Ptr32 Void
   +0x064 NumberOfProcessors : Uint4B
   +0x068 NtGlobalFlag     : Uint4B
   +0x070 CriticalSectionTimeout : _LARGE_INTEGER
   +0x078 HeapSegmentReserve : Uint4B
   +0x07c HeapSegmentCommit : Uint4B
   +0x080 HeapDeCommitTotalFreeThreshold : Uint4B
   +0x084 HeapDeCommitFreeBlockThreshold : Uint4B
   +0x088 NumberOfHeaps    : Uint4B
   +0x08c MaximumNumberOfHeaps : Uint4B
   +0x090 ProcessHeaps     : Ptr32 Ptr32 Void
   +0x094 GdiSharedHandleTable : Ptr32 Void
   +0x098 ProcessStarterHelper : Ptr32 Void
   +0x09c GdiDCAttributeList : Uint4B
   +0x0a0 LoaderLock       : Ptr32 Void
   +0x0a4 OSMajorVersion   : Uint4B
   +0x0a8 OSMinorVersion   : Uint4B
   +0x0ac OSBuildNumber    : Uint2B
   +0x0ae OSCSDVersion     : Uint2B
   +0x0b0 OSPlatformId     : Uint4B
   +0x0b4 ImageSubsystem   : Uint4B
   +0x0b8 ImageSubsystemMajorVersion : Uint4B
   +0x0bc ImageSubsystemMinorVersion : Uint4B
   +0x0c0 ImageProcessAffinityMask : Uint4B
   +0x0c4 GdiHandleBuffer : [34] Uint4B
   +0x14c PostProcessInitRoutine : Ptr32     void
   +0x150 TlsExpansionBitmap : Ptr32 Void
   +0x154 TlsExpansionBitmapBits : [32] Uint4B
   +0x1d4 SessionId        : Uint4B
   +0x1d8 AppCompatFlags   : _ULARGE_INTEGER
   +0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER
   +0x1e8 pShimData        : Ptr32 Void
   +0x1ec AppCompatInfo    : Ptr32 Void
   +0x1f0 CSDVersion       : _UNICODE_STRING
   +0x1f8 ActivationContextData : Ptr32 Void
   +0x1fc ProcessAssemblyStorageMap : Ptr32 Void
   +0x200 SystemDefaultActivationContextData : Ptr32 Void
   +0x204 SystemAssemblyStorageMap : Ptr32 Void
   +0x208 MinimumStackCommit : Uint4B

