开源CF注册表劫持注入

  

窗口程序集名	保 留	保 留	备 注
窗口
变量名	类 型	数组	备 注
DLL数据	字节集
获取路径	文本型

子程序名	返回值类型	公开	备 注
__启动窗口_创建完毕

启动线程 (&设置注入, , )

子程序名	返回值类型	公开	备 注
设置注入

写到文件 (取特定目录 (10) ＋ “dinput8d.dll”, #DLL )
ACP_注入 (取特定目录 (10) ＋ “dinput8d.dll”)
延时 (5000)
结束 ()

子程序名	返回值类型	公开	备 注
ACP_注入	逻辑型
参数名	类 型	参考	可空	数组	备 注
值	文本型

变量名	类 型	静态	数组	备 注
局部_注册表项句柄	整数型
局部_新子项句柄	整数型
局部_新值长度	整数型
返回值	整数型

判断 (打开注册表项_ (-2147483647, “SOFTWARE”, 局部_注册表项句柄) ＝ 0)
判断 (设置指定项或子项默认值_ (局部_注册表项句柄, “Classes\CLSID\{25E609E4-B259-11CF-BFC7-444553540000}\InProcServer32\”, 1, 值, 局部_新值长度) ＝ 0)
调用子程序 (GetProcAddress (GetModuleHandleA (“advapi32.dll”), “RegCloseKey”), , 返回值, 局部_注册表项句柄)
如果真 (返回值 ≠ 0)
返回 (假)

返回 (假)

返回 (假)
返回 (真)

i支持库列表	支持库注释
EThread	多线程支持库
shell	操作系统界面功能支持库
spec	特殊功能支持库

.版本 2<br /> .支持库 EThread<br /> .支持库 shell<br /> .支持库 spec<br /> <br /> .程序集 窗口<br /> .程序集变量 DLL数据, 字节集<br /> .程序集变量 获取路径, 文本型<br /> <br /> .子程序 __启动窗口_创建完毕<br /> <br /> 启动线程 (&设置注入, , )<br /> <br /> .子程序 设置注入<br /> <br /> 写到文件 (取特定目录 (10) ＋ “dinput8d.dll”, #DLL)<br /> ACP_注入 (取特定目录 (10) ＋ “dinput8d.dll”)<br /> 延时 (5000)<br /> 结束 ()<br /> <br /> .子程序 ACP_注入, 逻辑型<br /> .参数 值, 文本型<br /> .局部变量 局部_注册表项句柄, 整数型<br /> .局部变量 局部_新子项句柄, 整数型<br /> .局部变量 局部_新值长度, 整数型<br /> .局部变量 返回值, 整数型<br /> <br /> .判断开始 (打开注册表项_ (-2147483647, “SOFTWARE”, 局部_注册表项句柄) ＝ 0)<br />     .判断开始 (设置指定项或子项默认值_ (局部_注册表项句柄, “Classes\CLSID\{25E609E4-B259-11CF-BFC7-444553540000}\InProcServer32\”, 1, 值, 局部_新值长度) ＝ 0)<br />         调用子程序 (GetProcAddress (GetModuleHandleA (“advapi32.dll”), “RegCloseKey”), , 返回值, 局部_注册表项句柄)<br />         .如果真 (返回值 ≠ 0)<br />             返回 (假)<br />         .如果真结束<br /> <br />     .默认<br />         返回 (假)<br />     .判断结束<br /> <br /> .默认<br />     返回 (假)<br /> .判断结束<br /> 返回 (真)

  

DLL命令名	返回值类型	公开	备 注
CreateFileMappingA	整数型
DLL库文件名:
(未填写库文件名)
在DLL库中对应命令名:
(未填写命令名)
参数名	类 型	传址	数组	备 注
hFile	整数型
lpFileMappingAttributes	整数型
flProtect	整数型
dwMaximumSizeHigh	整数型
dwMaximumSizeLow	整数型
lpName	文本型

DLL命令名	返回值类型	公开	备 注
MapViewOfFile	整数型
DLL库文件名:
(未填写库文件名)
在DLL库中对应命令名:
(未填写命令名)
参数名	类 型	传址	数组	备 注
hFileMappingObject	整数型
dwDesiredAccess	整数型
dwFileOffsetHigh	整数型
dwFileOffsetLow	整数型
dwNumberOfBytesToMap	整数型

