易语言检测OD模块源码

系统结构:空虚_是否被调试,空虚_驱动检测OD,空虚_菜单检测OD,空虚_蓝屏,启动信息反调试,操作_取路径目录,文件是否运行中,枚举驱动,检测fengyue区段,文件_枚举,枚举窗口_强力,窗口取类名,窗口取标题,窗口是否可见,枚举所有子窗口_强力,递归,API_IsDebuggerPresent,GetStartupInfo,NtQuerySystemInformation_整数,LocalAlloc,CopyMemory_MODULES,LocalFree,API_取菜单,API_取条目数量,API_取子菜单句柄,API_取条目字串,GetWindow,API_取屏幕句柄,IsWindowVisible,GetClassName,GetWindowTextLength,GetWindowText,CreateWindowStation,SetHandleInformation,CloseWindowStation,RtlAdjustPrivilege,RtlInitUnicodeString,取文本指针,NtRaiseHardError,

======程序集1
           |  |
           |  |------ _启动子程序
           |  |
           |  |------ _临时子程序
           |  |
           |  |------ 空虚_是否被调试
           |  |
           |  |------ 空虚_驱动检测OD
           |  |
           |  |------ 空虚_菜单检测OD
           |  |
           |  |------ 空虚_蓝屏
           |  |
           |  |
======功能集
           |  |
           |  |------ 启动信息反调试
           |  |
           |  |------ 操作_取路径目录
           |  |
           |  |------ 文件是否运行中
           |  |
           |  |------ 枚举驱动
           |  |
           |  |------ 检测fengyue区段
           |  |
           |  |------ 文件_枚举
           |  |
           |  |------ 枚举窗口_强力
           |  |
           |  |------ 窗口取类名
           |  |
           |  |------ 窗口取标题
           |  |
           |  |------ 窗口是否可见
           |  |
           |  |------ 枚举所有子窗口_强力
           |  |
           |  |------ 递归
           |  |
           |  |
======调用的Dll
           |  |
           |  |---[dll]------   API_IsDebuggerPresent
           |  |
           |  |---[dll]------   GetStartupInfo
           |  |
           |  |---[dll]------   NtQuerySystemInformation_整数
           |  |
           |  |---[dll]------   LocalAlloc
           |  |
           |  |---[dll]------   CopyMemory_MODULES
           |  |
           |  |---[dll]------   LocalFree
           |  |
           |  |---[dll]------   API_取菜单
           |  |
           |  |---[dll]------   API_取条目数量
           |  |
           |  |---[dll]------   API_取子菜单句柄
           |  |
           |  |---[dll]------   API_取条目字串
           |  |
           |  |---[dll]------   GetWindow
           |  |
           |  |---[dll]------   API_取屏幕句柄
           |  |
           |  |---[dll]------   _窗口是否可见
           |  |
           |  |---[dll]------   IsWindowVisible
           |  |
           |  |---[dll]------   GetClassName
           |  |
           |  |---[dll]------   GetWindowTextLength
           |  |
           |  |---[dll]------   GetWindowText
           |  |
           |  |---[dll]------   CreateWindowStation
           |  |
           |  |---[dll]------   SetHandleInformation
           |  |
           |  |---[dll]------   CloseWindowStation
           |  |
           |  |---[dll]------   RtlAdjustPrivilege
           |  |
           |  |---[dll]------   RtlInitUnicodeString
           |  |
           |  |---[dll]------   取文本指针
           |  |
           |  |---[dll]------   NtRaiseHardError

调用的DLL命令:

.DLL命令 API_IsDebuggerPresent, 整数型, "kernel32.dll", "IsDebuggerPresent", 公开

.DLL命令 GetStartupInfo, , "kernel32", "GetStartupInfoA"
    .参数 lpStartupInfo, STARTUPINFO, 传址

.DLL命令 NtQuerySystemInformation_整数, 整数型, "NTDLL.dll", "NtQuerySystemInformation"
    .参数 SystemInformationClass, 整数型
    .参数 pSystemInformation, 整数型
    .参数 SystemInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令 LocalAlloc, 整数型, "kernel32", "LocalAlloc"
    .参数 wFlags, 整数型
    .参数 wBytes, 整数型

.DLL命令 CopyMemory_MODULES, , , "RtlMoveMemory"
    .参数 pDst, MODULES
    .参数 pSrc, 整数型
    .参数 ByteLen, 整数型

.DLL命令 LocalFree, 整数型, "kernel32", "LocalFree"
    .参数 hMem, 整数型

.DLL命令 API_取菜单, 整数型, "user32", "GetMenu", , 取得窗口中一个菜单的句柄  依附于指定窗口的一个菜单的句柄（如果有菜单）；否则返回零
    .参数 窗口句柄, 整数型, , 窗口句柄。对于vb，这应该是一个窗体句柄。注意可能不是子窗口的句柄;

.DLL命令 API_取条目数量, 整数型, "user32", "GetMenuItemCount", , 返回菜单中条目（菜单项）的数量  菜单中的条目数量；-1意味着出错。会设置GetLastError
    .参数 菜单句柄, 整数型, , 目标菜单的句柄;

.DLL命令 API_取子菜单句柄, 整数型, "user32", "GetSubMenu", , 取得一个弹出式菜单的句柄，它位于菜单中指定的位置  位于指定位置的弹出式菜单的句柄（如果有的话）；否则返回零
    .参数 菜单句柄, 整数型, , 菜单的句柄
    .参数 位置, 整数型, , 条目在菜单中的位置。第一个条目的编号为0;