0:000> dt ntdll!_teb
ntdll!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB
   +0x034 LastErrorValue   : Uint4B
   +0x038 CountOfOwnedCriticalSections : Uint4B
   +0x03c CsrClientThread : Ptr32 Void
   +0x040 Win32ThreadInfo : Ptr32 Void
   +0x044 User32Reserved   : [26] Uint4B
   +0x0ac UserReserved     : [5] Uint4B
   +0x0c0 WOW32Reserved    : Ptr32 Void
   +0x0c4 CurrentLocale    : Uint4B
   +0x0c8 FpSoftwareStatusRegister : Uint4B
   +0x0cc SystemReserved1 : [54] Ptr32 Void
   +0x1a4 ExceptionCode    : Int4B
   +0x1a8 ActivationContextStack : _ACTIVATION_CONTEXT_STACK
   +0x1bc SpareBytes1      : [24] UChar
   +0x1d4 GdiTebBatch      : _GDI_TEB_BATCH
   +0x6b4 RealClientId     : _CLIENT_ID
   +0x6bc GdiCachedProcessHandle : Ptr32 Void
   +0x6c0 GdiClientPID     : Uint4B
   +0x6c4 GdiClientTID     : Uint4B
   +0x6c8 GdiThreadLocalInfo : Ptr32 Void
   +0x6cc Win32ClientInfo : [62] Uint4B
   +0x7c4 glDispatchTable : [233] Ptr32 Void
   +0xb68 glReserved1      : [29] Uint4B
   +0xbdc glReserved2      : Ptr32 Void
   +0xbe0 glSectionInfo    : Ptr32 Void
   +0xbe4 glSection        : Ptr32 Void
   +0xbe8 glTable          : Ptr32 Void
   +0xbec glCurrentRC      : Ptr32 Void
   +0xbf0 glContext        : Ptr32 Void
   +0xbf4 LastStatusValue : Uint4B
   +0xbf8 StaticUnicodeString : _UNICODE_STRING
   +0xc00 StaticUnicodeBuffer : [261] Uint2B
   +0xe0c DeallocationStack : Ptr32 Void
   +0xe10 TlsSlots         : [64] Ptr32 Void
   +0xf10 TlsLinks         : _LIST_ENTRY
   +0xf18 Vdm              : Ptr32 Void
   +0xf1c ReservedForNtRpc : Ptr32 Void
   +0xf20 DbgSsReserved    : [2] Ptr32 Void
   +0xf28 HardErrorsAreDisabled : Uint4B
   +0xf2c Instrumentation : [16] Ptr32 Void
   +0xf6c WinSockData      : Ptr32 Void
   +0xf70 GdiBatchCount    : Uint4B
   +0xf74 InDbgPrint       : UChar
   +0xf75 FreeStackOnTermination : UChar
   +0xf76 HasFiberData     : UChar
   +0xf77 IdealProcessor   : UChar
   +0xf78 Spare3           : Uint4B
   +0xf7c ReservedForPerf : Ptr32 Void
   +0xf80 ReservedForOle   : Ptr32 Void
   +0xf84 WaitingOnLoaderLock : Uint4B
   +0xf88 Wx86Thread       : _Wx86ThreadState
   +0xf94 TlsExpansionSlots : Ptr32 Ptr32 Void
   +0xf98 ImpersonationLocale : Uint4B
   +0xf9c IsImpersonating : Uint4B
   +0xfa0 NlsCache         : Ptr32 Void
   +0xfa4 pShimData        : Ptr32 Void
   +0xfa8 HeapVirtualAffinity : Uint4B
   +0xfac CurrentTransactionHandle : Ptr32 Void
   +0xfb0 ActiveFrame      : Ptr32 _TEB_ACTIVE_FRAME
   +0xfb4 SafeThunkCall    : UChar
   +0xfb5 BooleanSpare     : [3] UChar

0:000> dt ntdll!_peb_ldr_data
ntdll!_PEB_LDR_DATA
   +0x000 Length           : Uint4B
   +0x004 Initialized      : UChar
   +0x008 SsHandle         : Ptr32 Void
   +0x00c InLoadOrderModuleList : _LIST_ENTRY
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY
   +0x024 EntryInProgress : Ptr32 Void

0:000> dt _LIST_ENTRY
ntdll!_LIST_ENTRY
+0x000 Flink : Ptr32 _LIST_ENTRY
+0x004 Blink : Ptr32 _LIST_ENTRY

PEB.Ldr 指向 PEB_LDR_DATA ，PEB_LDR_DATA.InLoadOrderModuleList.Flink 就指向我们关心的 LDR_DATA_TABLE_ENTRY 表。

☆ 通过TEB/PEB枚举当前进程空间中用户模块列表

深蓝无忌 — Tue, 24 Jun 2008 11:56:41 +0800

☆ 通过TEB/PEB枚举当前进程空间中用户模块列表

作者：scz
主页：http://www.nsfocus.net

来源:http://blog.csdn.net/anui/archive/2006/03/25/638417.aspx

这只是我一篇巨长无比的笔记中的一小节，因此只列了本节所引参考资源，可我还是
很乐意向大家推荐[8]、[10]。如果对你有用，是否也可以给我订份小礼物，呵，小
玩笑啦。

☆ 通过TEB/PEB枚举当前进程空间中用户模块列表

实在没精力找出最早介绍该项技术的文章，尽管很想知道答案。29A杂志中大量使用
该技术([8])，并辅以文字说明，推荐阅读。下面操作是在windbg中进行的，提前在
注册表中设置好AeDebug，执行vulnerable_0.exe，进入windbg调试状态。也可通过
其它办法进入windbg调试状态。

段选择子FS所对应的段即当前线程TEB(Thread Environment Block)，即FS:0指向TEB。

> dg @fs
Selector   Base     Limit     Type    DPL   Size  Gran Pres
-------- -------- -------- ---------- --- ------- ---- ----
  0038   7ffde000 00000fff Data RW Ac  3    Big   Byte  P
> r $teb
$teb=7ffde000

