DLL命令代码
1
2
3
4
5
6
7
8
9
10
11
12
|
.版本 2 .DLL命令 NtQuerySystemInformation, 整数型, "NTDLL.DLL", "NtQuerySystemInformation" .参数 SystemInformationClass, 整数型 .参数 pSystemInformation, 整数型 .参数 SystemInformationLength, 整数型 .参数 ReturnLength, 整数型, 传址 .DLL命令 CopyMemory, , "kernel32", "RtlMoveMemory" .参数 pDst, MODULES, 传址 .参数 pSrc, 整数型 .参数 ByteLen, 整数型 .DLL命令 GlobalSize, 整数型, "kernel32", "GlobalSize", , 返回全局内存块大小 .参数 hMem, MODULES |
自定义数据类型表
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
.版本 2 .数据类型 内核驱动成员 .成员 驱动文件名, 文本型 .数据类型 MODULES .成员 dwNumberOfModules, 整数型 .成员 ModuleInformation, INFORMATION .数据类型 INFORMATION .成员 dwReserved, 整数型, , "2" .成员 dwBase, 整数型 .成员 dwSize, 整数型 .成员 dwFlags, 整数型 .成员 Index, 短整数型 .成员 Unknown, 短整数型 .成员 LoadCount, 短整数型 .成员 ModuleNameOffset, 短整数型 .成员 ImageName, 字节型, , "256" |
判断驱动是否存在的代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
|
.版本 2 .支持库 spec .程序集 窗口程序集1 .子程序 _判断按钮_被单击 .判断开始 (驱动是否存在 (“PCHunter64ao.sys”) = 真 或 驱动是否存在 (“PCHunter32ao.sys”) = 真) 信息框 (“存在”, 64, , ) .默认 信息框 (“不存在”, 16, , ) .判断结束 .子程序 驱动是否存在, 逻辑型, 公开, 取系统已加载的驱动,成功取到返回真,失败返回假 .参数 驱动名, 文本型 .局部变量 驱动成员, 内核驱动成员, , "0" .局部变量 循环计次, 整数型 枚举系统驱动 (驱动成员) .计次循环首 (取数组成员数 (驱动成员), 循环计次) .如果真 (驱动成员 [循环计次].驱动文件名 = 驱动名) 返回 (真) 跳出循环 () .如果真结束 .计次循环尾 () 返回 (假) .子程序 枚举系统驱动, 整数型, , 枚举驱动,成功返回驱动数量,失败返回0 .参数 驱动文件名, 内核驱动成员, 数组 .局部变量 Ret, 整数型 .局部变量 ModulesInfo, MODULES .局部变量 i, 整数型 .局部变量 x, 整数型 .局部变量 驱动名称, 文本型, , "0" .局部变量 位置, 整数型 .局部变量 判断函数, 整数型 .局部变量 装载类型, 内核驱动成员 .局部变量 内存申请, 整数型 清除数组 (驱动名称) NtQuerySystemInformation (11, 0, 0, Ret) 内存申请 = 申请内存 (Ret × 2, 真) NtQuerySystemInformation (11, 内存申请, Ret × 2, Ret) CopyMemory (ModulesInfo, 内存申请, GlobalSize (ModulesInfo)) 加入成员 (驱动名称, 到文本 (ModulesInfo.ModuleInformation.ImageName)) i = ModulesInfo.dwNumberOfModules 判断函数 = i .判断循环首 (i > 1) i = i - 1 内存申请 = 内存申请 + 71 × 4 CopyMemory (ModulesInfo, 内存申请, GlobalSize (ModulesInfo)) 加入成员 (驱动名称, 到文本 (ModulesInfo.ModuleInformation.ImageName)) .判断循环尾 () .计次循环首 (取数组成员数 (驱动名称), x) 位置 = 倒找文本 (驱动名称 [x], “\”, , 假) 装载类型.驱动文件名 = 取文本右边 (驱动名称 [x], 取文本长度 (驱动名称 [x]) - 位置) 加入成员 (驱动文件名, 装载类型) .计次循环尾 () .如果 (判断函数 > 1) 返回 (取数组成员数 (驱动名称)) .否则 返回 (0) .如果结束 释放内存 (内存申请) |
运行结果:
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对服务器之家的支持。如果你想了解更多相关内容请查看下面相关链接