易写 64 位子程序|易读写 64 位进程 - eWOW64Ext 模块纯源码

npzs

首发精易。

本模块的核心作用简单描述是：允许你在一个易语言子程序内进入 64 位环境！
也就是：wow 环境 -> 进入 x64 环境 -> x64 函数调用 或 x64 汇编代码 -> 退出 x64 环境 -> wow 环境，以上必须在一个子程序内完成；
简述：其实这种技术多年前就有，易语言上也有类似的模块，个别模块是有误的，还有的长期未更新或优化，也有可用但总有与处理器优化手册上规则相悖的代码，总之都不能令我满意，因此自己从头编写了这样一个模块，部分实现代码借鉴 wow64ext，在此感谢 rewolf。
原理：wow64 是在 64 位操作系统上允许 32 位程序（比如易编译的程序）执行的模拟器子系统，在 64 位操作系统中，不管你的程序是 32 还是 64 位的，其实都存在两个地址空间，正常情况下 32 位程序访问的自然是 32 位的地址空间，而 64 位程序访问其 64 位地址空间。
但是这两个空间是同时存在且可以切换的，本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用（注：此基址是 64 位的，与平常获取的 32 位模块基址截然不同）；

扩展延申功能：

1、可以直接使用 64 位函数自由读写（注入） 64 位进程，与很多模块调用 NtWow64xxx 系列函数实现的方式有本质不同；
2、正是由于其原理本模块允许你的易程序使用 64 位 ntdll.dll 的所有函数，也就是你虽然开发的是 32 位程序，但可以实现很多 64 位函数所能实现的功能；
3、我公开了部分常用函数可直接调用，其余函数获取地址后，使用 X64Call 这个通用函数调用即可；
4、通过本模块的框架代码，可以轻松在易语言中实现 x64 汇编的置入代码；与很多语言不同，易的置入代码接受的是硬编码（即编译后的 opcode）而不是汇编助记符，虽然直观性没有了，但可以使我们更灵活的在一段子程序中使用 x86/x64 混编，也就是你可以使用 64 位的通用寄存器来编写 x64 汇编而不必使用 REX 前缀；
5、后续会考虑增加必要的功能，根据易友的反馈；
6、本模块按使用难易度划分的话，属于中高级用户群，如果 Win32 API 都用不明白的怕是意义不大；
7、稍后会开发个给初中级用户便捷使用的中文版 x86/x64 通用进程读写模块，如果需要的人多的话；
8、如有 BUG，请提供错误重现代码及执行环境，如非不可抗因素我都会及时更新的；

模块部分命令简述：

辅Zhu函数：

  

子程序名	返回值类型	公开	备 注
fn_WOW64Enabled	逻辑型		如果你在代码中需要使用 64 位汇编或者操作 64 位进程，则初始化时应确保本函数返回真。实际只要是 64 位操作系统，均应返回 真；

子程序名	返回值类型	公开	备 注
fn_ProcessIsX64	逻辑型		检测指定进程是否为 64 位进程

子程序名	返回值类型	公开	备 注
fn_CalcModOrFuncHash	整数型		使用过动态调用DLL的都清楚取模块基址和函数指针，微软默认使用字符串对比，本模块可使用哈希对比效率和易用上相对提升，本函数用于计算模块或函数哈希

.版本 2<br /> <br /> .子程序 fn_WOW64Enabled, 逻辑型, , 如果你在代码中需要使用 64 位汇编或者操作 64 位进程，则初始化时应确保本函数返回真。实际只要是 64 位操作系统，均应返回 真；<br /> <br /> <br /> <br /> .子程序 fn_ProcessIsX64, 逻辑型, , 检测指定进程是否为 64 位进程<br /> <br /> <br /> <br /> .子程序 fn_CalcModOrFuncHash, 整数型, , 使用过动态调用DLL的都清楚取模块基址和函数指针，微软默认使用字符串对比，本模块可使用哈希对比效率和易用上相对提升，本函数用于计算模块或函数哈希

易内部命令：

  

子程序名	返回值类型	公开	备 注
X64Call	长整数型		调用 64 位函数，进程内外均可；实际我在项目中均是针对单独功能单独编写调用以提升效率，本函数仅供缺乏汇编知识的用户通用

子程序名	返回值类型	公开	备 注
X64MemCopy			同类还有 X64MemCmp 函数；从 64 地址复制数据或 64 位地址与 32 位地址数据对比，但仅限进程内部

子程序名	返回值类型	公开	备 注
X64GetLong64	长整数型		获取 64 位地址数值，同类函数还有：X64GetLong32、X64GetWord、X64GetByte

子程序名	返回值类型	公开	备 注
X64GetTEB	长整数型		取当前易程序 64 位 TEB，通过 TEB 再取 PEB，则进程和线程信息以及模块等一览无余了

