易语言进程隐藏模块源码 _易语言源码网_易语言资源网

当前位置：首页 > 系统II类源码 > 模块控件源码易语言进程隐藏模块源码

易语言进程隐藏模块源码

软件授权：

开源软件
软件大小：

7.86 KB
文件类型：

.zip,.e
下载次数：
上传用户：
心脏
发布时间：
2018-10-24 13:19
软件等阶：
运行环境：
Winall,Win2003,WinXP,Win7,Win8
软件评级：

源码下载

软件介绍

易语言进程隐藏模块源码

系统结构:GetModuleListAddress,枚举模块,GetDword,GetWord,GetByte,SetDword,隐藏进程,GetEProcess,十六文本至长整数,ReadMemory,WriteMemory,ZwQueryInformationProcess,OpenProcess,CloseHandle,WideCharToMultiByte,LocalAlloc,LocalFree,VirtualProtect,RtlAdjustPrivilege,GetCurrentProcess,OpenProcessToken,api_GetCurrentProcess,api_OpenProcessToken,GetCurrentProcessId,ZwQuerySystemInformation,取指针_字节集,RtlMoveMemory2,RtlMoveMemory3,StrToInt64ExA,NtSystemDebugControl,

易语言进程隐藏模块源码

调用的DLL命令:

.DLL命令 ZwQueryInformationProcess, 整数型, "NTDLL.DLL"
    .参数 ProcessHandle, 整数型
    .参数 ProcessInformationClass, 整数型, , PROCESSINFOCLASS
    .参数 ProcessInformation, 字节集
    .参数 ProcessInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令 OpenProcess, 整数型, "kernel32.dll", "OpenProcess"
    .参数 dwDesiredAccess, 整数型
    .参数 bInheritHandle, 整数型, , 是否继承
    .参数 dwProcessId, 整数型

.DLL命令 CloseHandle, 整数型, , "CloseHandle"
.参数 hwnd, 整数型

.DLL命令 WideCharToMultiByte, 整数型, "kernel32.dll", "WideCharToMultiByte", , 宽字符到双字节   映射一个unicode字符串到一个多字节字符串      如果函数运行成功，并且cchMultiByte不为零，返回值是由 lpMultiByteStr指向的缓冲区中写入的字节数；如果函数运行成功，并且cchMultiByte为零，返回值是接收到待转换字符串的缓冲区所必需的字节数。如果函数运行失败，返回值为零。
    .参数 CodePage, 整数型, , 代码页   指定执行转换的代码页，这个参数可以为系统已安装或有效的任何代码页所给定的值。
    .参数 dwFlags, 整数型, , 标志     在指定处理映射字符。函数更迅速地执行这些标志时，没有设置。下列标志常量的定义。
    .参数 lpWideCharStr, 整数型, , 宽字符文本   指向将被转换的unicode字符串
    .参数 cchWideChar, 整数型, , 宽字符文本长度    指定由参数lpWideCharStr指向的缓冲区的字符个数。如果这个值为-1，字符串将被设定为以NULL为结束符的字符串，并且自动计算长度
    .参数 lpMultiByteStr, 整数型, , 双字节文本     指向接收被转换字符串的缓冲区
    .参数 cchMultiByte, 整数型, , 双字节文本长度    指定由参数lpMultiByteStr指向的缓冲区最大值（用字节来计量）。若此值为零，函数返回lpMultiByteStr指向的目标缓冲区所必需的字节数，在这种情况下，lpMultiByteStr参数通常为NULL
    .参数 lpDefaultChar, 整数型, , 默认文本       只有当WideCharToMultiByte函数遇到一个宽字节字符，而该字符在uCodePage参数标识的代码页中并没有它的表示法时，WideCharToMultiByte函数才使用这两个参数。如果宽字节字符不能被转换，该函数便使用lpDefaultChar参数指向的字符。如果该参数是NULL（这是大多数情况下的参数值），那么该函数使用系统的默认字符。该默认字符通常是个问号。这对于文件名来说是危险的，因为问号是个通配符。pfUsedDefaultChar参数指向一个布尔变量，如果Unicode字符串中至少有一个字符不能转换成等价多字节字符，那么函数就将该变量置为TRUE。如果所有字符均被成功地转换，那么该函数就将该变量置为FALSE。当函数返回以便检查宽字节字符串是否被成功地转换后，可以测试该变量
    .参数 lpUsedDefaultChar, 整数型, , 使用默认文本   只有当WideCharToMultiByte函数遇到一个宽字节字符，而该字符在uCodePage参数标识的代码页中并没有它的表示法时，WideCharToMultiByte函数才使用这两个参数。如果宽字节字符不能被转换，该函数便使用lpDefaultChar参数指向的字符。如果该参数是NULL（这是大多数情况下的参数值），那么该函数使用系统的默认字符。该默认字符通常是个问号。这对于文件名来说是危险的，因为问号是个通配符。pfUsedDefaultChar参数指向一个布尔变量，如果Unicode字符串中至少有一个字符不能转换成等价多字节字符，那么函数就将该变量置为TRUE。如果所有字符均被成功地转换，那么该函数就将该变量置为FALSE。当函数返回以便检查宽字节字符串是否被成功地转换后，可以测试该变量

