|
|
发表于 2019-4-29 14:51:29
|
显示全部楼层
|阅读模式
新疆维吾尔自治区巴音郭楞蒙古自治州
分享源码
| 界面截图: |
- |
| 是否带模块: |
- |
| 备注说明: |
- |
以下只是适用于 64 位的部分函数,模块中以相同命令形式实现的 32 位命令,这里就不列举了;
辅Zhu函数
fn_WOW64Enabled 如果你在代码中需要使用 64 位汇编或者操作 64 位进程,则初始化时应确保本函数返回真。实际只要是 64 位操作系统,均应返回 真
fn_ProcessIsX64 检测指定进程是否为 64 位进程
fn_CalcModOrFuncHash 使用过动态调用DLL的都清楚取模块基址和函数指针,微软默认使用字符串对比,本模块可使用哈希对比效率和易用上相对提升,本函数用于计算模块或函数哈希
易内部命令
X64Call 调用 64 位函数通用版本
X64MemCopy 同类还有 X64MemCmp 函数;从 64 地址复制数据或 64 位地址与 32 位地址数据对比,但仅限进程内部
X64GetLong64 获取 64 位地址数值,同类函数还有:X64GetLong32、X64GetWord、X64GetByte
X64GetTEB 取当前易程序 64 位 TEB,通过 TEB 再取 PEB,则进程和线程信息以及模块等一览无余了
GetNtdll64 ntdll.dll 在 64 位环境下的内存基址
GetModuleHandleEx64 通过模块哈希值获取其 64 位地址空间的内存基址(易进程而不是外部进程哦);同类还有 GetModuleHandle64
GetProcAddressEx64 通过函数哈希值或函数索引序号获取其 64 位调用地址;同类还有 GetProcAddress64
NtQuerySystemInformation64 cha询系统信息,可获取很多类别信息。这个 API 微软已不推荐使用并给出部分替代 API,但其个别功能十分好用且没用可替代品。cha询系统进程也是最全面的
OpenProcess64 打开进程句柄,关闭进程句柄时使用 CloseHandle64;【v1.1新增】
HeapAlloc64 堆管理函数,同类还有 GetDefaultHeap64/HeapReAlloc64/HeapFree64/HeapSize64;【v1.1新增】
malloc64 简化版默认堆管理函数,同类还有 realloc64/free64
RtlUnicodeToAnsi64 内核实现的 Unicode、Ansi 结构(不是数据指针)管理函数,同类还有:RtlInitAnsiString64/RtlFreeAnsiString64、RtlInitUnicodeString64/RtlFreeUnicodeString64、RtlAnsiToUnicode64;【v1.1新增】
LoadLibraryEx64 可加载任意 64 位 DLL 到当前进程,获取基址及函数地址后进行调用即可;其释放函数为:FreeLibrary64
另,本函数 32 位版本 LoadLibraryEx86/FreeLibrary86 还支持加载 32 位的内存 DLL
外部进程命令
NtQueryProcessPEB64 获取外部 64 位进程PEB
VirtualAllocEx64 在外部 64 位进程分配内存,释放函数为 VirtualFreeEx64
VirtualQueryEx64 cha询外部 64 位进程指定内存区域的状态,一个地址是否能写入最好先测试一下,禁止写的话要更改内存属性才能开始写入
VirtualProtectEx64 更改外部 64 位进程指定内存区域的保护属性
ReadProcessMemory64 读取外部 64 位进程指定区域的内存数据
WriteProcessMemory64 向外部 64 位进程指定内存区域写入数据
NtQueryInformationProcess64 cha询外部 64 位进程信息
GetThreadContext64 获取线程上下文,多用于 SEH,仅供高级用户使用;相应设置函数为 SetThreadContext64
|
|
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
主题置顶卡
沉默卡
变色卡
扫一扫,关注易界动态