子程序名	返回值类型	公开	备 注
GetNtdll64	长整数型		ntdll.dll 在 64 位环境下的内存基址，其实在易中进行 64 位编程主要就靠它的函数了，因为 kernel32 是获取不到的

子程序名	返回值类型	公开	备 注
GetModuleHandleEx64	长整数型		通过模块哈希值获取其 64 位地址空间的内存基址（易进程而不是外部进程哦）；同类还有 GetModuleHandle64、GetProcAddress64、GetProcAddressEx64

子程序名	返回值类型	公开	备 注
NtQuerySystemInformation64	整数型		cha询系统信息，可获取很多类别信息。这个 API 微软已不推荐使用并给出部分替代 API，但其个别功能十分好用且没用可替代品。cha询系统进程也是最全面的

.版本 2<br /> <br /> .子程序 X64Call, 长整数型, , 调用 64 位函数，进程内外均可；实际我在项目中均是针对单独功能单独编写调用以提升效率，本函数仅供缺乏汇编知识的用户通用<br /> <br /> <br /> <br /> .子程序 X64MemCopy, , , 同类还有 X64MemCmp 函数；从 64 地址复制数据或 64 位地址与 32 位地址数据对比，但仅限进程内部<br /> <br /> <br /> <br /> .子程序 X64GetLong64, 长整数型, , 获取 64 位地址数值，同类函数还有：X64GetLong32、X64GetWord、X64GetByte<br /> <br /> <br /> <br /> .子程序 X64GetTEB, 长整数型, , 取当前易程序 64 位 TEB，通过 TEB 再取 PEB，则进程和线程信息以及模块等一览无余了<br /> <br /> <br /> <br /> .子程序 GetNtdll64, 长整数型, , ntdll.dll 在 64 位环境下的内存基址，其实在易中进行 64 位编程主要就靠它的函数了，因为 kernel32 是获取不到的<br /> <br /> <br /> <br /> .子程序 GetModuleHandleEx64, 长整数型, , 通过模块哈希值获取其 64 位地址空间的内存基址（易进程而不是外部进程哦）；同类还有 GetModuleHandle64、GetProcAddress64、GetProcAddressEx64<br /> <br /> <br /> <br /> .子程序 NtQuerySystemInformation64, 整数型, , cha询系统信息，可获取很多类别信息。这个 API 微软已不推荐使用并给出部分替代 API，但其个别功能十分好用且没用可替代品。cha询系统进程也是最全面的

外部进程命令：

  

子程序名	返回值类型	公开	备 注
NtQueryProcessPEB64	长整数型		获取外部 64 位进程PEB

子程序名	返回值类型	公开	备 注
VirtualAllocEx64	长整数型		在外部 64 位进程分配内存，释放函数为 VirtualFreeEx64

子程序名	返回值类型	公开	备 注
VirtualQueryEx64	整数型		cha询外部 64 位进程指定内存区域的状态

子程序名	返回值类型	公开	备 注
VirtualProtectEx64	逻辑型		更改外部 64 位进程指定内存区域的保护属性

子程序名	返回值类型	公开	备 注
ReadProcessMemory64	逻辑型		读取外部 64 位进程指定区域的内存数据

子程序名	返回值类型	公开	备 注
WriteProcessMemory64	逻辑型		向外部 64 位进程指定内存区域写入数据

子程序名	返回值类型	公开	备 注
NtQueryInformationProcess64	整数型		cha询外部 64 位进程信息

子程序名	返回值类型	公开	备 注
GetThreadContext64	逻辑型		获取线程上下文，多用于 SEH，仅供高级用户使用；相应设置函数为 SetThreadContext64

.版本 2<br /> <br /> .子程序 NtQueryProcessPEB64, 长整数型, , 获取外部 64 位进程PEB<br /> <br /> <br /> <br /> .子程序 VirtualAllocEx64, 长整数型, , 在外部 64 位进程分配内存，释放函数为 VirtualFreeEx64<br /> <br /> <br /> <br /> .子程序 VirtualQueryEx64, 整数型, , cha询外部 64 位进程指定内存区域的状态<br /> <br /> <br /> <br /> .子程序 VirtualProtectEx64, 逻辑型, , 更改外部 64 位进程指定内存区域的保护属性<br /> <br /> <br /> <br /> .子程序 ReadProcessMemory64, 逻辑型, , 读取外部 64 位进程指定区域的内存数据<br /> <br /> <br /> <br /> .子程序 WriteProcessMemory64, 逻辑型, , 向外部 64 位进程指定内存区域写入数据<br /> <br /> <br /> <br /> .子程序 NtQueryInformationProcess64, 整数型, , cha询外部 64 位进程信息<br /> <br /> <br /> <br /> .子程序 GetThreadContext64, 逻辑型, , 获取线程上下文，多用于 SEH，仅供高级用户使用；相应设置函数为 SetThreadContext64

