精易论坛

标题: 使用Win原生API进行压缩解压 [打印本页]

作者: 赋卿丶 时间: 2019-5-13 13:38
标题: 使用Win原生API进行压缩解压
在吾爱的一个木马样本分析中，看到木马使用RtlCompressBuffer与RtlDecompressBuffer进行压缩/解压操作
百度了一圈没找到易语言的实现，所以跟着MSDN文档就自己动手试试

本源码仅当抛砖引玉，很多地方写的不够好，而且似乎对文本操作没啥问题，对二进制文件就会出错，等待大神解决
源码中使用的是LZ算法，需要源数据中存在重复的字节集；若是不存在就会出现压缩后的长度比源数据还大的情况
看文档里还有种COMPRESSION_ENGINE_XPRESS的算法可选，但是我没找到对应的常量值

同时开源于易语言论坛及精易论坛

RtlCompress.e (8.64 KB, 下载次数: 97)

作者: 耳阝鱼禾 时间: 2019-5-13 14:25
压缩数据（），解压数据（）

作者: 全村最帅 时间: 2019-5-13 14:26
这个是真.高手

作者: wxb130260 时间: 2019-5-13 14:43
[奇技淫巧] [NTDLL][Rtl系列] 压缩/解压
http://125.confly.eu.org/forum.php?mod=viewthread&tid=14178766
(出处: 精易论坛)

作者: 453528889 时间: 2019-5-13 16:50
高手中的高手

作者: 赋卿丶 时间: 2019-5-13 22:27

wxb130260 发表于 2019-5-13 14:43
[奇技淫巧] [NTDLL][Rtl系列] 压缩/解压
http://125.confly.eu.org/forum.php?mod=viewthread&tid=14178766
(出 ...

原来已经有了啊我直接百度搜"易语言 RtlCompressBuffer"找不到
就当多一个搜索入口了

作者: kyo9766 时间: 2019-5-14 15:33
学习学习 API 的压缩，感谢分享

作者: qtdhqumd 时间: 2019-5-16 21:33
支持一下！~~支持一下！~~支持一下！~~支持一下！~~

作者: 超人营销 时间: 2019-5-17 17:23
佩服啊高手

作者: 1678895471 时间: 2019-5-21 15:58
压缩后的长度比源数据还大……？

作者: 年轻人111 时间: 2019-5-28 17:57
感谢分享。。。。。。

作者: 流泪的天使 时间: 2019-5-29 06:05
感谢分享

作者: 6641910 时间: 2019-5-29 08:59
FFFFFFFFFFFFFFFFFF

作者: 懒人定制软件 时间: 2019-6-3 21:49
欢迎常来帮助新人，谢谢~

作者: nisila 时间: 2019-6-16 03:05
谢谢分享了啊

欢迎光临精易论坛 (https://125.confly.eu.org/)