易语言驱动级进程管理源码

系统结构:提升进程权限,列表,表项,取模块路径,列调用的模块,结束进程中DLL,getpid,getcsrsspid,gettid,killtid,killby_wintopic,postthreadquit,RemoteExitProcess,enum,枚举窗口,DebugThread,KillThreadDebugProcess,UnloadNtdll,native_api,ZwQuerySystemInformation,Process32First,CloseHandle,Process32Next,ZwQueryInformationProcess,Thread32First,Thread32Next,OpenThread,FindWindowA,API_投递消息,TerminateThread,API_PostThreadMessage,API_CreateRemoteThread,API_OpenProcess,API_GetModuleHandle,EnumWindows,GetWindowThreadProcessId,IsWindowVisible,GetWindowText,API_GetProcAddress,ExtractIconA,打开进程,获取线程,打开令牌,恢复权限,获取令牌特权,CreateToolhelp32Snapshot,Module32Next,关闭句柄,VirtualAllocEx,WriteProcessMemory,GetProcAddress,GetModuleHandle,CreateRemoteThread,WaitForSingleObject,GetExitCodeThread,VirtualFreeEx,API_CreateThread,API_DebugActiveProcess,ZwOpenProcess,ZwTerminateProcess,ZwClose,取指针_整数,Module32First,NtUnmapViewOfSection,

======窗口程序集1
           |  |
           |  |------ __启动窗口_创建完毕
           |  |
           |  |------ 提升进程权限
           |  |
           |  |------ 列表
           |  |
           |  |------ _按钮1_被单击
           |  |
           |  |------ _按钮3_被单击
           |  |
           |  |------ 表项
           |  |
           |  |------ _按钮2_被单击
           |  |
           |  |------ _时钟1_周期事件
           |  |
           |  |------ _选择框1_被单击
           |  |
           |  |------ _超级列表框1_左键单击表项
           |  |
           |  |------ 取模块路径
           |  |
           |  |------ _按钮5_被单击
           |  |
           |  |------ _超级列表框1_当前表项被改变
           |  |
           |  |------ 列调用的模块
           |  |
           |  |------ _列表框1_双击选择
           |  |
           |  |------ 结束进程中DLL
           |  |
           |  |
======功能集
           |  |
           |  |------ getpid
           |  |
           |  |------ getcsrsspid
           |  |
           |  |------ gettid
           |  |
           |  |------ killtid
           |  |
           |  |------ killby_wintopic
           |  |
           |  |------ postthreadquit
           |  |
           |  |------ RemoteExitProcess
           |  |
           |  |------ enum
           |  |
           |  |------ 枚举窗口
           |  |
           |  |------ DebugThread
           |  |
           |  |------ KillThreadDebugProcess
           |  |
           |  |------ UnloadNtdll
           |  |
           |  |------ native_api
           |  |
           |  |
======调用的Dll
           |  |
           |  |---[dll]------   ZwQuerySystemInformation
           |  |
           |  |---[dll]------   Process32First
           |  |
           |  |---[dll]------   CloseHandle
           |  |
           |  |---[dll]------   Process32Next
           |  |
           |  |---[dll]------   ZwQueryInformationProcess
           |  |
           |  |---[dll]------   Thread32First
           |  |
           |  |---[dll]------   Thread32Next
           |  |
           |  |---[dll]------   OpenThread
           |  |
           |  |---[dll]------   FindWindowA
           |  |
           |  |---[dll]------   API_投递消息
           |  |
           |  |---[dll]------   TerminateThread
           |  |
           |  |---[dll]------   API_PostThreadMessage
           |  |
           |  |---[dll]------   API_CreateRemoteThread
           |  |
           |  |---[dll]------   API_OpenProcess
           |  |
           |  |---[dll]------   API_GetModuleHandle
           |  |
           |  |---[dll]------   EnumWindows
           |  |
           |  |---[dll]------   GetWindowThreadProcessId
           |  |
           |  |---[dll]------   IsWindowVisible
           |  |
           |  |---[dll]------   GetWindowText
           |  |
           |  |---[dll]------   API_GetProcAddress
           |  |
           |  |---[dll]------   ExtractIconA
           |  |
           |  |---[dll]------   打开进程
           |  |
           |  |---[dll]------   获取线程
           |  |
           |  |---[dll]------   打开令牌
           |  |
           |  |---[dll]------   恢复权限
           |  |
           |  |---[dll]------   获取令牌特权
           |  |
           |  |---[dll]------   CreateToolhelp32Snapshot
           |  |
           |  |---[dll]------   Module32Next
           |  |
           |  |---[dll]------   关闭句柄
           |  |
           |  |---[dll]------   VirtualAllocEx
           |  |
           |  |---[dll]------   WriteProcessMemory
           |  |
           |  |---[dll]------   GetProcAddress
           |  |
           |  |---[dll]------   GetModuleHandle
           |  |
           |  |---[dll]------   CreateRemoteThread
           |  |
           |  |---[dll]------   WaitForSingleObject
           |  |
           |  |---[dll]------   GetExitCodeThread
           |  |
           |  |---[dll]------   VirtualFreeEx
           |  |
           |  |---[dll]------   API_CreateThread
           |  |
           |  |---[dll]------   API_DebugActiveProcess
           |  |
           |  |---[dll]------   ZwOpenProcess
           |  |
           |  |---[dll]------   ZwTerminateProcess
           |  |
           |  |---[dll]------   ZwClose
           |  |
           |  |---[dll]------   取指针_整数
           |  |
           |  |---[dll]------   Module32First
           |  |
           |  |---[dll]------   NtUnmapViewOfSection

