.版本 2
.支持库 eAPI
.程序集 窗口程序集_启动窗口
.程序集变量 进程ID, 整数型
.程序集变量 句柄, 整数型
.子程序 __启动窗口_创建完毕
图片框1.图片 = #图标
.子程序 _时钟1_周期事件
句柄 = 取鼠标所在窗口句柄 ()
进程ID = 窗口句柄取进程ID (句柄)
标签2.标题 = “目标程序:” + 进程ID取进程名 (进程ID)
.子程序 _图片框1_鼠标左键被按下, 逻辑型
.参数 横向位置, 整数型
.参数 纵向位置, 整数型
.参数 功能键状态, 整数型
捕获鼠标 (图片框1.取窗口句柄 ())
时钟1.时钟周期 = 100
.子程序 _图片框1_鼠标左键被放开, 逻辑型
.参数 横向位置, 整数型
.参数 纵向位置, 整数型
.参数 功能键状态, 整数型
释放鼠标 ()
时钟1.时钟周期 = 0
.如果 (信息框 (“是否逆向” + 进程ID取进程名 (进程ID), 4 + #询问图标, “提示”, ) = #是钮)
逆向 ()
.否则
返回 ()
.如果结束
.子程序 逆向
.局部变量 结束地址, 整数型, , "1"
.局部变量 代码, 整数型
.局部变量 结束地址1, 整数型, , "1"
.局部变量 代码1, 整数型
.局部变量 结束地址2, 整数型, , "1"
.局部变量 代码2, 整数型
.局部变量 结束地址3, 整数型, , "1"
.局部变量 代码3, 整数型
.局部变量 进程句柄, 整数型
NC搜索 (进程ID, 字节集还原 (“8BE55DC20C00558BEC81EC34000000C745FC00000000C745F800000000”), 结束地址)
代码 = 结束地址 + 十六到十 (“6”)
写字节集 (进程ID, 代码, 字节集还原 (“B800000000C2080090”))
NC搜索 (进程ID, 字节集还原 (“C3CCCCCC558BEC8B450850”), 结束地址1)
代码1 = 结束地址1 + 十六到十 (“4”)
写字节集 (进程ID, 代码1, 字节集还原 (“C3”))
NC搜索 (进程ID, 字节集还原 (“8B5424048B4C240885D2”), 结束地址2)
代码2 = 结束地址2
进程句柄 = 进程打开 (进程ID)
代码3 = CJ虚拟内存 (进程句柄, 0, 32, 4096, 4)
写字节集 (进程ID, 代码3, 字节集还原 (“8B5424048B4C240885D2751833C085C9740680390074014883F8FF7401C3B800000000C385C9750933C0803A00740140C3F7C20300000075378B023A01752B0AC074243A610175220AE4741BC1E8103A410275160AC0740F3A6103750D83C10483C2040AE475D233C0C31BC0D1E040C3F7C20100000074148A02423A0175EB410AC074E3F7C20200000074AD668B0283C2023A0175D40AC074CD3A610175CB0AE474C483C102EB910175CB0AE474B883C102EB85”))
JMP (代码2, 代码3)
标签2.标题 = 进程ID取进程名 (进程ID) + “逆向成功”
.子程序 JMP
.参数 原地址, 整数型
.参数 空地址, 整数型
.局部变量 地址, 整数型
地址 = 空地址 - 原地址 - 5
写字节集A (进程ID, 原地址, { 233 } + 到字节集 (地址))
返回 ()
同求,我也找了好久了
页:
1
[2]