以上只是适用于 64 位的部分函数，同样我在模块中也实现了大多数命令相同形式的 32 位命令，用于操作 32 位进程，合计公开函数有 50 多个，这里就不列举了；

编写 64 位汇编（供汇编爱好者使用）：
模块公开了几个 汇编代码 常量：
#X64_Start - 进入 x64 环境
#X64_End - 退出 x64 环境

  

子程序名	返回值类型	公开	备 注
编写x64汇编框架			返回值不限制，同 x86 相同

' 如果本子程序中需要调用 64 位函数，则此时应保存 fs 寄存器及对齐栈顶，可参考源码中的 #X64_SaveFs
置入代码 ( #X64_Start )
' 在此区域内可使用 64 位纯汇编代码
置入代码 ( #X64_End )  ' #X64_End 与 #X64_Start 必须在同一个子程序中成对使用
' 如果本子程序中需要调用 64 位函数，则此时应恢复 ss/fs 寄存器，可参考源码中的 #X64_RestoreFs
' 然后就是 x86 中的平栈返回或者由易子程序返回

.版本 2<br /> <br /> .子程序 编写x64汇编框架, , , 返回值不限制，同 x86 相同<br /> <br /> ' 如果本子程序中需要调用 64 位函数，则此时应保存 fs 寄存器及对齐栈顶，可参考源码中的 #X64_SaveFs<br /> <br /> 置入代码 (#X64_Start)<br /> ' 在此区域内可使用 64 位纯汇编代码<br /> <br /> 置入代码 (#X64_End)  ' #X64_End 与 #X64_Start 必须在同一个子程序中成对使用<br /> <br /> ' 如果本子程序中需要调用 64 位函数，则此时应恢复 ss/fs 寄存器，可参考源码中的 #X64_RestoreFs<br /> ' 然后就是 x86 中的平栈返回或者由易子程序返回

其他：
由于本模块并非提供给初级用户使用，因此没有写太详尽的 demo，只提供了一份编写测试时用于测试的 test，参考其代码可获得模块使用方法；

开源协yi：
本模块源代码核心来源于 rewolf-wow64ext，为尊重其劳动成果，沿用其 LGPL 3.0 开源许可证；
你可以将本模块源代码随意用于免费或商业软件；你也可以自由修改源代码，但公开发布应予以保留原作者署名；

关于赞助：
本人从 04 年左右开始接触易语言，随着技术的不断进步，近期特别热衷于编写底层高效的模块、支持库等；当然这离不开汇编，从最开始的自学能取个指针，到后来我把很多 C/C++ 开源模块以汇编形式转成了易，再后来通读了 Intel 开发手册和优化手册后又发现，在汇编代码的指令选用及语句顺序、分支跳转上还有那么多可优化的方面，因此最近这段时间就想把以前的代码重新整理出来；
因为大多数是成熟稳定的开源代码，我也秉承其开源精神，准备无偿发布给有需要的易友使用，为易语言略尽绵力；
每次公开的源码可以说只是相对一部分的功能而不是完整软件，或者您认为这没什么价值，这也是仁者见仁智者见智吧；高效稳定的模块或支持库下编写的软件，相信会对开发者甚至易语言都是个好的开始；
但不得不说这是个相当耗时且没用回报的工作，仅仅是出于个人爱好，我现在几乎很少接单做成品软件了，可毕竟要生活，如果这份源码您用的上并且也给您带来部分利益，我接受任何形式的打赏与赞助（点击下方“打赏”按钮选择适合您的方式即可），以便我有更多时间和精力整理余下的源码；
当然如果您只希望无偿使用，只要好用以后能点个赞，我也倍感欣慰！凡是交易币/微信/zfb打赏的用户可私信索取我的联系方式！
enjoy it!

npzs(shier2817) 2019-02-22 于大连

eWOW64Ext.rar (289.39 KB, 下载次数: 503)

2019-2-22 15:37 上传

点击文件名下载附件
源码+test+许可
阅读权限: 10



补充内容 (2019-3-3 00:07):
本贴停用，新版本 - https://bbs.125.la/forum.php?mod=viewthread&tid=14322538

补充内容 (2019-3-6 15:45):
该版本停用，新版本 - https://bbs.125.la/forum.php?mod=viewthread&tid=14322538

补充内容 (2019-3-12 18:36):
本版已废弃，最新版本：https://bbs.125.la/thread-14328825-1-1.html

wnorrisw

666666666666666

wxhpk9999

6666666666666666666666666666666

Sy童话

大佬有实力

xxsldk

学习一下

cysimeon

感谢分享，很给力！

cauror

这个版本不是很牛

cauror

你很强知道吗神人

a46213599

虽然看不懂但是感觉牛逼

骄傲1882

谢谢！！！！！！！！！！！！！！！

VerygoodZzZ

感谢分享