调用的DLL命令:

.DLL命令 ZwQuerySystemInformation, 整数型, "ntdll.dll", "ZwQuerySystemInformation"
    .参数 SystemInformationClass, 整数型, , 未知类型：SYSTEM_INFORMATION_CLASS。
    .参数 SystemInformation, 字节集, , any
    .参数 SystemInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令 Process32First, 整数型, , "Process32First"
    .参数 hSnapshot, 整数型
    .参数 lppe, PROCESSENTRY32

.DLL命令 CloseHandle, , , "CloseHandle"
    .参数 ProcessHandle, 整数型

.DLL命令 Process32Next, 整数型, , "Process32Next"
    .参数 hSnapshot, 整数型
    .参数 lppe, PROCESSENTRY32

.DLL命令 ZwQueryInformationProcess, 整数型, "ntdll.dll", "ZwQueryInformationProcess"
    .参数 SystemInformationClass, 整数型, , 未知类型：SYSTEM_INFORMATION_CLASS。
    .参数 dd, 整数型
    .参数 SystemInformation, PROCESS_BASIC_INFORMATION, , any
    .参数 SystemInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令 Thread32First, 整数型, , "Thread32First"
    .参数 hSnapshot, 整数型
    .参数 lppe, THREADENTRY32

.DLL命令 Thread32Next, 整数型, , "Thread32Next"
    .参数 hSnapshot, 整数型
    .参数 lppe, THREADENTRY32

.DLL命令 OpenThread, 整数型, , "OpenThread"
    .参数 h, 整数型
    .参数 a, 逻辑型
    .参数 b, 整数型

.DLL命令 FindWindowA, 整数型
    .参数 a, 整数型
    .参数 b, 文本型

.DLL命令 API_投递消息, 整数型, "user32", "PostMessageA", , 将一条消息投递到指定窗口的消息队列。投递的消息会在Windows事件处理过程中得到处理。在那个时候，会随同投递的消息调用指定窗口的窗口函数。特别适合那些不需要立即处理的窗口消息的发送  如消息投递成功，则返回TRUE（非零）。会设置GetLastError
    .参数 hwnd, 整数型, , 接收消息的那个窗口的句柄。如设为HWND_BROADCAST，表示投递给系统中的所有顶级窗口。如设为零，表示投递一条线程消息（参考PostThreadMessage）
    .参数 wMsg, 整数型, , 消息标识符
    .参数 wParam, 整数型, , 具体由消息决定
    .参数 lParam, 整数型, , 具体由消息决定;

.DLL命令 TerminateThread, 整数型, , "TerminateThread"
    .参数 a, 整数型
    .参数 b, 整数型, , 0

.DLL命令 API_PostThreadMessage, 整数型, "user32", "PostThreadMessageA", , 将一条消息投递给应用程序。这条消息由应用程序的内部GetMessage循环获得，但不会传给一个特定的窗口  如消息投递成功，则返回TRUE（非零）。会设置GetLastError
    .参数 idThread, 整数型, , 用于接收消息的那个线程的标识符
    .参数 msg, 整数型, , 消息标识符
    .参数 wParam, 整数型, , 具体由消息决定
    .参数 lParam, 整数型, , 具体由消息决定;

