如何用DLL来枚举进程里面的某个模块 求易牛解答

xiaojiajian

{:soso__3669389859068460655_4:}。比如说用易语言做一个lpk.dll的文件，编译后把DLL放在程序目录一起，然后它去枚举进程里面指定的模块，在对这个模块里面补丁。这个功能咱论坛的神器已经可以达到了。但是不能搜索特征，所以小菜就像自己研究一下。
.版本 2.子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码

在这里放置代码基本无效。放置循环代码，要么是程序卡死，要么是模块还没有加载代码就执行完了。各位易牛，应该在哪里开始循环判断 枚举模块呢？

.子程序 LpkTabbedTextOut, , 公开, LpkTabbedTextOut rva: 000054F3 ord:   1
.子程序 LpkDllInitialize, , 公开, LpkDllInitialize rva: 0000136C ord:   2
.子程序 LpkDrawTextEx, , 公开, LpkDrawTextEx rva: 00001770 ord:   3
.子程序 LpkEditControl, , 公开, LpkEditControl rva: 0000706C ord:   4
.参数 保留参数, 文本型, , LPK劫持此参数不能少.其他API全部无参数
.子程序 LpkExtTextOut, , 公开, LpkExtTextOut rva: 0000194E ord:   5
.子程序 LpkGetCharacterPlacement, , 公开, LpkGetCharacterPlacement rva: 00004F0E ord:   6
.子程序 LpkGetTextExtentExPoint, , 公开, LpkGetTextExtentExPoint rva: 00001DD5 ord:   7
.子程序 LpkInitialize, , 公开, LpkInitialize rva: 000013F5 ord:   8
.子程序 LpkPSMTextOut, , 公开, LpkPSMTextOut rva: 00004251 ord:   9
.子程序 LpkUseGDIWidthCache, , 公开, LpkUseGDIWidthCache rva: 00001BE4 ord:  10
.子程序 ftsWordBreak, , 公开, ftsWordBreak rva: 00005982 ord:  11



{:soso__10169062262133571330_1:}

F8LEFT

难道不是创建进程快照么。。。

xiaojiajian

F8LEFT 发表于 2015-3-7 17:43
难道不是创建进程快照么。。。

我以为LPK是可以随exe启动的没试过创建进程快照。在启动子程序里面 创建快照 在根据进程ID，才开始枚举吗？

qq8167005

lpk劫持， 易语言版？        楼主发发看看

F8LEFT

xiaojiajian 发表于 2015-3-7 18:01
我以为LPK是可以随exe启动的没试过创建进程快照。在启动子程序里面 创建快照 在根据进程ID，才开始枚举吗 ...

现在基本上不用lpk来劫持了吧，只有xp下lpk是加载的

xie83544109

{:soso_e141:}
会不会是这样
LPK加载后,执行完代码,EXE就把DLL给卸载了

xiaojiajian

xie83544109 发表于 2015-3-9 12:50
会不会是这样
LPK加载后,执行完代码,EXE就把DLL给卸载了

不是的，是我的代码思路不对，我是直接在启动子程序里面写一个循环判断首尾，结果程序就就卡死了，不写循环判断，代码执行完了，需要的模块都没有开始加载，要是能像论坛的工具那样的方式就对了，没思路，来求助的

xie83544109

{:soso_e121:}
那你叫大牛给你个模板吧