汇编进程读写/动态内存调用加载任意32、64模块

易语言 2020-03-10 20:13:31

汇编进程读写/动态内存调用加载任意32、64模块

外部进程命令
NtQueryProcessPEB64 获取外部 64 位进程PEB
VirtualAllocEx64 在外部 64 位进程分配内存,释放函数为 VirtualFreeEx64
VirtualQueryEx64 cha询外部 64 位进程指定内存区域的状态,一个地址是否能写入最好先测试一下,禁止写的话要更改内存属性才能开始写入
VirtualProtectEx64 更改外部 64 位进程指定内存区域的保护属性
ReadProcessMemory64 读取外部 64 位进程指定区域的内存数据
WriteProcessMemory64 向外部 64 位进程指定内存区域写入数据
NtQueryInformationProcess64 cha询外部 64 位进程信息
GetThreadContext64 获取线程上下文,多用于 SEH,仅供高级用户使用;相应设置函数为 SetThreadContext64

fn_WOW64Enabled 如果你在代码中需要使用 64 位汇编或者操作 64 位进程,则初始化时应确保本函数返回真。实际只要是 64 位操作系统,均应返回 真
fn_ProcessIsX64 检测指定进程是否为 64 位进程
fn_CalcModOrFuncHash 使用过动态调用DLL的都清楚取模块基址和函数指针,微软默认使用字符串对比,本模块可使用哈希对比效率和易用上相对提升,本函数用于计算模块或函数哈希

fn_WOW64Enabled 如果你在代码中需要使用 64 位汇编或者操作 64 位进程,则初始化时应确保本函数返回真。实际只要是 64 位操作系统,均应返回 真
fn_ProcessIsX64 检测指定进程是否为 64 位进程
fn_CalcModOrFuncHash 使用过动态调用DLL的都清楚取模块基址和函数指针,微软默认使用字符串对比,本模块可使用哈希对比效率和易用上相对提升,本函数用于计算模块或函数哈希。