易语言程序多开专业模块V1.2模块源码
软件介绍
易语言程序多开专业模块V1.2模块源码
系统结构:Call,UnicodeToAnsi,错误,进程_提升权限,进程_ZwOpenProcess,进程_OpenProcess,进程_取模块名,进程_枚举模块,进程_取模块信息,进程_取进程名,线程_枚举线程,线程_取线程信息,线程_结束线程,线程_挂起线程,线程_恢复线程,进程_枚举进程,进程_结束进程,进程_挂起进程,进程_恢复进程,对象_枚举句柄,对象_关闭句柄,关闭句柄,进程_创建进程,进程_创建进程注入DLL,随机修改MAC,定时器_创建,定时器_销毁,DLL初始化,注入DLL,卸载DLL,UnHookDLL,提取错误标题,提取错误信息,提取错误代码,安装APIHOOK,加载APIHOOK,恢复APIHOOK,读字节集内存,写字节集内存,注入DLL,取DLL函数地址,执行DLL函数,卸载DLL,是否已注入,重载变量,申请内存_,释放进程内存,释放内存_,写到内存_,读取内存_,写入内存数据_,调用子程序_,提升进程权限_,字节集_到整数,取线程返回值_,启动线程_Ret,启动线程_hThread,MakeCallCode,启动线程_多参_Ret,启动线程_多参_hThread,内存_读整数内存,内存_读短整数内存,内存_读字节内存,内存_读小数内存,内存_读文本内存,内存_读字节集内存,内存_写整数内存,内存_写字节集内存,内存_写文本内存,内存_写小数内存,内存_申请内存,内存_申请文本内存,内存_申请字节集内存,内存_释放内存,内存_修改虚拟保护,内存_修改进程虚拟保护,注入_安装线程DLL,注入_远程call,进程_取函数入口,操作_jmp地址取机器码,操作_call地址取机器码,操作_取API地址,GetModuleFileNameEx,EnumProcessModules,GetModuleInformation,CreateToolhelp32Snapshot,Thread32First,Thread32Next,ResumeThread,SuspendThread,CreateProcess,GetCurrentProcess,ZwQueryInformationThread_1,ZwQueryInformationThread_2,拷贝内存2,GetModuleHandle,OpenThread,WaitForSingleObject,CreateRemoteThread,OpenProcess,CallNextHookEx,子程序NT,子程序9X,UnhookWindowsHookEx,SetTimer,KillTimer,GetMappedFileName,ZwSuspendProcess,ZwResumeProcess,OpenProcessToken,LookupPrivilegeValue,AdjustTokenPrivileges,写内存字节集,读整数内存_,读字节集内存_,ReadProcessMemory,GetCurrentProcessId,Process32First,Process32Next,LoadLibraryEx,FreeLibrary,GetProcAddress,VirtualAllocEx,VirtualFreeEx,WriteProcessMemory,lstrcpyn,DuplicateHandle,ZwQueryObject,WideCharToMultiByte,CreateThread,TerminateThread,写整型内存_,VirtualQueryEx,VirtualProtect,复制内存文本,复制内存消息,ImageDirectoryEntryToData,PathFileExists,RtlAdjustPrivilege,CopyMemory,CloseHandle,GetExitCodeThread,LoadLibrary,GetProcessHandleCount,ZwDuplicateObject,GetWindowsDirectory,GetModuleBaseNameA,写文本内存_,写字节集内存_,写整数内存_,VirtualProtectEx,
======程序集1
| |
| |------ _启动子程序
| |
| |------ _临时子程序
| |
| |
======API核心
| |
| |------ Call
| |
| |------ UnicodeToAnsi
| |
| |------ 错误
| |
| |------ 进程_提升权限
| |
| |------ 进程_ZwOpenProcess
| |
| |------ 进程_OpenProcess
| |
| |------ 进程_取模块名
| |
| |------ 进程_枚举模块
| |
| |------ 进程_取模块信息
| |
| |------ 进程_取进程名
| |
| |------ 线程_枚举线程
| |
| |------ 线程_取线程信息
| |
| |------ 线程_结束线程
| |
| |------ 线程_挂起线程
| |
| |------ 线程_恢复线程
| |
| |------ 进程_枚举进程
| |
| |------ 进程_结束进程
| |
| |------ 进程_挂起进程
| |
| |------ 进程_恢复进程
| |
| |------ 对象_枚举句柄
| |
| |------ 对象_关闭句柄
| |
| |------ 关闭句柄
| |
| |------ 进程_创建进程
| |
| |------ 进程_创建进程注入DLL
| |
| |------ _取函数入口
| |
| |------ 随机修改MAC
| |
| |------ 定时器_创建
| |
| |------ 定时器_销毁
| |
| |------ DLL初始化
| |
| |------ 注入DLL
| |
| |------ 卸载DLL
| |
| |------ UnHookDLL
| |
| |------ 提取错误标题
| |
| |------ 提取错误信息
| |
| |------ 提取错误代码
| |
| |
======类_APIHOOK
| |