.DLL命令 API_CreateRemoteThread, 整数型, "kernel32", "CreateRemoteThread", , 在另一进程中建立线索
    .参数 hProcess, 整数型
    .参数 lpThreadAttributes, SECURITY_ATTRIBUTES
    .参数 dwStackSize, 整数型
    .参数 lpStartAddress, 整数型
    .参数 lpParameter, 整数型
    .参数 dwCreationFlags, 整数型
    .参数 lpThreadId, 整数型

.DLL命令 API_OpenProcess, 整数型, "kernel32", "OpenProcess", , 将句柄返回给过程对象
    .参数 dwDesiredAccess, 整数型
    .参数 bInheritHandle, 整数型
    .参数 dwProcessId, 整数型

.DLL命令 API_GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", , 获取一个应用程序或动态链接库的模块句柄  如执行成功成功，则返回模块句柄。零表示失败。会设置GetLastError
    .参数 lpModuleName, 文本型, , 指定模块名，这通常是与模块的文件名相同的一个名字。例如，NOTEPAD.EXE程序的模块文件名就叫作NOTEPAD;

.DLL命令 EnumWindows, 整数型, "user32.dll", "EnumWindows", , 枚举窗口列表中的所有父窗口（顶级和被所有窗口）　非零表示成功，零表示失败
    .参数 函数指针, 子程序指针, , 指向为每个子窗口都调用的一个函数的指针。用AddressOf运算符获得函数在标准模式下的地址
    .参数 自定义数值, 整数型, , 在枚举期间，传递给dwcbkd32.ocx定制控件之EnumWindows事件的值。这个值的含义是由程序员规定的;  

.DLL命令 GetWindowThreadProcessId, 整数型, "user32", "GetWindowThreadProcessId", ,  ;    获取与指定窗口关联在一起的一个进程和线程标识符　拥有窗口的线程的标识符
    .参数 hwnd, 整数型, , 指定一个变量，用于装载拥有那个窗口的一个进程的标识符
    .参数 lpdwProcessId, 整数型, 传址, 指定窗口句柄;

.DLL命令 IsWindowVisible, 整数型, "user32", "IsWindowVisible", , 判断窗口是否可见　如窗口可见则返回TRUE（非零）
    .参数 窗口句柄, 整数型, , 要测试的那个窗口的句柄;  

.DLL命令 GetWindowText, 整数型, "user32", "GetWindowTextA", , 取得一个窗体的标题（caption）文字，或者一个控件的内容（在vb里使用：使用vb窗体或控件的caption或text属性）　复制到lpString的字串长度；不包括空中止字符。会设置GetLastError
    .参数 窗口句柄, 整数型, , 欲获取文字的那个窗口的句柄
    .参数 缓冲区, 文本型, , 预定义的一个缓冲区，至少有cch+1个字符大小；随同窗口文字载入
    .参数 缓冲尺寸, 整数型, , lp缓冲区的长度;  

.DLL命令 API_GetProcAddress, 整数型, "kernel32", "GetProcAddress", , 返回函数地址
    .参数 hModule, 整数型
    .参数 lpProcName, 文本型

.DLL命令 ExtractIconA, 整数型, "shell32.dll", "ExtractIconA"
    .参数 窗口句柄, 整数型
    .参数 文件名称, 文本型
    .参数 图标索引, 整数型

.DLL命令 打开进程, 整数型, , "OpenProcess", 公开
    .参数 访问方法, 整数型, , 指定这个句柄要求的访问方法,PROCESS_CREATE_THREAD（允许远程创建线程）；PROCESS_VM_OPERATION （允许远程VM操作）；PROCESS_VM_WRITE（允许远程VM写）；2035711 完全访问
    .参数 子进程继承, 逻辑型, , 如句柄能够由子进程继承，则为TRUE，0
    .参数 进程标识符, 整数型, , 要打开那个进程的进程标识符,使用一个变量装载进程ID。

.DLL命令 获取线程, 整数型, "kernel32.dll", "GetCurrentProcess"

.DLL命令 打开令牌, 整数型, "advapi32.dll", "OpenProcessToken"
    .参数 ProcessHandle, 整数型
    .参数 DesiredAccess, 整数型
    .参数 TokenHandle, 整数型, 传址