.DLL命令 API_取条目字串, 整数型, "user32", "GetMenuStringA", , 取得指定菜单条目的字串  在lpString中返回的字串的长度（不包括空中止字符）。零意味着出错
    .参数 菜单句柄, 整数型, , 菜单句柄
    .参数 条目位置, 整数型, , 欲接收的菜单条目的标识符。如果在wFlags参数中设置了MF_BYCOMMAND标志，这个参数就用于指定要改变的菜单条目的命令ID。如果设置的是MF_BYPOSITION标志，这个参数就用于指定条目在菜单中的位置（第一个条目的位置为0）
    .参数 缓冲区, 文本型, , 指定一个预先定义好的字串缓冲区，以便为菜单条目装载字串
    .参数 缓冲区长度, 整数型, , 载入lp缓冲区中的最大字符数量+1
    .参数 标志, 整数型, , 常数MF_BYCOMMAND或MF_BYPOSITION，取决于wID参数的设置;

.DLL命令 GetWindow, 整数型, "user32", "GetWindow", 公开, 获得一个窗口的句柄，该窗口与某源窗口有特定的关系  由wCmd决定的一个窗口的句柄。如没有找到相符窗口，或者遇到错误，则返回零值。会设置GetLastError
    .参数 源窗口, 整数型, , 源窗口
    .参数 关系, 整数型, , 指定结果窗口与源窗口的关系，它们建立在下述常数基础上：;GW_CHILD：寻找源窗口的第一个子窗口;GW_HWNDFIRST：为一个源子窗口寻找第一个兄弟（同级）窗口，或寻找第一个顶级窗口;GW_HWNDLAST：为一个源子窗口寻找最后一个兄弟（同级）窗口，或寻找最后一个顶级窗口;GW_HWNDNEXT：为源窗口寻找下一个兄弟窗口;GW_HWNDPREV：为源窗口寻找前一个兄弟窗口;GW_OWNER：寻找窗口的所有者;

.DLL命令 API_取屏幕句柄, 整数型, "user32", "GetDesktopWindow", , 获得代表整个屏幕的一个窗口（桌面窗口）句柄  桌面窗口的句柄

.DLL命令 _窗口是否可见, 整数型, "user32", "IsWindowVisible", 公开, 判断窗口是否可见  如窗口可见则返回TRUE（非零）
    .参数 窗口句柄, 整数型, , 要测试的那个窗口的句柄

.DLL命令 IsWindowVisible, 逻辑型, "user32.dll", "IsWindowVisible"
    .参数 hWnd, 整数型

.DLL命令 GetClassName, 整数型, "user32.dll", "GetClassNameA", 公开, 为指定的窗口取得类名  以字节数表示的类名长度；排除最后的空中止字符。零表示出错。会设置GetLastError
    .参数 句柄, 整数型, , 欲获得类名的那个窗口的句柄
    .参数 文本, 文本型, , 随同类名载入的缓冲区。预先至少必须分配nMaxCount+1个字符
    .参数 文本长度, 整数型, , 由lpClassName提供的缓冲区长度;

.DLL命令 GetWindowTextLength, 整数型, "user32", "GetWindowTextLengthA", 公开, 调查窗口标题文字或控件内容的长短（在vb里使用：直接使用vb窗体或控件的caption或text属性）  字串长度，不包括空中止字符
    .参数 hwnd, 整数型, , 想调查文字长度的窗口的句柄;

.DLL命令 GetWindowText, 整数型, "user32.dll", "GetWindowTextA", 公开, 取得一个窗体的标题（caption）文字，或者一个控件的内容（在vb里使用：使用vb窗体或控件的caption或text属性）  复制到lpString的字串长度；不包括空中止字符。会设置GetLastError
    .参数 句柄, 整数型, , 欲获取文字的那个窗口的句柄
    .参数 文本, 文本型, , 预定义的一个缓冲区，至少有cch+1个字符大小；随同窗口文字载入
    .参数 文本长度, 整数型, , lp缓冲区的长度;

.DLL命令 CreateWindowStation, 整数型, "user32.dll", "CreateWindowStationA"
    .参数 lpwinsta, 文本型
    .参数 dwReserved, 整数型
    .参数 dwDesiredAccess, 整数型
    .参数 lpsa, 整数型

.DLL命令 SetHandleInformation, 整数型, "kernel32", "SetHandleInformation"
    .参数 hObject, 整数型
    .参数 dwMask, 整数型
    .参数 dwFlags, 整数型

.DLL命令 CloseWindowStation, 整数型, "user32", "CloseWindowStation"
    .参数 hWinSta, 整数型

.DLL命令 RtlAdjustPrivilege, 整数型, "ntdll.dll", "RtlAdjustPrivilege"
    .参数 Privilege, 整数型
    .参数 Enable, 整数型
    .参数 Client, 整数型
    .参数 WasEnabled, 整数型, 传址

.DLL命令 RtlInitUnicodeString, , "ntdll.dll", "RtlInitUnicodeString"
    .参数 DestinationString, UNICODE_STRING, 传址
    .参数 SourceString, 文本型, 传址

.DLL命令 取文本指针, 整数型, "kernel32", "lstrcpyn", 公开, 感谢海洋老师的例程
    .参数 变量, UNICODE_STRING, 传址, 一定要传址
    .参数 变量, UNICODE_STRING, 传址, 一定要传址.重复一次,骗骗Windows:)
    .参数 保留, 整数型, , 0

.DLL命令 NtRaiseHardError, 整数型, "ntdll.dll", "NtRaiseHardError"
    .参数 ErrorStatus, 整数型
    .参数 NumberOfParameters, 整数型
    .参数 UnicodeStringParameterMask, 整数型
    .参数 Parameters, 整数型, 传址 数组
    .参数 ValidResponseOptions, 整数型
    .参数 Response, 整数型, 传址