| |------ 安装APIHOOK
| |
| |------ 加载APIHOOK
| |
| |------ 恢复APIHOOK
| |
| |------ 读字节集内存
| |
| |------ 写字节集内存
| |
| |
======类_内存DLL注入
| |
| |------ _初始化
| |
| |------ _销毁
| |
| |------ 注入DLL
| |
| |------ 取DLL函数地址
| |
| |------ 执行DLL函数
| |
| |------ 卸载DLL
| |
| |------ 是否已注入
| |
| |------ 重载变量
| |
| |
======辅助程序集
| |
| |------ 申请内存_
| |
| |------ 释放进程内存
| |
| |------ 释放内存_
| |
| |------ 写到内存_
| |
| |------ 读取内存_
| |
| |------ 写入内存数据_
| |
| |------ 调用子程序_
| |
| |------ 提升进程权限_
| |
| |------ _取子程序地址
| |
| |------ _取字节集指针
| |
| |------ _取文本指针
| |
| |------ _取整数型指针
| |
| |------ 字节集_到整数
| |
| |------ 取线程返回值_
| |
| |------ 启动线程_Ret
| |
| |------ 启动线程_hThread
| |
| |------ MakeCallCode
| |
| |------ 启动线程_多参_Ret
| |
| |------ 启动线程_多参_hThread
| |
| |
======内存操作
| |
| |------ 内存_读整数内存
| |
| |------ 内存_读短整数内存
| |
| |------ 内存_读字节内存
| |
| |------ 内存_读小数内存
| |
| |------ 内存_读文本内存
| |
| |------ 内存_读字节集内存
| |
| |------ 内存_写整数内存
| |
| |------ 内存_写字节集内存
| |
| |------ 内存_写文本内存
| |
| |------ 内存_写小数内存
| |
| |------ 内存_申请内存
| |
| |------ 内存_申请文本内存
| |
| |------ 内存_申请字节集内存
| |
| |------ 内存_释放内存
| |
| |------ 内存_修改虚拟保护
| |
| |------ 内存_修改进程虚拟保护
| |
| |
======线程_注入DLL
| |
| |------ 注入_安装线程DLL
| |
| |------ 注入_远程call
| |
| |------ 进程_取函数入口
| |
| |------ 操作_jmp地址取机器码
| |
| |------ 操作_call地址取机器码
| |
| |------ 操作_取API地址
| |
| |
======调用的Dll
| |
| |---[dll]------ GetModuleFileNameEx
| |
| |---[dll]------ EnumProcessModules
| |
| |---[dll]------ GetModuleInformation
| |
| |---[dll]------ CreateToolhelp32Snapshot
| |
| |---[dll]------ Thread32First
| |
| |---[dll]------ Thread32Next
| |
| |---[dll]------ ResumeThread
| |
| |---[dll]------ SuspendThread
| |
| |---[dll]------ CreateProcess
| |
| |---[dll]------ GetCurrentProcess
| |
| |---[dll]------ ZwQueryInformationThread_1
| |
| |---[dll]------ ZwQueryInformationThread_2
| |
| |---[dll]------ 拷贝内存2
| |
| |---[dll]------ GetModuleHandle
| |
| |---[dll]------ OpenThread
| |
| |---[dll]------ WaitForSingleObject
| |
| |---[dll]------ CreateRemoteThread
| |
| |---[dll]------ OpenProcess
| |
| |---[dll]------ CallNextHookEx
| |
| |---[dll]------ 子程序NT
| |
| |---[dll]------ 子程序9X
| |
| |---[dll]------ UnhookWindowsHookEx
| |
| |---[dll]------ SetTimer
| |
| |---[dll]------ KillTimer
| |
| |---[dll]------ GetMappedFileName
| |
| |---[dll]------ ZwSuspendProcess
| |
| |---[dll]------ ZwResumeProcess
| |
| |---[dll]------ OpenProcessToken
| |
| |---[dll]------ LookupPrivilegeValue
| |
| |---[dll]------ AdjustTokenPrivileges
| |
| |---[dll]------ 写内存字节集
| |
| |---[dll]------ 读整数内存_
| |
| |---[dll]------ 读字节集内存_
| |
| |---[dll]------ ReadProcessMemory
| |
| |---[dll]------ GetCurrentProcessId
| |
| |---[dll]------ Process32First
