Nt_Executable_* - Routine

666VIP1

1. .版本 2
   
2. 
   
3. .程序集变量 函数句柄
   
4. .局部变量 name
   
5. .局部变量 namelen
   
6. .局部变量 Unicode
   
7. .局部变量 Unicodelen
   
8. .局部变量 pUnicodelen
   
9. .局部变量 h
   
10. .局部变量 punicode_string, 长整数型
    
11. .局部变量 ansi_string, 长整数型
    
12. .局部变量 SYSTEM_MODULE_INFORMATION
    
13. .局部变量 MODULE_
    
14. .局部变量 SYSTEM_MODULE
    
15. .局部变量 i
    
16. .局部变量 j
    
17. .局部变量 RequiredSize
    
18. .局部变量 zwzz, 字节集
    
19. 
    
20. name ＝ Asm_GetDataH (“kernelbase.dll”)  ' 定义Ansi编码 取其指针 因为存在整体中无法释放
    
21. namelen ＝ Asm_len (name)  ' 取A编码长度
    
22. 
    
23. Unicodelen ＝ Asm_mul (Asm_len (name), 2)  ' 取A编码长度*2=Unicodelen
    
24. Unicode ＝ Nt_Heap_RtlAllocateHeap (g_heap, 位或 (#HEAP_ZERO_MEMORY, #HEAP_GENERATE_EXCEPTIONS), Unicodelen)  ' 申请相应长度内存
    
25. Nt_Trans_RtlMultiByteToUnicodeN (Unicode, Unicodelen, Asm_GetH (pUnicodelen), name, namelen)  ' 传入地址转换编码
    
26. 
    
27. Asm_writeWord_1 (punicode_string, pUnicodelen)
    
28. Asm_writeWord__1 (punicode_string, 2, pUnicodelen)
    
29. Asm_writeDword__1 (punicode_string, 4, Unicode)
    
30. 
    
31. .如果真 (Nt_Executable_LdrLoadDll (#NULL, 0, Asm_GetH (punicode_string), Asm_GetH (h)) ≠ 0)  ' DONT_* & LOAD_*。
    
32.     输出调试文本 (“加载失败”)
    
33. .如果真结束
    
34. 
    
35. Nt_Executable_LdrGetDllHandle (#NULL, #NULL, Asm_GetH (punicode_string), Asm_GetH (h))
    
36. 
    
37. Nt_Heap_RtlFreeHeap (g_heap, 0, Unicode)  ' 释放掉内存
    
38. ' ---------------------------------------------------------------------------------
    
39. 
    
40. name ＝ Asm_GetDataH (“GetTickCount64”)  ' 定义Ansi编码 取其指针
    
41. Asm_writeWord_1 (ansi_string, Asm_len (name))
    
42. Asm_writeWord__1 (ansi_string, 2, Asm_len (name))
    
43. Asm_writeDword__1 (ansi_string, 4, name)
    
44. 
    
45. Nt_Executable_LdrGetProcedureAddress (h, Asm_GetH (ansi_string), 0, Asm_GetH (函数句柄))  ' 使用名称取其偏移指针
    
46. 
    
47. 输出调试文本 (GetTickCount64 ())
    
48. 
    
49. ' Nt_Executable_LdrGetProcedureAddress (h, 0, int 指定序号, 函数句柄)  ' 使用序号取其偏移指针，系统函数可能不一致
    
50. ' ---------------------------------------------------------------------------------
    
51. 
    
52. SYSTEM_MODULE_INFORMATION ＝ Nt_Heap_RtlAllocateHeap (g_heap, 位或 (#HEAP_ZERO_MEMORY, #HEAP_GENERATE_EXCEPTIONS), 4 ＋ 284 × 256)
    
53. Nt_Executable_LdrQueryProcessModuleInformation (SYSTEM_MODULE_INFORMATION, 4 ＋ 284 × 256, RequiredSize)  ' Ansi垃圾函数不推荐使用，建议遍历PEB
    
54. 
    
55. i ＝ 4
    
56. .计次循环首 (Asm_readDword (SYSTEM_MODULE_INFORMATION), )
    
57.     ' 输出调试文本 (Asm_readDword_ (SYSTEM_MODULE_INFORMATION, Asm_add (8, i)))
    
58.     ' 输出调试文本 (到文本 (指针到字节集 (Asm_add (SYSTEM_MODULE_INFORMATION, Asm_add (28, i)), 256)))  ' 指针到字节集 只是为了切合 输出
    
59. 
    
60.     i ＝ i ＋ 284
    
61. .计次循环尾 ()
    
62. ' Section, 整数型, , , 保留
    
63. ' MappedBase, 整数型, , , 映射句柄
    
64. ' ImageBase, 整数型, , , 模块句柄
    
65. ' ImageSize, 整数型, , , 模块长度
    
66. ' Flags, 整数型, , , 模块标志
    
67. ' LoadOrderIndex, 短整数型, , , 装载顺序索引
    
68. ' InitOrderIndex, 短整数型, , , 初始顺序索引
    
69. ' LoadCount, 短整数型, , , 函数计数
    
70. ' OffsetToFileName, 短整数型, , , 名称偏移
    
71. ' ImageName, 字节型, , "256"
    
72. Nt_Heap_RtlFreeHeap (g_heap, 0, SYSTEM_MODULE_INFORMATION)  ' 释放掉内存
    

复制代码