|
|
分享源码
| 界面截图: |
 |
| 是否带模块: |
纯源码 |
| 备注说明: |
- |
本帖最后由 dnxl 于 2026-4-2 03:04 编辑
本次更新大部分功能重写,优化代码提升效率,部分功能函数命名有变化。删除了一些功能函数和类。
取消 内存注入类,
原内存注入类只保留 远程CALL 和 子类化CALL 2个方法合并至内存操作类中,且参数有变
参数 线程ID 如为0时则创建新线程执行CALL代码,如指定有效线程ID则使用指定线程环境执行CALL代码,
32位实现方式为劫持指定线程EIP,64位实现方式为 在指定线程插入特殊APC
参数 调用约定 只针对32位目标进程,64位目标进程无视,置0就行 参数1-10对应 RCX,RDX,R8,R9,[RSP+20h],[RSP+28h]..........
stdcall/cdecl 约定 无需寄存器传参的置0 参数1-10 对应 PUSH 顺序
this 约定(c++类成员函数) 需ECX传参 置1 参数1对应DCX,参数2-10对应 PUSH 顺序
fastcall约定(不常见) 需ECX,EDX传参 置2 参数1-2对应 ECX,EDX 参数3-10对应 PUSH 顺序
register约定(delphi程序默认) 需 EAX,EDX,ECX传参 置3 参数1-3对应EAX,EDX,ECX 参数4-10对应 PUSH 倒序
新增 汇编引擎类
使用fasm.dll(内存加载) 实时解释汇编代码
类中提供3个方法
清空()
<整数型> 添加(文本型 单选汇编)
<字节集> 取机器码()
添加()默认32位汇编 ,如需64位汇编请在清空()后第一行 "添加("use64") 后面才 添加(64位汇编代码)
需要 内存操作类 提供的 远程执行代码() 方法来执行汇编代码
原 内存操作类方法变动
非中文方法不变 依然提高速读写等操作
为方便部分需要场景需要地址做+-*/运算 中文方法 读整数(),写整数() 等等,读写地址全部改为 长整数型只能读写单级地址数据。
如需读写多级文本型表达式地址的数据 请使用 读整数EX(),写整数EX() 等等 方法
注 为提升效率 所有写内存方法内部不再自动修改内存属性 在需要写入只读区段地址时自行使用 类中的 置内存属性()/MemProtectEx()修改属性为64后再写
内存搜索只保留 搜索特征码() 和 搜索字节集() 小优化一下代码,单线程提升有限
新增 搜索特征码EX() 和 搜索字节集EX() 多线程搜索架构 在搜索部分大型进程内存时速度已达CE 90%+
不过多线程初始化稍微耗时,在搜索范围比较小时还是单线程比较快
内存搜索存在一个BUG 在WIN11系统上部分目标进程在第一次搜索后,任务管理器中目标进程内存占用增加一倍,多次搜索不再变化
CE也存在这种情况,目前原因未知
初步查看是读内存引起,系统提供的API无力修复
其他
原 创建进程注入DLL() 改为 注入DLL3()
原 创建进程内存注入DLL() 改为 注入DLL4()
模块编译后体积285KB 如想减小体积请手动删除源码中所有注释重新编译,(大部分汇编注释只保留置入代码就行)。
新模块.rar
(194.57 KB, 下载次数: 305)
|
评分
-
查看全部评分
|
[复制链接]
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
发表于 2026-4-2 01:57:27
主题置顶卡
沉默卡
变色卡
扫一扫,关注易界动态