| |
| |---[dll]------ Process32Next
| |
| |---[dll]------ LoadLibraryEx
| |
| |---[dll]------ FreeLibrary
| |
| |---[dll]------ GetProcAddress
| |
| |---[dll]------ VirtualAllocEx
| |
| |---[dll]------ VirtualFreeEx
| |
| |---[dll]------ WriteProcessMemory
| |
| |---[dll]------ lstrcpyn
| |
| |---[dll]------ DuplicateHandle
| |
| |---[dll]------ ZwQueryObject
| |
| |---[dll]------ WideCharToMultiByte
| |
| |---[dll]------ CreateThread
| |
| |---[dll]------ TerminateThread
| |
| |---[dll]------ 写整型内存_
| |
| |---[dll]------ VirtualQueryEx
| |
| |---[dll]------ VirtualProtect
| |
| |---[dll]------ 复制内存文本
| |
| |---[dll]------ 复制内存消息
| |
| |---[dll]------ ImageDirectoryEntryToData
| |
| |---[dll]------ PathFileExists
| |
| |---[dll]------ RtlAdjustPrivilege
| |
| |---[dll]------ CopyMemory
| |
| |---[dll]------ CloseHandle
| |
| |---[dll]------ GetExitCodeThread
| |
| |---[dll]------ LoadLibrary
| |
| |---[dll]------ GetProcessHandleCount
| |
| |---[dll]------ ZwDuplicateObject
| |
| |---[dll]------ GetWindowsDirectory
| |
| |---[dll]------ GetModuleBaseNameA
| |
| |---[dll]------ 写文本内存_
| |
| |---[dll]------ 写字节集内存_
| |
| |---[dll]------ 写整数内存_
| |
| |---[dll]------ VirtualProtectEx
调用的DLL命令:
.DLL命令 GetModuleFileNameEx, 整数型, "Psapi.dll", "GetModuleFileNameExA", , 获得可执行文件的模块路径 失败返回0
.参数 hProcess, 整数型, , 进程句柄
.参数 hModule, 整数型, , 模块句柄
.参数 lpFilename, 文本型, , 缓冲区文本变量
.参数 nSize, 整数型, , 缓冲区文本大小
.DLL命令 EnumProcessModules, 逻辑型, "psapi.dll", , , 枚举进程模块 执行成功返回真,否则返回假
.参数 hProcess, 整数型, , 进程句柄
.参数 lphModule, 整数型, 传址 数组, 指针指向存放模块句柄的数组
.参数 cb, 整数型, , 数组大小
.参数 lpcbNeeded, 整数型, 传址, 返回的实际大小
.DLL命令 GetModuleInformation, 逻辑型, "psapi.dll", , , 获取模块信息并储存在 MODULEINFO 结构
.参数 hProcess, 整数型, , 进程句柄
.参数 hModule, 整数型, , 模块句柄
.参数 lpmodinfo, MODULEINFO, , 获取模块信息并储存在 MODULEINFO 结构
.参数 cb, 整数型, , 结构 MODULEINFO 的大小(以字节计算)。
.DLL命令 CreateToolhelp32Snapshot, 整数型, , , , _创建进程快照,返回快照句柄
.参数 dwFlags, 整数型, , 用来指定“快照”中需要返回的对象,可以是TH32CS_SNAPPROCESS等
.参数 th32ProcessID, 整数型, , 一个进程ID号,用来指定要获取哪一个进程的快照,当获取系统进程列表或获取当前进程快照时可以设为0
.DLL命令 Thread32First, 逻辑型, , , , 第一个线程
.参数 hSnapshot, 整数型, , CreateToolhelp32Snapshot()返回的快照句柄
.参数 lpte, LPTHREADENTRY32, , 指针,指向THREADENTRY32结构。
.DLL命令 Thread32Next, 逻辑型, , , , 下一个线程
.参数 hSnapshot, 整数型
.参数 lpte, LPTHREADENTRY32
.DLL命令 ResumeThread, 整数型, "kernel32.dll", "ResumeThread", , _恢复线程 恢复执行用SuspendThread挂起的一个线程,Long,调用这个函数前的挂起计数。&HFFFFFFFF表示出错。会设置GetLastError
.参数 hThread, 整数型
.DLL命令 SuspendThread, 整数型, "kernel32.dll", "SuspendThread", , 将指定线程的执行挂起 Long,调用这个函数前的挂起计数。&HFFFFFFFF表示出错。会设置GetLastError
.参数 hThread, 整数型
.DLL命令 CreateProcess, 整数型, , "CreateProcessA", , 创建一个新进程(比如执行一个程序) 非零表示成功,零表示失败。
.参数 lpApplicationName, 文本型, , 要执行的应用程序的名字。
.参数 lpCommandLine, 文本型, , 要执行的命令行。