DLL命令名	返回值类型	公开	备 注
UnmapViewOfFile	逻辑型
DLL库文件名:
(未填写库文件名)
在DLL库中对应命令名:
(未填写命令名)
参数名	类 型	传址	数组	备 注
lpBaseAddress	整数型

DLL命令名	返回值类型	公开	备 注
CloseHandle	逻辑型
DLL库文件名:
(未填写库文件名)
在DLL库中对应命令名:
(未填写命令名)
参数名	类 型	传址	数组	备 注
hObject	整数型

DLL命令名	返回值类型	公开	备 注
设置指定项或子项默认值_	整数型
DLL库文件名:
advapi32
在DLL库中对应命令名:
RegSetValueA
参数名	类 型	传址	数组	备 注
项句柄	整数型
子项名字	文本型	√
类型	整数型
新值	文本型	√
新值长度	整数型

DLL命令名	返回值类型	公开	备 注
GetModuleHandleA	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
GetModuleHandleA
参数名	类 型	传址	数组	备 注
模块名	文本型

DLL命令名	返回值类型	公开	备 注
打开注册表项_	整数型
DLL库文件名:
advapi32
在DLL库中对应命令名:
RegOpenKeyA
参数名	类 型	传址	数组	备 注
标准项名或句柄	整数型
项名	文本型
打开注册表项句柄	整数型	√

DLL命令名	返回值类型	公开	备 注
GetProcAddress	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
GetProcAddress
参数名	类 型	传址	数组	备 注
模块句柄	整数型
进程名称	文本型

.版本 2<br /> <br /> .DLL命令 CreateFileMappingA, 整数型<br />     .参数 hFile, 整数型<br />     .参数 lpFileMappingAttributes, 整数型<br />     .参数 flProtect, 整数型<br />     .参数 dwMaximumSizeHigh, 整数型<br />     .参数 dwMaximumSizeLow, 整数型<br />     .参数 lpName, 文本型<br /> <br /> .DLL命令 MapViewOfFile, 整数型<br />     .参数 hFileMappingObject, 整数型<br />     .参数 dwDesiredAccess, 整数型<br />     .参数 dwFileOffsetHigh, 整数型<br />     .参数 dwFileOffsetLow, 整数型<br />     .参数 dwNumberOfBytesToMap, 整数型<br /> <br /> .DLL命令 UnmapViewOfFile, 逻辑型<br />     .参数 lpBaseAddress, 整数型<br /> <br /> .DLL命令 CloseHandle, 逻辑型<br />     .参数 hObject, 整数型<br /> <br /> .DLL命令 设置指定项或子项默认值_, 整数型, "advapi32", "RegSetValueA"<br />     .参数 项句柄, 整数型<br />     .参数 子项名字, 文本型, 传址<br />     .参数 类型, 整数型<br />     .参数 新值, 文本型, 传址<br />     .参数 新值长度, 整数型<br /> <br /> .DLL命令 GetModuleHandleA, 整数型, "kernel32.dll", "GetModuleHandleA"<br />     .参数 模块名, 文本型<br /> <br /> .DLL命令 打开注册表项_, 整数型, "advapi32", "RegOpenKeyA"<br />     .参数 标准项名或句柄, 整数型<br />     .参数 项名, 文本型<br />     .参数 打开注册表项句柄, 整数型, 传址<br /> <br /> .DLL命令 GetProcAddress, 整数型, "kernel32.dll", "GetProcAddress"<br />     .参数 模块句柄, 整数型<br />     .参数 进程名称, 文本型

为什么不直接放E源码呢 哈哈

为什么不直接放E源码呢 哈哈

为什么不直接放E源码呢 哈哈

瞧瞧看。感谢分享

为什么不直接放E源码呢

x5龙龙 发表于 2021-12-6 18:19
为什么不直接放E源码呢

这个跟E源码有啥区别么。。。。

thank you~~~

学习学习学习xx

感谢学习请问这个需要卸载吗