模块名称:strawhat
作者:strawhat Ada
版本:1.0
感谢中央气象台
@备注:
2011年8月11日更新
------------------------------
.版本 2
.子程序 操作_call地址取机器码, 字节集, 公开, call xxxxxxx
.参数 被CALL地址, 整数型, , 被CALL的地址
.参数 入口地址, 整数型, 可空, CALL入口地址
.子程序 操作_jmp地址取机器码, 字节集, 公开, JMP xxxxxxx
.参数 被跳转地址, 整数型, , 被JMP的地址
.参数 入口地址, 整数型, 可空, JMP入口地址
.子程序 操作_打开进程, 整数型, 公开, 获取进程操作句柄(首先不调用API直接进入R0打开进程,如果无法打开才自动使用API来打开)
.参数 进程ID, 整数型, , 指定进程ID
.参数 进程对象, 整数型, 可空, 默认 PROCESS_ALL_ACCESS
.子程序 操作_关闭句柄, 整数型, 公开, 关闭已经打开的操作句柄
.参数 操作句柄, 整数型, , 进程句柄,线程句柄.等
.子程序 操作_取API地址, 整数型, 公开
.参数 API名, 文本型
.子程序 操作_取WINDOWS运行时间, 整数型, 公开, 取出运行时间(毫秒)
.子程序 操作_取函数入口, 整数型, 公开, 取函数地址
.参数 动态链接库路径, 文本型, , 库名 例:user32.dll
.参数 欲截获的函数名, 文本型, , 函数名 例:GetWindow
.子程序 操作_取路径目录, 文本型, 公开, c:\1\1\1\1.exe取出 c:\1\1\1\
.参数 文件全名, 文本型, , c:\1\1\1\1.exe
.参数 文件名, 文本型, 参考 可空, 1.exe
.子程序 操作_取小数点后N位, 小数型, 公开, -.- 3.1415926 舍弃后面的去 例取出 3.14.
.参数 被取数, 小数型
.参数 取出位数, 整数型, 可空, 默认为2
.子程序 操作_取字节集指针, 整数型, 公开
.参数 字节集, 字节集, , [ebp+8]
.子程序 调用_调用, 整数型, 公开
.参数 参数, 整数型
.子程序 调用_远程call, 整数型, 公开
.参数 进程句柄, 整数型
.参数 调用地址, 整数型
.参数 调用参数, 整数型, 可空 数组
.参数 ecx, 整数型, 可空
.子程序 进程_创建进程, 整数型, 公开, 返回进程句柄
.参数 文件名, 文本型
.参数 命令行, 文本型, 可空
.参数 启动参数, 整数型, 可空
.参数 注入DLL, 文本型, 可空
.参数 接口名, 文本型, 可空
.参数 进程ID, 整数型, 参考 可空
.子程序 进程_创建进程载入DLL, 整数型, 公开, 返回进程句柄
.参数 文件全名, 文本型
.参数 命令行, 文本型, 可空
.参数 注入DLL, 文本型
.子程序 进程_挂起进程, , 公开, 暂停指定进程
.参数 进程句柄, 整数型
.子程序 进程_恢复进程, , 公开, 恢复指定被挂起的进程
.参数 进程句柄, 整数型
.子程序 进程_枚举进程, 整数型, 公开, 返回 进程个数
.参数 进程信息, 进程信息, 参考 数组, 获取到的进程信息组
.子程序 进程_取函数入口, 整数型, 公开, 获取函数入口
.参数 进程句柄, 整数型
.参数 模块名, 文本型
.参数 函数名, 文本型
.子程序 进程_取进程名, 文本型, 公开, 取进程名
.参数 进程句柄, 整数型
18590019082[下载].rar
|
收藏