.参数 lpProcessAttributes, 整数型, , SECURITY_ATTRIBUTES,指定一个SECURITY_ATTRIBUTES结构,或传递零值(将参数声明为ByVal As Long,并传递零值)——表示采用不允许继承的默认描述符。该参数定义了进程的security特性
.参数 lpThreadAttributes, 整数型, , SECURITY_ATTRIBUTES,指定一个SECURITY_ATTRIBUTES结构,或传递零值(将参数声明为ByVal As Long,并传递零值)——表示采用不允许继承的默认描述符。该参数定义了进程之主线程的security特性
.参数 bInheritHandles, 整数型, , Long,TRUE表示允许当前进程中的所有句柄都由新建的子进程继承
.参数 dwCreationFlags, 整数型, , CREATE_SUSPENDED=4(立即挂起新进程。除非调用了ResumeThread函数函数,否则它不会恢复运行),为0不挂起
.参数 lpEnvironment, 整数型, , Any,指向一个环境块的指针(环境缓冲区的头一个字符,或者环境块的地址)
.参数 lpCurrentDriectory, 文本型, , String,新进程的当前目录路径。调用函数的时候,可用vbNullString指定当前目录
.参数 lpStartupInfo, STARTUPINFO, 传址, STARTUPINFO,指定一个STARTUPINFO结构,其中包含了创建进程时使用的附加信息
.参数 lpProcessInformation, 进程结构, 传址, PROCESS_INFORMATION,该结构用于容纳新进程的进程和线程标识符。大多数情况下,一旦这个函数返回,父应用程序都会关闭两个句柄。
.DLL命令 GetCurrentProcess, 整数型, , , , 获取当前进程的一个伪句柄 返回自身进程句柄 注:只要当前进程需要一个进程句柄,就可以使用这个伪句柄。该句柄可以复制,但不可继承。不必调用CloseHandle函数来关闭这个句柄
.DLL命令 ZwQueryInformationThread_1, 整数型, "ntdll.dll", "ZwQueryInformationThread", , 查询线程信息
.参数 ThreadHandle, 整数型, , 线程句柄
.参数 ThreadInformationClass, 整数型, , 线程信息类别
.参数 ThreadInformation, 整数型, 传址
.参数 ThreadInformationLength, 整数型, , 线程信息长度
.参数 ReturnLength, 整数型, 传址, 返回字符串长度
.DLL命令 ZwQueryInformationThread_2, , "ntdll.dll", "ZwQueryInformationThread", , 查询线程信息
.参数 ThreadHandle, 整数型, , 线程句柄
.参数 ThreadInformationClass, 整数型, , 线程信息类别
.参数 ThreadInformation, THREAD_BASIC_INFORMATION, , 线程基本信息
.参数 ThreadInformationLength, 整数型, , 线程信息长度
.参数 ReturnLength, 整数型, 传址, 返回字符串长度
.DLL命令 拷贝内存2, 整数型, "kernel32", "RtlMoveMemory", , RtlMoveMemory
.参数 目标数据, 整数型, , lpvDest
.参数 源数据, 字节集, 传址, lpvSource
.参数 尺寸, 整数型, , cbCopy
.DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", , 获取一个应用程序或动态链接库的模块句柄
.参数 lpModuleName, 文本型, , 指定模块名,这通常是与模块的文件名相同的一个名字。
.DLL命令 OpenThread, 整数型, , , , 打开线程
.参数 dwDesiredAccess, 整数型
.参数 bInheritHandle, 逻辑型
.参数 dwThreadId, 整数型
.DLL命令 WaitForSingleObject, 整数型
.参数 hHandle, 整数型
.参数 dwMilliseconds, 整数型
.DLL命令 CreateRemoteThread, 整数型, "kernel32", , , 在另一进程中建立线索
.参数 hProcess, 整数型
.参数 lpThreadAttributes, 整数型
.参数 dwStackSize, 整数型
.参数 lpStartAddress, 整数型
.参数 lpParameter, 整数型
.参数 dwCreationFlags, 整数型
.参数 lpThreadId, 整数型, 传址
.DLL命令 OpenProcess, 整数型, "kernel32", , , 将句柄返回给过程对象
.参数 dwDesiredAccess, 整数型
.参数 bInheritHandle, 整数型
.参数 dwProcessId, 整数型
.DLL命令 CallNextHookEx, 整数型, "user32.dll", "CallNextHookEx", , 传递钩子
.参数 钩子句柄, 整数型
.参数 钩子类型, 整数型
.参数 消息一, 整数型
.参数 消息二, 整数型
.DLL命令 子程序NT, 整数型, "user32.dll", "CallWindowProcA"
.参数 函数入口, 子程序指针
.参数 窗口句柄, 整数型
.参数 消息标识, 整数型
.参数 消息一, 整数型
.参数 消息二, 整数型
.DLL命令 子程序9X, 整数型, "user32.dll", "CallWindowProcA"
.参数 函数入口, 子程序指针
.DLL命令 UnhookWindowsHookEx, 逻辑型, "user32.dll", "UnhookWindowsHookEx", , 卸载钩子
.参数 钩子标识, 整数型