.DLL命令 LocalAlloc, 整数型, "kernel32", "LocalAlloc", , 应该是申请内存，，在同一段内分配内存. 返回个类似句柄的把
.参数 wFlags, 整数型
.参数 wBytes, 整数型

.DLL命令 LocalFree, 整数型, "kernel32", "LocalFree", , 释放内存
.参数 hMem, 整数型, , 句柄

.DLL命令 VirtualProtect, 逻辑型, , "VirtualProtect", , 变更认可页面区域上的保护
    .参数 lpAddress, 整数型
    .参数 dwSize, 整数型
    .参数 flNewProtect, 整数型
    .参数 lpflOldProtect, 整数型, 传址

.DLL命令 RtlAdjustPrivilege, 整数型, "ntdll.dll", "RtlAdjustPrivilege"
    .参数 Privilege, 整数型, , 所需要的权限名称
    .参数 Enable, 整数型, , 如果为True 就是打开相应权限，如果为False 则是关闭相应权限
    .参数 CurrentThread, 整数型, , 如果为True 则仅提升当前线程权限，否则提升整个进程的权限
    .参数 Enabled, 整数型, 传址, 输出原来相应权限的状态  打开|关闭

.DLL命令 GetCurrentProcess, 整数型, "kernel32.dll", "GetCurrentProcess"

.DLL命令 OpenProcessToken, 整数型, "advapi32.dll", "OpenProcessToken"
    .参数 ProcessHandle, 整数型
    .参数 DesiredAccess, 整数型
    .参数 TokenHandle, 整数型, 传址

.DLL命令 api_GetCurrentProcess, 整数型, "kernel32.dll", "GetCurrentProcess"

.DLL命令 api_OpenProcessToken, 整数型, "advapi32.dll", "OpenProcessToken"
    .参数 ProcessHandle, 整数型
    .参数 DesiredAccess, 整数型
    .参数 TokenHandle, 整数型, 传址

.DLL命令 GetCurrentProcessId, 整数型, "kernel32.dll", "GetCurrentProcessId"

.DLL命令 ZwQuerySystemInformation, 整数型, "ntdll.dll", "ZwQuerySystemInformation"
    .参数 SystemInformationClass, 整数型, , 未知类型：SYSTEM_INFORMATION_CLASS。
    .参数 SystemInformation, 整数型, , any
    .参数 SystemInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令取指针_字节集, 整数型, , "lstrcpyn"
    .参数欲取其指针, 字节集, 传址
    .参数欲取其指针, 字节集, 传址
    .参数保留, 整数型, , 0

.DLL命令 RtlMoveMemory2, 整数型, , "RtlMoveMemory"
    .参数 dest, SYSTEM_HANDLE_INFORMATION
    .参数 Source, 整数型
    .参数 len, , , 284

.DLL命令 RtlMoveMemory3, 整数型, , "RtlMoveMemory"
    .参数 dest, 整数型, 传址
    .参数 Source, 整数型
    .参数 len, , , 4

.DLL命令 StrToInt64ExA, 整数型, "shlwapi.dll", "StrToInt64ExA", , 64-bit integer
    .参数 pszString, 文本型
    .参数 dwFlags, 整数型, , 1为16进制，0为10进制
    .参数 piRet, 长整数型, 传址

.DLL命令 NtSystemDebugControl, 整数型, "ntdll.dll", "NtSystemDebugControl"
    .参数 Command, 整数型, , 8
    .参数 InputBuffer, 字节集
    .参数 InputBufferLength, 整数型
    .参数 OutputBuffer, 整数型
    .参数 OutputBufferLength, 整数型
    .参数 ReturnLength, 整数型, 传址

下载说明

本站目前主要提供易语言源码、模块、支持库等下载大部分源码均为ZIP打包,
注:本站源码主要来源于网络收集。如有侵犯您的利益，请联系我们，我们将及时删除！
部分源码可能含有危险代码，（如关机、格式化磁盘等），请看清代码在运行。
由此产生的一切后果本站均不负责。源码仅用于学习使用，如需运用到商业场景请咨询原作者。
使用本站源码开发的产品均与本站无任何关系，请大家遵守国家相关法律。