TEB[0x30]是一个指向当前进程PEB(Process Environment Block)的指针。大家都这
么说，可他们如何知道这个偏移的，你该上哪去找TEB的数据结构定义，不同系统上
该结构定义一致吗。有这么多疑问，可绝大多数文章没有告诉你捞鱼的办法，只给你
鱼，你一定有种意尤未尽的郁闷。呵，了解，下面就是捞鱼的办法，windbg的dt命令:

> dt ntdll!*teb* (列出匹配通配符的结构名)
          ntdll!_TEB
          ... ...
> dt -v -r ntdll!_TEB
struct _TEB, 64 elements, 0xfb4 bytes
   +0x000 NtTib            : struct _NT_TIB, 8 elements, 0x1c bytes
   +0x01c EnvironmentPointer : Ptr32 to Void
   +0x020 ClientId         : struct _CLIENT_ID, 2 elements, 0x8 bytes
   +0x028 ActiveRpcHandle  : Ptr32 to Void
   +0x02c ThreadLocalStoragePointer : Ptr32 to Void
   +0x030 ProcessEnvironmentBlock : Ptr32 to struct _PEB, 66 elements, 0x210 bytes
   ... ...

偏移、名称、类型、大小等等一应俱全地列举在此。万事不求人是不对的，指望别人
老来求自己更是不对的，藏着掖着是要一起挨米国鬼子打的。无论你用什么系统，去
下载相应版本的windbg，然后用上述办法自己核实偏移。MS一贯擅长保持向后兼容性，
这是它巨大成功的基础，类似0x30这样的偏移，被改动的可能性并不大。

号称新版Platform SDK的ntpsapi.h文件中直接给出了TEB的数据结构，我的不够新，
没找着这个文件。反正dt命令够我用了，懒得深究。

顺便提个事。肯定有人见过这样的代码，之后eax将指向PEB:

    mov    eax,fs:[18h]
    mov    eax,[eax+30h]

看完本文"新"的介绍，你肯定在疑惑中，这样的代码居然也能成功获取PEB地址，惟
一的解释就是fs:[18h]与fs:[0h]指向同一处。TEB结构第一成员是NT_TIB结构，后者
的Self成员指向自身这个NT_TIB结构，"碰巧"这个NT_TIB结构是TEB结构第一成员，
于是可以认为Self指向TEB。Self的偏移是0x18，就这么简单。

> dt -v _NT_TIB $teb
struct _NT_TIB, 8 elements, 0x1c bytes
   +0x000 ExceptionList    : 0x0012ffb0 struct _EXCEPTION_REGISTRATION_RECORD, 2 elements, 0x8 bytes
   +0x004 StackBase        : 0x00130000
   +0x008 StackLimit       : 0x0012b000
   +0x00c SubSystemTib     : (null)
   +0x010 FiberData        : 0x00001e00
   +0x010 Version          : 0x1e00
   +0x014 ArbitraryUserPointer : (null)
   +0x018 Self             : 0x7ffde000 struct _NT_TIB, 8 elements, 0x1c bytes

换句话说，ds:[7ffde000h]与fs:[0h]这两个不同的逻辑地址对应同一个线性地址。
参看<>([12])的3.1小节，下面是
Intel的标准定义:

逻辑地址

    段选择子(16-bits):段内偏移(32-bits)

    也叫远指针。程序中寻址时只能使用逻辑地址。没有办法禁用段机制，但有办法
    禁用分页机制。

线性地址

    逻辑地址经GDT、LDT转换后得到线性地址。

只需一条代码即可获取PEB地址:

    mov    eax,fs:[30h]

> dd @fs:30 L1
0038:00000030  7ffdf000
> dt ntdll!_TEB 7ffde000
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : (null)
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle  : (null)
   +0x02c ThreadLocalStoragePointer : (null)
   +0x030 ProcessEnvironmentBlock : 0x7ffdf000
   ... ...
> !teb
TEB at 7ffde000
    ExceptionList:        0012ffb0
    ... ...
    PEB Address:          7ffdf000
    ... ...
> r $peb
$peb=7ffdf000
> dd $teb+30 L1 (当前基是16进制)
7ffde030  7ffdf000