.DLL命令 SetTimer, 整数型, "user32", "SetTimer", , 创建定时器 定时器与易里的时钟组件一样.返回=定时器ID,供 销毁定时器() 使用
.参数 hWnd, 整数型, , 类型为“整数型”。注明:0=不与窗口关联,建议不要关联,定时器与当前线程关联。
.参数 nIDEvent, 整数型, , 类型为“整数型”。注明:0=创建定时器.返回值是ID,可供后期销毁或修改定时器时钟周期用.若传入定时器ID值则修改该时钟周期。
.参数 uElapse, 整数型, , 类型为“整数型”。1000=1秒,单位:毫秒
.参数 lpTimerFunc, 子程序指针, , 类型为“子程序指针”。注明:设定某个无参数无返回值的易子程序为时钟事件接口。
.DLL命令 KillTimer, 整数型, "user32", "KillTimer", , 销毁定时器 销毁一个之前创建的定时器功能
.参数 hwnd, 整数型, , 类型为“整数型”。注明:若创建时用了窗口句柄,这里也得提供那个窗口句柄。
.参数 nIDEvent, 整数型, , 类型为“整数型”。注明:创建定时器时的返回值。
.DLL命令 GetMappedFileName, 整数型, "Psapi.dll", "GetMappedFileNameA", , 取线程信息
.参数 hProcess, 整数型, , 进程句柄
.参数 lpv, 整数型, , 模块地址
.参数 lpFilename, 文本型, , 模块名
.参数 nSize, 整数型, , 大小
.DLL命令 ZwSuspendProcess, , "NTDLL.DLL", , , 暂停
.参数 进程句柄
.DLL命令 ZwResumeProcess, , "NTDLL.DLL", , , 恢复
.参数 进程句柄
.DLL命令 OpenProcessToken, 整数型, , , , _打开令牌对象 advapi32.dll打开过程令牌对象
.参数 ProcessHandle, 整数型, , 进程句柄
.参数 DesiredAccess, 整数型, , 权限
.参数 TokenHandle, 整数型, 传址, 令牌句柄
.DLL命令 LookupPrivilegeValue, 逻辑型, , "LookupPrivilegeValueA", , _取权限令牌 advapi32.dll返回特权名LUID
.参数 lpSystemName, 文本型, , 系统服务名
.参数 lpName, 文本型, , 权限名
.参数 lpLuid, LUID, , 权限结构
.DLL命令 AdjustTokenPrivileges, 逻辑型, , , , _获取令牌特权
.参数 TokenHandle, 整数型
.参数 DisableAllPrivileges, 整数型
.参数 NewState, TOKEN_PRIVILEGES
.参数 BufferLength, 整数型
.参数 PreviousState, 整数型
.参数 ReturnLength, 整数型, 传址
.DLL命令 写内存字节集, 逻辑型, "kernel32.dll", "WriteProcessMemory"
.参数 进程操作句柄, 整数型
.参数 开始写入进址, 整数型, , 内存地址
.参数 写入数值数据, 字节集, 传址, 数据指针
.参数 写入长度, 整数型, , 长度
.参数 实际写入长度, 整数型, , 实际写出长度0
.DLL命令 读整数内存_, 整数型, "kernel32", "ReadProcessMemory", , 在进程中读内存
.参数 hProcess, 整数型
.参数 lpBaseAddress, 整数型, , 内存地址
.参数 lpBuffer, 整数型, 传址, 数据指针
.参数 nSize, 整数型, , 长度
.参数 lpNumberOfBytesWritten, 整数型, , 实际写出长度
.DLL命令 读字节集内存_, 整数型, "kernel32", "ReadProcessMemory", , 在进程中读内存
.参数 hProcess, 整数型
.参数 lpBaseAddress, 整数型, , 内存地址
.参数 lpBuffer, 字节集, 传址, 数据指针
.参数 nSize, 整数型, , 长度
.参数 lpNumberOfBytesWritten, 整数型, , 实际写出长度
.DLL命令 ReadProcessMemory, 逻辑型, "kernel32", "ReadProcessMemory"
.参数 hProcess, 整数型, , 被读内存的进程句柄
.参数 lpBaseAddress, 整数型, , 开始读的地址
.参数 lpBuffer, 字节集, 传址, 用于放数据的缓存地址
.参数 nSize, 整数型, , 读取的字节数
.参数 lpNumberOfBytesWritten, 整数型, 传址, 从文件中实际读入的字符数0
.DLL命令 GetCurrentProcessId, 整数型, "kernel32.dll", "GetCurrentProcessId", 公开, 取自进程ID
.DLL命令 Process32First, 逻辑型, , , , 第一个进程
.参数 hSnapshot, 整数型
.参数 lppe, LPPROCESSENTRY32
.DLL命令 Process32Next, 逻辑型, , , , 下一个进程
.参数 hSnapshot, 整数型
.参数 lppe, LPPROCESSENTRY32
.DLL命令 LoadLibraryEx, 整数型, , "LoadLibraryExA", , 装载指定的动态链接库,并为当前进程把它映射到地址空间。一旦载入,就可以访问库内保存的资源 ,成功则返回库模块的句柄,零表示失败 ;一旦不需要,用FreeLibrary函数释放DLL
.参数 lpLibFileName, 文本型, , 指定要载入的动态链接库的名称。采用与CreateProcess函数的lpCommandLine参数指定的同样的搜索顺序
.参数 hFile, 整数型, , 未用,设为零
