开源CF注册表劫持注入

[ecode=1=1].版本 2
.支持库 EThread
.支持库 shell
.支持库 spec

.程序集 窗口
.程序集变量 DLL数据, 字节集
.程序集变量 获取路径, 文本型

.子程序 __启动窗口_创建完毕

启动线程 (&设置注入, , )

.子程序 设置注入

写到文件 (取特定目录 (10) ＋ “dinput8d.dll”, #DLL)
ACP_注入 (取特定目录 (10) ＋ “dinput8d.dll”)
延时 (5000)
结束 ()

.子程序 ACP_注入, 逻辑型
.参数 值, 文本型
.局部变量 局部_注册表项句柄, 整数型
.局部变量 局部_新子项句柄, 整数型
.局部变量 局部_新值长度, 整数型
.局部变量 返回值, 整数型

.判断开始 (打开注册表项_ (-2147483647, “SOFTWARE”, 局部_注册表项句柄) ＝ 0)
    .判断开始 (设置指定项或子项默认值_ (局部_注册表项句柄, “Classes\CLSID\{25E609E4-B259-11CF-BFC7-444553540000}\InProcServer32\”, 1, 值, 局部_新值长度) ＝ 0)
        调用子程序 (GetProcAddress (GetModuleHandleA (“advapi32.dll”), “RegCloseKey”), , 返回值, 局部_注册表项句柄)
        .如果真 (返回值 ≠ 0)
            返回 (假)
        .如果真结束

    .默认
        返回 (假)
    .判断结束

.默认
    返回 (假)
.判断结束
返回 (真)

[/ecode]


[ecode=1=1].版本 2

.DLL命令 CreateFileMappingA, 整数型
    .参数 hFile, 整数型
    .参数 lpFileMappingAttributes, 整数型
    .参数 flProtect, 整数型
    .参数 dwMaximumSizeHigh, 整数型
    .参数 dwMaximumSizeLow, 整数型
    .参数 lpName, 文本型

.DLL命令 MapViewOfFile, 整数型
    .参数 hFileMappingObject, 整数型
    .参数 dwDesiredAccess, 整数型
    .参数 dwFileOffsetHigh, 整数型
    .参数 dwFileOffsetLow, 整数型
    .参数 dwNumberOfBytesToMap, 整数型

.DLL命令 UnmapViewOfFile, 逻辑型
    .参数 lpBaseAddress, 整数型

.DLL命令 CloseHandle, 逻辑型
    .参数 hObject, 整数型

.DLL命令 设置指定项或子项默认值_, 整数型, "advapi32", "RegSetValueA"
    .参数 项句柄, 整数型
    .参数 子项名字, 文本型, 传址
    .参数 类型, 整数型
    .参数 新值, 文本型, 传址
    .参数 新值长度, 整数型

.DLL命令 GetModuleHandleA, 整数型, "kernel32.dll", "GetModuleHandleA"
    .参数 模块名, 文本型

.DLL命令 打开注册表项_, 整数型, "advapi32", "RegOpenKeyA"
    .参数 标准项名或句柄, 整数型
    .参数 项名, 文本型
    .参数 打开注册表项句柄, 整数型, 传址

.DLL命令 GetProcAddress, 整数型, "kernel32.dll", "GetProcAddress"
    .参数 模块句柄, 整数型
    .参数 进程名称, 文本型
[/ecode]

为什么不直接放E源码呢 哈哈

为什么不直接放E源码呢 哈哈

为什么不直接放E源码呢 哈哈

瞧瞧看。感谢分享

为什么不直接放E源码呢

x5龙龙 发表于 2021-12-6 18:19
为什么不直接放E源码呢

这个跟E源码有啥区别么。。。。

thank you~~~

学习学习学习xx

感谢学习请问这个需要卸载吗