如何取子程序的代码字节集？

莉繁

怎么获取子程序的代码字节集

呵呵呵666

莉繁 发表于 2023-9-8 20:30
听不懂思密达

  

子程序名	返回值类型	公开	备 注
取子程序真实地址	整数型
参数名	类 型	参考	可空	数组	备 注
子程序指针	子程序指针

变量名	类 型	静态	数组	备 注
子程序地址	整数型
子程序起始	整数型
偏移	整数型
现行子程序地址	整数型

子程序地址 ＝ 取子程序地址 (子程序指针)
子程序起始 ＝ 子程序地址
判断循环首 (真)
如果 (指针到字节集 (子程序起始, 1) ＝ { 232 })
子程序起始 ＝ 子程序起始 ＋ 1
偏移 ＝ 指针到整数 (子程序起始)
子程序起始 ＝ 子程序起始 ＋ 4
现行子程序地址 ＝ 子程序起始 ＋ 偏移
如果 (指针到字节集 (现行子程序地址, 3) ＝ { 85, 139, 236 })
跳出循环 ()
子程序起始 ＝ 子程序起始 － 4
到循环尾 ()


子程序起始 ＝ 子程序起始 ＋ 1

判断循环尾 ()
现行子程序地址 ＝ 子程序起始 ＋ 偏移
返回 (现行子程序地址)

子程序名	返回值类型	公开	备 注
取子程序代码长度	整数型		返回子程序真实地址的字节集代码长度
参数名	类 型	参考	可空	数组	备 注
指针	子程序指针
原代码字节集数据	字节集				指针到字节集
原数据长度	整数型				指针到字节集的长度，自己设置，这里例如设置为1000
子程序是否有参数	逻辑型

变量名	类 型	静态	数组	备 注
局_子程序真实地址	整数型
局_全长度	整数型

局_子程序真实地址 ＝ 取子程序真实地址 (指针)
原代码字节集数据 ＝ 指针到字节集 (局_子程序真实地址, 原数据长度)
' 调试输出 (原代码字节集数据)
局_全长度 ＝ 寻找字节集 (原代码字节集数据, { 139, 229, 93 }, )
如果真 (局_全长度 ＝ -1)
信息框 (“长度不够,请调整长度”, 0, , )
返回 (-1)

如果 (子程序是否有参数 ＝ 假)
局_全长度 ＝ 到整数 (局_全长度 ＋ 4 － 1)  ' 子程序结束标识{ 139, 229, 93 }+{195}== 4 //4- 1(寻找到的位置占1)
局_全长度 ＝ 到整数 (局_全长度 ＋ 6 － 1)  ' 子程序结束标识{ 139, 229, 93 }+{194,x,0}== 6//6- 1(寻找到的位置占1)
返回 (局_全长度)
' /////易语言子程序开头标识
' { 85,139,236}
' push ebp
' mov ebp , esp
' /////易语言子程序结尾标识
' {139,229,93}
' mov esp , ebp
' pop ebp
' 注意
' 子程序若无参数则+{195}
' 子程序若有参数则+{194,x,0}

子程序名	返回值类型	公开	备 注
Make_ShellCode	字节集
参数名	类 型	参考	可空	数组	备 注
函数地址	子程序指针				填你要取的子程序的指针
是否含有参数	逻辑型				默认没有

变量名	类 型	静态	数组	备 注
Code	字节集
CodeLen	整数型
CodeAdd	整数型

CodeLen ＝ 取子程序代码长度 (函数地址, Code, 1024, 选择 (是否为空 (是否含有参数), 假, 是否含有参数))
CodeAdd ＝ 取子程序真实地址 (函数地址)
返回 (指针到字节集 (CodeAdd, CodeLen))