.参数 dwFlags, 整数型, , DONT_RESOLVE_DLL_REFERENCES:不对DLL进行初始化,仅用于NT ;LOAD_LIBRARY_AS_DATAFILE:不准备DLL执行。如装载一个DLL只是为了访问它的资源,就可以改善一部分性能 ; LOAD_WITH_ALTERED_SEARCH_PATH:指定搜索的路径
.DLL命令 FreeLibrary, 逻辑型, , , , 释放指定的动态链接库,它们早先是用LoadLibrary API函数装载的 非零表示成功,零表示失败。会设置GetLastError
.参数 hModule, 整数型, , 要释放的一个库句柄 只能用这个函数释放那些由应用程序明确装载的DLL。对LoadLibrary的每一次调用都应该有一个对应的FreeLibrary调用
.DLL命令 GetProcAddress, 整数型, , , , 检索指定的动态链接库(DLL)中的输出库函数地址;如果函数调用成功,返回值是DLL中的输出函数地址;如果函数调用失败,返回值是NULL。
.参数 hModule, 整数型, , 包含此函数的DLL模块的句柄。LoadLibrary、AfxLoadLibrary 或者GetModuleHandle函数可以返回此句柄。
.参数 lpProcName, 文本型, , 包含函数名的以NULL结尾的字符串,或者指定函数的序数值。如果此参数是一个序数值,它必须在一个字的底字节,高字节必须为0。
.DLL命令 VirtualAllocEx, 整数型, , , , 在指定进程的虚拟空间保留或提交内存区域,除非指定MEM_RESET参数,否则将该内存区域置0。 执行成功就返回分配内存的首地址,不成功就是NULL
.参数 hProcess, 整数型, , 申请内存所在的进程句柄。
.参数 lpAddress, 整数型, , 保留页面的内存地址;一般用NULL自动分配 。
.参数 dwSize, 整数型, , 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍
.参数 flAllocationType, 整数型, , MEM_COMMIT:为特定的页面区域分配内存中或磁盘的页面文件中的物理存储;MEM_PHYSICAL :分配物理内存(仅用于地址窗口扩展内存);保留进程的虚拟地址空间,而不分配任何物理存储。保留页面可通过继续调用VirtualAlloc()而被占用 ;MEM_RESET :指明在内存中由参数lpAddress和dwSize指定的数据无效;MEM_TOP_DOWN:在尽可能高的地址上分配内存(Windows 98忽略此标志);MEM_WRITE_WATCH:必须与MEM_RESERVE一起指定,使系统跟踪那些被写入分配区域的页面(仅针对Windows 98);
.参数 flProtect, 整数型, , PAGE_READONLY: 该区域为只读。如果应用程序试图访问区域中的页的时候,将会被拒绝访问PAGE_READWRITE 区域可被应用程序读写;PAGE_EXECUTE: 区域包含可被系统执行的代码。试图读写该区域的操作将被拒绝。PAGE_EXECUTE_READ :区域包含可执行代码,应用程序可以读该区域。PAGE_EXECUTE_READWRITE: 区域包含可执行代码,应用程序可以读写该区域。PAGE_GUARD: 区域第一次被访问时进入一个STATUS_GUARD_PAGE异常,这个标志要和其他保护标志合并使用,表明区域被第一次访问的权限PAGE_NOACCESS: 任何访问该区域的操作将被拒绝PAGE_NOCACHE: RAM中的页映射到该区域时将不会被微处理器缓存(cached)
.DLL命令 VirtualFreeEx, 逻辑型, , , , 在其它进程中释放申请的虚拟内存空间。
.参数 hProcess, 整数型, , 目标进程的句柄。该句柄必须拥有 PROCESS_VM_OPERATION 权限。
.参数 lpAddress, 整数型, , 指向要释放的虚拟内存空间首地址的指针。
.参数 dwSize, 整数型, , 虚拟内存空间的字节数。
.参数 dwFreeType, 整数型, , MEM_DECOMMIT 这种试 仅标示 内存空间不可用,内存页还将存在;MEM_RELEASE这种方式 很彻底,完全回收。
.DLL命令 WriteProcessMemory, 整数型, , , , 此函数能写入某一进程的内存区域。入口区必须可以访问,否则操作将失败;非零值代表成功。
.参数 hProcess, 整数型, , 由OpenProcess返回的进程句柄
.参数 lpBaseAddress, 整数型, , 要写的内存首地址 再写入之前,此函数将线检查目标地址是否可用,并能容纳待写入的数据。
.参数 lpBuffer, 字节集, , 指向要写的数据的指针
.参数 nSize, 整数型, , 要写入的数据的长度
.参数 lpNumberOfBytesWritten, 整数型, 传址, 实际数据的长度
.DLL命令 lstrcpyn, 整数型, , , , 该函数把第二个参数指定的字符串复制到第一个参数指定的字符串,第三个参数指定复制的长度。
.参数 lpString1, 整数型, 传址, 指向一个缓冲区,以存储第二参数的内容。需足够长以容纳第三参数设定的TCHAR值,以及NULL结束符“\0”;
.参数 lpString2, 整数型, 传址, 指向以NULL结尾"\0"的字符串;
.参数 iMaxLength, 整数型, , 指定从第二参数复制至第一参数内容的大小,包括NULL结束符"\0"(谨记bytes字节数对应ANSI 版本以及WCHAR值对应Unicode版本)。
.DLL命令 DuplicateHandle, 逻辑型, , , , 在指出一个现有系统对象当前句柄的情况下,为那个对象创建一个新句柄。当前句柄可能位于一个不同的进程
.参数 hSourceProcessHandle, 整数型, , 拥有源句柄的那个进程的句柄。如源句柄从属于当前进程,则使用GetCurrentProcess
.参数 hSourceHandle, 整数型, , 指定对象的现有句柄。
.参数 hTargetProcessHandle, 整数型, , 即将拥有新对象句柄的一个进程的句柄。如源句柄从属于当前进程,则使用GetCurrentProcess