.DLL命令 恢复权限, 逻辑型, "advapi32.dll", "LookupPrivilegeValueA"
    .参数 lpSystemName, 文本型
    .参数 lpName, 文本型
    .参数 lpLuid, LuID, 传址

.DLL命令 获取令牌特权, 逻辑型, "advapi32.dll", "AdjustTokenPrivileges"
    .参数 TokenHandle, 整数型
    .参数 DisableAllPrivileges, 整数型
    .参数 NewState, TOKEN_PRIVILEGES, 传址
    .参数 BufferLength, 整数型
    .参数 PreviousState, TOKEN_PRIVILEGES, 传址
    .参数 ReturnLength, 整数型, 传址

.DLL命令 CreateToolhelp32Snapshot, 整数型, , "CreateToolhelp32Snapshot"
    .参数 dwFlags, 整数型
    .参数 th32ProcessID, 整数型

.DLL命令 Module32Next, 整数型, , "Module32Next"
    .参数 快照句柄, 整数型
    .参数 模块信息输出变量, 模块信息

.DLL命令 关闭句柄, , , "CloseHandle"
    .参数 线程句柄, 整数型

.DLL命令 VirtualAllocEx, 整数型, , "VirtualAllocEx"
    .参数 hProcess, 整数型
    .参数 lpAddress, 整数型
    .参数 dwSize, 整数型
    .参数 flAllocationType
    .参数 flProtect

.DLL命令 WriteProcessMemory, 逻辑型, , "WriteProcessMemory"
    .参数 hProcess
    .参数 pBaseAddress
    .参数 lpBuffer, 字节集
    .参数 nSize
    .参数 pNumberOfBytesWritten

.DLL命令 GetProcAddress, 整数型, , "GetProcAddress"
    .参数 jb, 整数型
    .参数 hsm, 文本型

.DLL命令 GetModuleHandle, 整数型, , "GetModuleHandleA"
    .参数 dllm, 文本型

.DLL命令 CreateRemoteThread, 整数型, , "CreateRemoteThread"
    .参数 hProcess
    .参数 ThreadAttributes
    .参数 dwStackSize
    .参数 lpStartAddress
    .参数 lpParameter
    .参数 dwCreationFlags
    .参数 lpThreadId

.DLL命令 WaitForSingleObject, , , "WaitForSingleObject"
    .参数 hThread
    .参数 INFINITE

.DLL命令 GetExitCodeThread, , , "GetExitCodeThread"
    .参数 hThread
    .参数 dwHandle

.DLL命令 VirtualFreeEx, , , "VirtualFreeEx"
    .参数 hProcess
    .参数 lpBuf
    .参数 dwSize
    .参数 flAllocationType

.DLL命令 API_CreateThread, 整数型, "kernel32", "CreateThread", , 建立新的线索
    .参数 lpThreadAttributes, SECURITY_ATTRIBUTES
    .参数 dwStackSize, 整数型
    .参数 lpStartAddress, 子程序指针
    .参数 lpParameter, 整数型
    .参数 dwCreationFlags, 整数型
    .参数 lpThreadId, 整数型

.DLL命令 API_DebugActiveProcess, 逻辑型, "kernel32", "DebugActiveProcess", , 连接调试进程
    .参数 dwProcessId, 整数型

.DLL命令 ZwOpenProcess, 整数型, "ntdll.dll", "ZwOpenProcess"
    .参数 hProcess, 整数型, 传址
    .参数 DesiredAccess, 整数型
    .参数 ObjectAttributes, OBJECT_ATTRIBUTES
    .参数 ClientId, CLIENT_ID

.DLL命令 ZwTerminateProcess, 整数型, "ntdll.dll"
    .参数 ProcessHandle, 整数型
    .参数 ExitStatus, 整数型

.DLL命令 ZwClose, 整数型, "ntdll.dll", "ZwClose"
    .参数 hnd

.DLL命令 取指针_整数, 整数型, , "lstrcpyn"
    .参数 欲取其指针, 整数型, 传址
    .参数 欲取其指针, 整数型, 传址
    .参数 保留, 整数型, , 0

.DLL命令 Module32First, 整数型, , "Module32First"
    .参数 hsnap, 整数型
    .参数 mod, 模块信息

.DLL命令 NtUnmapViewOfSection, , "ntdll.dll", "NtUnmapViewOfSection"
    .参数 a
    .参数 b