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 取子程序真实地址, 整数型<br /> .参数 子程序指针, 子程序指针<br /> .局部变量 子程序地址, 整数型<br /> .局部变量 子程序起始, 整数型<br /> .局部变量 偏移, 整数型<br /> .局部变量 现行子程序地址, 整数型<br /> <br /> 子程序地址 ＝ 取子程序地址 (子程序指针)<br /> 子程序起始 ＝ 子程序地址<br /> .判断循环首 (真)<br />     .如果 (指针到字节集 (子程序起始, 1) ＝ { 232 })<br />         子程序起始 ＝ 子程序起始 ＋ 1<br />         偏移 ＝ 指针到整数 (子程序起始)<br />         子程序起始 ＝ 子程序起始 ＋ 4<br />         现行子程序地址 ＝ 子程序起始 ＋ 偏移<br />         .如果 (指针到字节集 (现行子程序地址, 3) ＝ { 85, 139, 236 })<br />             跳出循环 ()<br />         .否则<br />             子程序起始 ＝ 子程序起始 － 4<br />             到循环尾 ()<br />         .如果结束<br /> <br /> <br />     .否则<br />         子程序起始 ＝ 子程序起始 ＋ 1<br />     .如果结束<br /> <br /> .判断循环尾 ()<br /> 现行子程序地址 ＝ 子程序起始 ＋ 偏移<br /> 返回 (现行子程序地址)<br /> <br /> <br /> .子程序 取子程序代码长度, 整数型, , 返回子程序真实地址的字节集代码长度<br /> .参数 指针, 子程序指针<br /> .参数 原代码字节集数据, 字节集, , 指针到字节集<br /> .参数 原数据长度, 整数型, , 指针到字节集的长度，自己设置，这里例如设置为1000<br /> .参数 子程序是否有参数, 逻辑型<br /> .局部变量 局_子程序真实地址, 整数型<br /> .局部变量 局_全长度, 整数型<br /> <br /> 局_子程序真实地址 ＝ 取子程序真实地址 (指针)<br /> 原代码字节集数据 ＝ 指针到字节集 (局_子程序真实地址, 原数据长度)<br /> ' 调试输出 (原代码字节集数据)<br /> 局_全长度 ＝ 寻找字节集 (原代码字节集数据, { 139, 229, 93 }, )<br /> .如果真 (局_全长度 ＝ -1)<br />     信息框 (“长度不够,请调整长度”, 0, , )<br />     返回 (-1)<br /> .如果真结束<br /> <br /> .如果 (子程序是否有参数 ＝ 假)<br />     局_全长度 ＝ 到整数 (局_全长度 ＋ 4 － 1)  ' 子程序结束标识{ 139, 229, 93 }+{195}== 4 //4- 1(寻找到的位置占1)<br /> .否则<br />     局_全长度 ＝ 到整数 (局_全长度 ＋ 6 － 1)  ' 子程序结束标识{ 139, 229, 93 }+{194,x,0}== 6//6- 1(寻找到的位置占1)<br /> <br /> .如果结束<br /> 返回 (局_全长度)<br /> <br /> ' /////易语言子程序开头标识<br /> ' { 85,139,236}<br /> ' push ebp<br /> ' mov ebp , esp<br /> ' /////易语言子程序结尾标识<br /> ' {139,229,93}<br /> ' mov esp , ebp<br /> ' pop ebp<br /> ' 注意<br /> ' 子程序若无参数则+{195}<br /> ' 子程序若有参数则+{194,x,0}<br /> <br /> <br /> .子程序 Make_ShellCode, 字节集<br /> .参数 函数地址, 子程序指针, , 填你要取的子程序的指针<br /> .参数 是否含有参数, 逻辑型, 可空, 默认没有<br /> .局部变量 Code, 字节集<br /> .局部变量 CodeLen, 整数型<br /> .局部变量 CodeAdd, 整数型<br /> <br /> CodeLen ＝ 取子程序代码长度 (函数地址, Code, 1024, 选择 (是否为空 (是否含有参数), 假, 是否含有参数))<br /> CodeAdd ＝ 取子程序真实地址 (函数地址)<br /> 返回 (指针到字节集 (CodeAdd, CodeLen))

LWB666

ctrl+c

莉繁

LWB666 发表于 2023-9-5 21:01
ctrl+c

我要的是字节集啊

鹏书

莉繁 发表于 2023-9-5 21:02
我要的是字节集啊

你以为是汇编代码呢，汇编才能变成字节集

莉繁

鹏书 发表于 2023-9-5 21:04
你以为是汇编代码呢，汇编才能变成字节集

好的，已知晓

呵呵呵666

取一下子程序的真实指针然后内存拷贝一下，给子程序对应的汇编代码拷贝出来就行了

莉繁

呵呵呵666 发表于 2023-9-5 22:18
取一下子程序的真实指针然后内存拷贝一下，给子程序对应的汇编代码拷贝出来就行了 ...

听不懂思密达

莉繁

呵呵呵666 发表于 2023-9-8 20:53
[e=4].版本 2
.支持库 spec

有实力

莉繁

呵呵呵666 发表于 2023-9-8 20:53

  

[/quote]
[e=1].版本 2

子程序名	返回值类型	公开	备 注
xxk

信息框 (“1”, 0, , )
' {85,139,236,187,6,0,0,0,232,121,246,255,255,104,1,3,0,128,106,0,104,0,0,0,0,104,4,0,0,128,106,0,104,174,1,93,0,104,4,0,0,0,187,0,3,0,0,232,190,9,0,0,131,196,52,139,229,93,195}

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec</blockquote></div><br /> [e=1].版本 2<br /> <br /> .子程序 xxk<br /> <br /> 信息框 (“1”, 0, , )<br /> ' {85,139,236,187,6,0,0,0,232,121,246,255,255,104,1,3,0,128,106,0,104,0,0,0,0,104,4,0,0,128,106,0,104,174,1,93,0,104,4,0,0,0,187,0,3,0,0,232,190,9,0,0,131,196,52,139,229,93,195}

为什么我置入代码没有信息框捏？大佬