.参数 lpTargetHandle, 整数型, 传址, 指定用于装载新句柄的一个长整型变量
.参数 dwDesiredAccess, 整数型, , 新句柄要求的security访问级别。如dwOptions已指定了DUPLICATE_SAME_ACCESS,那么忽略这里的设置。可以进行的访问由对象的类型决定,它们在不同系统对象的访问常数表里进行了总结
.参数 bInheritHandle, 逻辑型, , 如新句柄可由hSourceProcessHandle的子进程继承,则为TRUE
.参数 dwOptions, 整数型, , DUPLICATE_SAME_ACCESS 新句柄拥有与原始句柄相同的security访问特征; DUPLICATE_CLOSE_SOURCE 原始句柄已经关闭。即使发生错误。它也要关闭
.DLL命令 ZwQueryObject, 整数型, "ntdll.dll", , , 查询对象句柄的名称信息
.参数 ObjectHandle, 整数型, , 对象句柄
.参数 ObjectInformationClass, 整数型, , 对象信息类别
.参数 ObjectInformation, 字节集, 传址, 对象信息
.参数 Length, 整数型, , 对象长度
.参数 ResultLength, 整数型, 传址, 结果长度
.DLL命令 WideCharToMultiByte, 整数型, , , , 该函数映射一个unicode字符串到一个多字节字符串。
.参数 CodePage, 整数型, , 指定执行转换的代码页,这个参数可以为系统已安装或有效的任何代码页所给定的值。
.参数 dwFlags, 整数型, , 标志
.参数 lpWideCharStr, 字节集, , 指向将被转换的unicode字符串。
.参数 cchWideChar, 整数型, , 指定由参数lpWideCharStr指向的缓冲区的字符个数。如果这个值为-1,字符串将被设定为以NULL为结束符的字符串,并且自动计算长度。
.参数 lpMultiByteStr, 文本型, , 指向接收被转换字符串的缓冲区。
.参数 cchMultiByte, 整数型, , 指定由参数lpMultiByteStr指向的缓冲区最大值(用字节来计量)。若此值为零,函数返回lpMultiByteStr指向的目标缓冲区所必需的字节数,在这种情况下,lpMultiByteStr参数通常为NULL。
.参数 lpDefaultChar, 文本型, , 详情:http://baike.baidu.com/view/2083430.htm#sub2083430
.参数 lpUsedDefaultChar, 整数型
.DLL命令 CreateThread, 整数型, , , , _创建线程
.参数 lpThreadAttributes, 整数型
.参数 dwStackSize, 整数型
.参数 lpStartAddress, 子程序指针
.参数 lpParameter, 整数型
.参数 dwCreationFlags, 整数型
.参数 lpThreadId, 整数型, 传址
.DLL命令 TerminateThread, 逻辑型, , , , 在线程外终止一个线程,用于强制终止线程。
.参数 hThread, 整数型, , 被终止的线程的句柄,为CWinThread指针。
.参数 dwExitCode, 整数型, , 退出码
.DLL命令 写整型内存_, 逻辑型, "kernel32.dll", "WriteProcessMemory"
.参数 进程操作句柄, 整数型
.参数 开始写入进址, 整数型, , 内存地址
.参数 写入数值数据, 整数型, 传址, 数据指针
.参数 写入长度, 整数型, , 长度4
.参数 实际写入长度, 整数型, 传址, 实际写出长度0
.DLL命令 VirtualQueryEx, 整数型, "kernel32.dll", , , 取虚拟保护扩展
.参数 进程操作句柄, 整数型
.参数 起始地址, 整数型
.参数 虚拟保护信息, 虚拟保护信息, 传址
.参数 缓冲长度, 整数型, , 28字节
.DLL命令 VirtualProtect, 整数型, "kernel32.dll", , , 置虚拟保护 成功返回非0,失败返回0
.参数 起始地址, 整数型, , lpAddress
.参数 长度, 整数型, , dwSize
.参数 新保护权限, 整数型, , 可读写权限(PAGE_READWRITE)=4
.参数 旧保护权限, 整数型, 传址, 保存旧属性的结构变量地址
.DLL命令 复制内存文本, 整数型, "kernel32.dll", "RtlMoveMemory"
.参数 目标地址, 文本型, 传址
.参数 源地址, 整数型
.参数 复制长度, 整数型
.DLL命令 复制内存消息, 整数型, "kernel32.dll", "RtlMoveMemory"
.参数 目标地址, 消息
.参数 源地址, 整数型
.参数 复制长度, 整数型
.DLL命令 ImageDirectoryEntryToData, 整数型, "imagehlp.dll", "ImageDirectoryEntryToData", , 取IAT基址
.参数 模块句柄, 整数型, , GetModuleHandle获得
.参数 传入1值, 整数型, , 传入1值
.参数 传入1值, 整数型, , IMAGE_DIRECTORY_ENTRY_IMPORT=1
.参数 IAT结构长度, 整数型, 传址, 长度除以20再减1得到DLL名称数
.DLL命令 PathFileExists, 逻辑型, "shlwapi.dll", "PathFileExistsA", , 检测文件是否存在,0不存在, 1存在
.参数 pszPath, 文本型, , 文件名(含路径)
.DLL命令 RtlAdjustPrivilege, 整数型, "ntdll.dll", , , 提升进程\线程权限
.参数 Privilege, 整数型, , 20:调试 19:关机 18:启动 17:备份
.参数 Enable, 整数型, , 1
&nbs
相关软件
下载说明
注:本站源码主要来源于网络收集。如有侵犯您的利益,请联系我们,我们将及时删除!