无数种办法可以得到指向PEB的指针0x7ffdf000。

Inside 2K([9])<

>
中直接将TEB、PEB定位在0x7ffde000、0x7ffdf000。一般来说是这样的，可是不建议
依赖硬编码地址。这就看当前最紧要的是广泛兼容性还是压缩代码空间。注意，讨论
前提是编写exploit、shellcode、virus，最终可能要汇编化的，而非常规编程。

PEB[0x0c]指向PEB_LDR_DATA结构，该结构有三个成员均可用于枚举当前进程空间中
的模块列表，区别在于加载顺序、内存顺序、初始化顺序。这是三个双向循环链表，
遍历时留神。

> dt -v -r ntdll!_PEB
struct _PEB, 66 elements, 0x210 bytes
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 to Void
   +0x008 ImageBaseAddress : Ptr32 to Void
   +0x00c Ldr              : Ptr32 to struct _PEB_LDR_DATA, 7 elements, 0x28 bytes
   ... ...
> dt -v -r ntdll!_PEB_LDR_DATA
struct _PEB_LDR_DATA, 7 elements, 0x28 bytes
   +0x000 Length           : Uint4B
   +0x004 Initialized      : UChar
   +0x008 SsHandle         : Ptr32 to Void
   +0x00c InLoadOrderModuleList : struct _LIST_ENTRY, 2 elements, 0x8 bytes
   +0x014 InMemoryOrderModuleList : struct _LIST_ENTRY, 2 elements, 0x8 bytes
   +0x01c InInitializationOrderModuleList : struct _LIST_ENTRY, 2 elements, 0x8 bytes
   +0x024 EntryInProgress  : Ptr32 to Void
> dt -v -r ntdll!_LIST_ENTRY
struct _LIST_ENTRY, 2 elements, 0x8 bytes
   +0x000 Flink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
   +0x004 Blink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
> dd $peb+c L1
7ffdf00c  00241e90
> dt ntdll!_PEB_LDR_DATA 00241e90
   +0x000 Length           : 0x28
   +0x004 Initialized      : 0x1 ''
   +0x008 SsHandle         : (null)
   +0x00c InLoadOrderModuleList : _LIST_ENTRY [ 0x241ec0 - 0x2429d8 ]
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY [ 0x241ec8 - 0x2429e0 ]
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY [ 0x241f28 - 0x2429e8 ]
   +0x024 EntryInProgress  : (null)
> dl 241f28 ffff 2 (注意Flink形成循环链表)
00241f28  00241fd0 00241eac
00241fd0  00242118 00241f28
00242118  00242258 00241fd0
00242258  002423a0 00242118
002423a0  00242300 00242258
00242300  002424e0 002423a0
002424e0  00242440 00242300
00242440  00242770 002424e0
00242770  002428a8 00242440
002428a8  00242808 00242770
00242808  002429e8 002428a8
002429e8  00241eac 00242808
00241eac  00241f28 002429e8
> dlb 2429e8 ffff 2 (注意Blink形成循环链表)
002429e8  00241eac 00242808
00242808  002429e8 002428a8
002428a8  00242808 00242770
00242770  002428a8 00242440
00242440  00242770 002424e0
002424e0  00242440 00242300
00242300  002424e0 002423a0
002423a0  00242300 00242258
00242258  002423a0 00242118
00242118  00242258 00241fd0
00241fd0  00242118 00241f28
00241f28  00241fd0 00241eac
00241eac  00241f28 002429e8

单从windbg所给出的信息，只能看出三个双向循环链表的存在，每个链表结点上只有
前向指针、后向指针，如何获取最终的模块信息呢。其实这是很关键的问题，遗憾的
是某些文章不知出于什么动机刻意回避该问题。

