如何用DLL来枚举进程里面的某个模块 求易牛解答
{:soso__3669389859068460655_4:}。比如说用易语言做一个lpk.dll的文件,编译后把DLL放在程序目录一起,然后它去枚举进程里面指定的模块,在对这个模块里面补丁。这个功能咱论坛的神器已经可以达到了。但是不能搜索特征,所以小菜就像自己研究一下。.版本 2.子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码
在这里放置代码基本无效。放置循环代码,要么是程序卡死,要么是模块还没有加载代码就执行完了。各位易牛,应该在哪里开始循环判断 枚举模块呢?
.子程序 LpkTabbedTextOut, , 公开, LpkTabbedTextOut rva: 000054F3 ord: 1
.子程序 LpkDllInitialize, , 公开, LpkDllInitialize rva: 0000136C ord: 2
.子程序 LpkDrawTextEx, , 公开, LpkDrawTextEx rva: 00001770 ord: 3
.子程序 LpkEditControl, , 公开, LpkEditControl rva: 0000706C ord: 4
.参数 保留参数, 文本型, , LPK劫持此参数不能少.其他API全部无参数
.子程序 LpkExtTextOut, , 公开, LpkExtTextOut rva: 0000194E ord: 5
.子程序 LpkGetCharacterPlacement, , 公开, LpkGetCharacterPlacement rva: 00004F0E ord: 6
.子程序 LpkGetTextExtentExPoint, , 公开, LpkGetTextExtentExPoint rva: 00001DD5 ord: 7
.子程序 LpkInitialize, , 公开, LpkInitialize rva: 000013F5 ord: 8
.子程序 LpkPSMTextOut, , 公开, LpkPSMTextOut rva: 00004251 ord: 9
.子程序 LpkUseGDIWidthCache, , 公开, LpkUseGDIWidthCache rva: 00001BE4 ord:10
.子程序 ftsWordBreak, , 公开, ftsWordBreak rva: 00005982 ord:11
{:soso__10169062262133571330_1:}
难道不是创建进程快照么。。。 F8LEFT 发表于 2015-3-7 17:43
难道不是创建进程快照么。。。
我以为LPK是可以随exe启动的没试过创建进程快照。在启动子程序里面 创建快照 在根据进程ID,才开始枚举吗?
lpk劫持, 易语言版? 楼主发发看看 xiaojiajian 发表于 2015-3-7 18:01
我以为LPK是可以随exe启动的没试过创建进程快照。在启动子程序里面 创建快照 在根据进程ID,才开始枚举吗 ...
现在基本上不用lpk来劫持了吧,只有xp下lpk是加载的
{:soso_e141:}
会不会是这样
LPK加载后,执行完代码,EXE就把DLL给卸载了 xie83544109 发表于 2015-3-9 12:50
会不会是这样
LPK加载后,执行完代码,EXE就把DLL给卸载了
不是的,是我的代码思路不对,我是直接在启动子程序里面写一个循环判断首尾,结果程序就就卡死了,不写循环判断,代码执行完了,需要的模块都没有开始加载,要是能像论坛的工具那样的方式就对了,没思路,来求助的
{:soso_e121:}
那你叫大牛给你个模板吧
页:
[1]