部分源码可能含有危险代码,(如关机、格式化磁盘等),请看清代码在运行。
由此产生的一切后果本站均不负责。源码仅用于学习使用,如需运用到商业场景请咨询原作者。
使用本站源码开发的产品均与本站无任何关系,请大家遵守国家相关法律。
推荐排行
-
易语言卷帘工具箱源码
易语言卷帘工具箱源码,初始化卷帘,取星期,更换风格,搜索文件,线程搜索,修改底色,获取信息,取信息记录,取网络信息...
-
易语言仅用核心支持库实
易语言仅用核心支持库实现对外部数据库的操作ADODB操作外部数据库例程源码,根据村组查询数据,数据库_读取数据到高级表格,数据库_保存高级表格数据到数据库,数据库_读取数据到列表...
-
易语言仅用核心支持库实
易语言仅用核心支持库实现对外部数据库的操作ADODB操作外部数据库例程源码,根据村组查询数据,数据库_读取数据到高级表格,数据库_保存高级表格数据到数据库,数据库_读取数据到列表...
-
易语言仅用核心支持库实
易语言仅用核心支持库实现对外部数据库的操作ADODB操作外部数据库例程源码,根据村组查询数据,数据库_读取数据到高级表格,数据库_保存高级表格数据到数据库,数据库_读取数据到列表...
-
易语言两个文件内存中通
易语言两个文件内存中通讯源码,子程序1,打开文件,生成空文件,生成重复字节文件,移到文件首,移到文件尾,移动读写位置,取读写位置,关闭文件,取文件长度,写出字节集,是否在文件尾,取错...
-
易语言易模块管理器Incl
易语言易模块管理器Include目录源码,CopyTo_CreateProcessDebugInfo,CopyTo_CreateThreadDebugInfo,CopyTo_ExitThreadDebugInfo,CopyTo_ExitProcessDebugInfo,CopyTo_LoadDllDebugInfo,CopyTo_UnloadDllDebugInfo,CopyTo_ExceptionDebugInfo,Copy...
-
易语言卷帘工具箱源码
易语言卷帘工具箱源码,初始化卷帘,取星期,更换风格,搜索文件,线程搜索,修改底色,获取信息,取信息记录,取网络信息...
-
文件读写和文件映射模块
子程序1,打开文件,生成空文件,生成重复字节文件,移到文件首,移到文件尾,移动读写位置,取读写位置,关闭文件,取文件长度,写出字节集,是否在文件尾,取错误信息,读入字节集,读入2M字节集,清除文件缓冲区,读入文本,写出文本,写文本行,读入一行,插入字节集,取文件号...
-
怪怪专用工具箱
初始化卷帘,取星期,更换风格,搜索文件,线程搜索,修改底色,获取信息,取信息记录,取网络信息...
随机浏览
最新文档
本周下载排行
- 1 易语言Api访问网页模
- 2 易语言高仿酷狗7列表
- 3 易语言高级对话框V
- 4 易语言开机启动模块
- 5 易语言通用对话框模
- 6 易语言API应用取系统
- 7 易语言DLL隐藏模块源
- 8 易语言取日期时间格
- 9 易语言枚举消息钩子
- 10 易语言超级找图模块
- 11 易语言快速文本类模
- 12 易语言三角函数集模
- 13 易语言DEMO源码,易语言
- 14 易语言树型框API加入
- 15 易语言例程源码,易语
- 16 易语言非真实API模块
- 17 易语言E4A编译模块源
- 18 易语言多线程支持模
- 19 易语言模拟鼠标模块
- 20 易语言逆波兰表达式