Reactos与Tomasz Nowak提供了未公开的LDR_MODULE数据结构，我把偏移标出来了，
方便计算:

typedef struct _LDR_MODULE
{
    LIST_ENTRY        InLoadOrderModuleList;            // +0x00
    LIST_ENTRY        InMemoryOrderModuleList;          // +0x08
    LIST_ENTRY        InInitializationOrderModuleList;  // +0x10
    PVOID             BaseAddress;                      // +0x18
    PVOID             EntryPoint;                       // +0x1c
    ULONG             SizeOfImage;                      // +0x20
    UNICODE_STRING    FullDllName;                      // +0x24
    UNICODE_STRING    BaseDllName;                      // +0x2c
    ULONG             Flags;                            // +0x34
    SHORT             LoadCount;                        // +0x38
    SHORT             TlsIndex;                         // +0x3a
    LIST_ENTRY        HashTableEntry;                   // +0x3c
    ULONG             TimeDateStamp;                    // +0x44
                                                        // +0x48
} LDR_MODULE, *PLDR_MODULE;

郑重推荐<>，逆反
心理促使我一定要让大家都知道这个数据结构引自何处([10])。

说点题外话，Google是你的朋友。Windows底层编程在中国不知因为什么而显得资料
罕见，结果以前给我一个错觉，Windows底层编程举步维艰。后来因工作原因Google
时向Windows做了点偏移，发现国外此类编程资料并非如想像的那般罕见，有些人共
享出完整源代码后只是说如果感觉有帮助能否在网上订份小礼物给他，我是没境外信
用卡，否则一定订份小礼物给他。我还发现一件有意思的事，有人注明"原创"的时候
居然没有任何参考资源，不巧的是我看过的英文文章实在有点烂多，当创意、技巧、
代码片段重合得太多时，就有种无奈的感概。有鉴于此，己所不欲、勿施与人，写此
类型文章时一概不敢宣称是原创、翻译，撑死了是笔记，还生怕漏了引自何处。也可
能是我水平低，才如此。水平一高，就不便引他人之文了，谁知道呢。呵，很小的时
候听爹说过一句话，吃饭的永远不要责怪做饭的，确实如此，所以就不多评价了。

建议大家写文章时认真负责地给参考资源，有URL的都注明URL，不费什么事。

扯远了，回到LDR_MODULE结构上来，三个双向循环链表的结点正是该结构。

按加载顺序遍历:

!list -t _LIST_ENTRY.Flink -x "!ustr" -a "+24" 241ec0
!list -t _LIST_ENTRY.Flink -x "!ustr" -a "+2c" 241ec0

按内存顺序遍历:

!list -t _LIST_ENTRY.Flink -x "!ustr" -a "+1c" 241ec8
!list -t _LIST_ENTRY.Flink -x "!ustr" -a "+24" 241ec8

按初始化顺序遍历:

> !list -t _LIST_ENTRY.Flink -x "!ustr" -a "+14" 241f28
String(58,520) at 00241f3c: D:\WINDOWS\System32\ntdll.dll
String(64,66) at 00241fe4: D:\WINDOWS\system32\kernel32.dll
... ...
> !list -t _LIST_ENTRY.Flink -x "!ustr" -a "+1c" 241f28
String(18,20) at 00241f44: ntdll.dll
String(24,26) at 00241fec: kernel32.dll
... ...

一般前向遍历链表时，第一个节点对应ntdll.dll，第二个结点对应kernel32.dll，
我们不太关心其它模块。

编程枚举用户模块列表时，重点显示BaseAddress、FullDllName成员。总结一下全过
程:

a. 从fs:[30h]获取PEB地址

b. 从PEB[0x0c]获取Ldr地址

c. 从Ldr[0x0c]获取InLoadOrderModuleList.Flink

d. 从InLoadOrderModuleList.Flink开始前向遍历循环链表

e. 显示LDR_MODULE结构的BaseAddress、FullDllName成员。

下面是完整的C语言演示程序，汇编化留到编写完整shellcode时进行。

--------------------------------------------------------------------------
/*
* -----------------------------------------------------------------------
* Compile : For x86/EWindows XP SP1 & VC 7
*         : cl EnumModule.c /nologo /Os /G6 /W3 /D "WIN32" /D "NDEBUG" /D "_CONSOLE" /link /RELEASE
*         :
* Create  : 2003-08-12 11:36
* Modify  :
* -----------------------------------------------------------------------
*/

/*
* 按加载顺序遍历双向循环链表
*/

#include
#include

#pragma comment( linker, "/INCREMENTAL:NO"    )
#pragma comment( linker, "/subsystem:console" )

int __cdecl main ( int argc, char * argv[] )
{
    void *PEB         = NULL,
         *Ldr         = NULL,
         *Flink       = NULL,
         *p           = NULL,
         *BaseAddress = NULL,
         *FullDllName = NULL;

