| 子程序名 | 返回值类型 | 公开 | 备 注 | ||||
| 进程_取函数入口 | 整数型 | 获取指定进程ID的指定模块的函数地址 | |||||
| 参数名 | 类 型 | 参考 | 可空 | 数组 | 备 注 | ||
| 进程ID | 整数型 | 通过 进程_名取ID 获取 | 模块名 | 文本型 | 想要取出的模块名 | 函数名 | 文本型 | 对应的函数地址 |
| 变量名 | 类 型 | 静态 | 数组 | 备 注 | ||
| pModeName | 整数型 | |||||
| Fun_GetModuleHandleA | 整数型 | |||||
| pFunName | 整数型 | |||||
| Fun_GetProcAddress | 整数型 | |||||
| pRes | 整数型 | |||||
| ShellCode | 字节集 | |||||
Fun_GetModuleHandleA = GetProcAddress_汇编 (GetModuleHandle_汇编 (“kernel32.dll”), “GetModuleHandleA”) ' 取系统API地址 (“GetModuleHandleA”) '
pFunName = 内存.申请文本内存 (进程ID, 函数名)
Fun_GetProcAddress = GetProcAddress_汇编 (GetModuleHandle_汇编 (“kernel32.dll”), “GetProcAddress”) ' 取系统API地址 (“GetProcAddress”)
pRes = 内存.申请内存 (进程ID, 4)
ShellCode = { 96, 104 } + 到字节集 (pModeName) + { 185 } + 到字节集 (Fun_GetModuleHandleA) + { 255, 209, 104 } + 到字节集 (pFunName) + { 80, 185 } + 到字节集 (Fun_GetProcAddress) + { 255, 209, 163 } + 到字节集 (pRes) + { 97, 195 }
' -------------------------------------------------------------------------------------------------------------------------------------
' 置汇编代码 ({ })
' ShellCode = { 96 } ' pushad
' ShellCode = ShellCode + { 104 } + 到字节集 (pModeName) ' push pModeName
' ShellCode = ShellCode + { 185 } + 到字节集 (Fun_GetModuleHandleA) ' mov ecx,Fun_GetModuleHandleA
' ShellCode = ShellCode + { 255, 209 } ' call ecx
' ShellCode = ShellCode + { 104 } + 到字节集 (pFunName) ' push pFunName
' ShellCode = ShellCode + { 80 } ' push eax
' ShellCode = ShellCode + { 185 } + 到字节集 (Fun_GetProcAddress) ' mov ecx,Fun_GetProcAddress
' ShellCode = ShellCode + { 255, 209 } ' call ecx
' ShellCode = ShellCode + { 163 } + 到字节集 (pRes)
' ShellCode = ShellCode + { 97 }
' ShellCode = ShellCode + { 195 }
' -------------------------------------------------------------------------------------------------------------------------------------
' pushad ()
' push_常数 (pModeName)
' mov_ecx_常数 (Fun_GetModuleHandleA)
' call_ecx ()
' push_常数 (pFunName)
' push_eax ()
' mov_ecx_常数 (Fun_GetProcAddress)
' call_ecx ()
' mov_dword_ptr_eax (pRes)
' popad ()
' ret ()
' ShellCode = 取汇编代码 ()
' -------------------------------------------------------------------------------------------------------------------------------------
进程一调用汇编代码 (进程ID, ShellCode, )
pRes = 内存.读整数 (进程ID, pRes)
内存.释放 (进程ID, pRes)
内存.释放 (进程ID, pFunName)
内存.释放 (进程ID, pModeName)
返回 (pRes)
| 子程序名 | 返回值类型 | 公开 | 备 注 | ||||
| 进程一调用汇编代码 | 逻辑型 | ||||||
| 参数名 | 类 型 | 参考 | 可空 | 数组 | 备 注 | ||
| 进程ID | 整数型 | 汇编字节集 | 字节集 | 是否等待远程线程 | 逻辑型 | 如果为真,则等待远程线程执行完毕后才会返回。否则创建后立即返回(异步) | |
| 变量名 | 类 型 | 静态 | 数组 | 备 注 | ||
| 内存地址 | 整数型 | |||||
| 远程线程句柄 | 整数型 | |||||
| 进程句柄 | 整数型 | |||||
| j | 整数型 | |||||
如果真 (进程ID = 0)
进程ID = 进程一取自身进程ID ()进程句柄 = OpenProcess (2035711, 0, 进程ID)
内存地址 = 内存.申请内存2 (进程句柄, 取字节集长度 (汇编字节集))
如果真 (内存地址 = 0)返回 (假)
如果真 (WriteProcessMemory_字节集 (进程句柄, 内存地址, 汇编字节集, 取字节集长度 (汇编字节集), 0) = 假)输出调试文本 (“写内存失败”)返回 (假)远程线程句柄 = CreateRemoteThread (进程句柄, 0, 0, 内存地址, 0, 0, 0)
如果真 (远程线程句柄 = 0)输出调试文本 (“远程线程创建失败”)返回 (假)判断 (是否等待远程线程 = 假)WaitForSingleObject (远程线程句柄, -1)CloseHandle (远程线程句柄)内存.释放 (进程ID, 内存地址) ' 输出调试文本 (“远程资源已自动释放”)
返回 (真)
' 创建线程, 在线程等待。最后销毁相关数据
' 关于线程参数的一点说明 ' 为了等待,需要传递三个参数:远程线程句柄,释放内存地址,进程PID ' 将通过一个长度为12的字节集来传递数据j = VirtualAlloc (0, 12, #MEM_COMMIT, #PAGE_READWRITE ) ' j是之前循环变量, 已经不需要了, 这里就直接拿来用写到内存 (到字节集 (远程线程句柄) + 到字节集 (内存地址) + 到字节集 (进程句柄), j, 12)CloseHandle (CreateThread (0, 0, &内部等待线程, j, 0, 0)) ' 因为并不需要对线程做后续操作,所以直接关闭线程句柄,让线程自行运行完毕自动销毁即可。返回 (真)
| 子程序名 | 返回值类型 | 公开 | 备 注 | ||||
| 内部等待线程 | |||||||
| 参数名 | 类 型 | 参考 | 可空 | 数组 | 备 注 | ||
| 参数地址 | 整数型 | ||||||
| 变量名 | 类 型 | 静态 | 数组 | 备 注 | ||
| 字节集 | 字节集 | |||||
| 远程线程句柄 | 整数型 | |||||
| 内存地址 | 整数型 | |||||
| 进程PID | 整数型 | |||||
' 释放参数地址内存, 避免内存泄漏
VirtualFree (参数地址, 0, #MEM_RELEASE )
远程线程句柄 = 取字节集数据 (字节集, #整数型, )
内存地址 = 取字节集数据 (字节集, #整数型, 5)
进程PID = 取字节集数据 (字节集, #整数型, 9)
WaitForSingleObject (远程线程句柄, -1)
CloseHandle (远程线程句柄)
内存.释放 (进程PID, 内存地址)
' 输出调试文本 (“远程资源已自动释放”)