    __asm
    {
        mov     eax,fs:[0x30]
        mov     PEB,eax
    }
    printf( "PEB   = 0x%08X\n", PEB );
    Ldr   = *( ( void ** )( ( unsigned char * )PEB + 0x0c ) );
    printf( "Ldr   = 0x%08X\n", Ldr );
    Flink = *( ( void ** )( ( unsigned char * )Ldr + 0x0c ) );
    printf( "Flink = 0x%08X\n", Flink );
    p     = Flink;
    do
    {
        BaseAddress = *( ( void ** )( ( unsigned char * )p + 0x18 ) );
        FullDllName = *( ( void ** )( ( unsigned char * )p + 0x28 ) );
        printf( "p     = 0x%08X 0x%08X ", p, BaseAddress );
        wprintf( L"%s\n", FullDllName );
        p = *( ( void ** )p );
    }
    while ( Flink != p );
    return( EXIT_SUCCESS );
}  /* end of main */
--------------------------------------------------------------------------

执行效果如下。可以看出，尽管是循环链表，也可通过判断BaseAddress是否为NULL
来结束遍历。

> EnumModule
PEB   = 0x7FFDF000
Ldr   = 0x00241E90
Flink = 0x00241EC0
p     = 0x00241EC0 0x00400000 X:\EnumModule.exe
p     = 0x00241F18 0x77F50000 X:\XP\System32\ntdll.dll
p     = 0x00241FC0 0x77E60000 X:\XP\system32\kernel32.dll
p     = 0x00241E9C 0x00000000
>

☆ 参考资源

[ 8] http://vx.netlux.org/vx.php?id=z001 (29A杂志)

     Virus Writing Guide 1.00 for Win32 - Billy Belceb
     29A-4.202

     A guide to the latest methods to retrieve API's in a Win32 environment - LethalMind
     29A-4.227

     Gaining important datas from PEB under NT boxes - Ratter
     29A-6.024

[ 9] <> - David A. Solomon, Mark E. Russinovich

[10] The Undocumented Functions For Microsoft Windows NT/2000
     http://undocumented.ntinternals.net/ntundoc.chm

[12] Intel Architecture Software Developer's Manual. Volume 1
     ftp://download.intel.com/design/PentiumII/manuals/24319002.pdf

     Intel Architecture Software Developer's Manual. Volume 2
     ftp://download.intel.com/design/PentiumII/manuals/24319102.pdf

     Intel Architecture Software Developer's Manual. Volume 3
     ftp://download.intel.com/design/PentiumII/manuals/24319202.pdf

pe header explore

深蓝无忌 — Tue, 24 Jun 2008 11:09:49 +0800

;----------------
;编译模式="CON"
;----------------
.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc

includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
;-------------------------------------------------------

.DATA
szMsg db "Hello World!",13,10,0
crcl db 0dh,0ah

.CODE
START:

xor edx,edx
assume fs:nothing
mov ebx,fs:[edx+30h]
mov ecx,[ebx+0ch]
mov ecx,[ecx+1ch]
mov ecx,[ecx]
mov ebp,[ecx+8] ;base address of kernel32.dll
mov eax,[ebp+3ch] ;start of pe header
mov ecx,[ebp+eax+78h] ;relative offset of export table
add ecx,ebp ;absolute addr of export table
mov ebx,[ecx+20h] ; relative offset of names table
add ebx,ebp ;absolute addr of names tables
xor edi,edi

xxx:
mov esi,[ebx+edi*4]
cmp esi,0
jz yyy
add esi,ebp
invoke StdOut,esi
invoke StdOut,addr crcl
inc edi
jmp xxx

yyy:

;cdq

;invoke locate,2,2 ;输出文本的坐标
invoke StdOut,ADDR szMsg

invoke ExitProcess,0

end START

完成不可能完成的任务---修复60万计算机(7)

深蓝无忌 — Fri, 20 Jun 2008 22:31:57 +0800

完成不可能完成的任务---修复60万计算机(7)

饭后又和simens的工程师一块回petct中心研究去了。每当有不易完全的任务，我心里都特别兴奋，有一种挑战感，这种感觉很好啊，我很喜欢。工程师还在打求助电话，看着他们也不能掌控全程的感觉，心里也很郁闷。如果连自己也不能完全搞定，也真没有成就感啊！他们也很无奈，小郭提议windows系统恢复，我认为意义不大，果不其然，恢复了几个时间点，没有！还把我的设置弄丢了，因为网卡1坏了，那么它的IP地址在windows里也找不到了，所以恢复了也是找不到的，现在就怀疑IP地址的配置了，配成了192.168.0.4对不对呢？我们只是猜想。工程师打电话问原来的安装工程师，那家伙更喜剧，记不得了。工程师又问华西，配置和我们的不一致，小郭问广总，没能问着，时间一分一分地过去，现在就是要找着那个正确的IP地址了，其它的问题比如启动电路、license我们都克服了，我也很无奈，因为当初安装时自己就不知道，直到周五才看见它们的全貌，无奈啊！心中彻底无语。只有让他们去找相同配置的设备的IP地址了，刚好科里有事，先闪会，给工程师招呼，如果弄好了，打个电话通知一下我，也让我高兴下。回到科里，忙去了。17：40接小孩准备回家时，碰见小孩同学的妈妈急急的赶过来接小孩，告诉我，“弄好了弄好了，那个工程师说你起了关键性的作用！工程师说维修维修就是大家一起围着修，我们大家一起想办法，修好了，我要着了广总的IP地址，你绕过了那个注册码，最关键的一步。”忙问IP地址是什么，原来是0.20，shit!这件事情终于完美解决了，不能不说这是本周一的最开心的事。
总结了一下，问题也是一步一步解决的，没有解决不了问题，simens要求换整机，出于商业利益考虑，只是太贵了点，60万，就因为启动电路故障，也许是虚焊问题，网卡mac1确确实实坏了，质量问题？才使用多长时间？可爱的人民币啊！

完成不可能完成的任务---修复60万计算机(6)

深蓝无忌 — Fri, 20 Jun 2008 22:08:23 +0800

完成不可能完成的任务---修复60万计算机(6)

周六周日没有等来simens公司的维修人员，可怜没能进城去玩呢，陪着计算机过了2天。
周一交班过后，事情多啊！9:43小孩同学的妈妈打电话过来说，simens公司的人来了，让我赶紧过去。到了petct中心，终于见着传说中的simens公司的牛人了，40来岁，很实在的一个工程师，给我印象很好。他先用电烙铁焊好了我们周五用土办法整出来的启动电路，不得不说，那办法还挺好，好得让人佩服！原启动电路有虚焊，不可能因为启动电路故障而换整机吧，60万元哦。他启动机器后，故障依旧，需要license.又和simens公司联系，嘿嘿，效率不是盖的，很快发来2组注册码，在ACS上可用，但在故障机上还是无法通过，工程师解释说这个注册码要美国才能产生，因为时差关系，美国现在还是半夜呢，还要公司申请。又解释了一通simens的序列号有一个庞大的机构在动作，很多的人在为此心碌，我彻底地无语......我注意了一个细节，他打电话时把机箱立了起来，查找机箱上的序列号，还要网卡的mac号，报的是mac1，天，注册码还与网卡地址有关！那要是网卡坏了，那不是连换一块网块的可能都没有？这也太狠了，我心里又要开始问候simens的那三代人了！好象周五时换了网卡口的，是不是原来那个网卡mac1坏了，马上运行ipconfig/all，果然，这个mac地址不是mac1的地址，原来真是网卡也坏了。这次问题多了，启动电路故障，网卡坏了一个，问题多了。又刚好平时对这个mac地址很有研究，以前做网络安全设计时设想通过IP地址找到mac地址，可以准确找到机器，知道在windows中可以克隆网卡地址，我想如果我把现在的备用网卡的mac地址克隆成原mac1的地址，难道不行吗？说干就干，马上克隆，嘿嘿，居然服务启动了，没有要license，也没有说invalid license了，过了，骗过了！怀着激动的心情，又全部重新启动了一遍，真的通过license了，但机架还是无法存取！但我们离成功又大大前进了一步，心中非常高兴。整了这么长时间，12点了，只好先饭饭去了。