API嵌入汇编实现初级隐藏自身支持库载入模块信息

系统结构:特殊_隐藏支持库,字节集_到整数,字节集_到短整数,文本型_取空白,系统_取文件名,文本型_寻找,字节集_取指针,字节集_取长度,GetCurrentProcess,NtQueryInformationProcess,WideCharToMultiByte,RtlMoveMemory_Int,RtlMoveMemory_dInt,LocalAlloc,FillMemory,LocalFree,GetFileTitle,lstrcpyn_Bin,

======_启动窗口程序集

           |  |

           |  |------ __启动窗口_创建完毕

           |  |

           |  |------ 特殊_隐藏支持库

           |  |

           |  |

======_内核功能程序集

           |  |

           |  |------ 字节集_到整数

           |  |

           |  |------ 字节集_到短整数

           |  |

           |  |------ 文本型_取空白

           |  |

           |  |------ 系统_取文件名

           |  |

           |  |------ 文本型_寻找

           |  |

           |  |------ 字节集_取指针

           |  |

           |  |------ 字节集_取长度

           |  |

           |  |

======调用的Dll

           |  |

           |  |---[dll]------   GetCurrentProcess

           |  |

           |  |---[dll]------   NtQueryInformationProcess

           |  |

           |  |---[dll]------   WideCharToMultiByte

           |  |

           |  |---[dll]------   RtlMoveMemory_Int

           |  |

           |  |---[dll]------   RtlMoveMemory_dInt

           |  |

           |  |---[dll]------   LocalAlloc

           |  |

           |  |---[dll]------   FillMemory

           |  |

           |  |---[dll]------   LocalFree

           |  |

           |  |---[dll]------   GetFileTitle

           |  |

           |  |---[dll]------   lstrcpyn_Bin

  

调用的DLL命令:

.DLL命令 GetCurrentProcess, 整数型, "kernel32.dll", "GetCurrentProcess", , 获取当前进程的一个伪句柄  当前进程的伪句柄

.DLL命令 NtQueryInformationProcess, 整数型, "ntdll.dll", "NtQueryInformationProcess"

    .参数 ProcessHandle, 整数型, , HANDLE

    .参数 ProcessInformationClass, 整数型

    .参数 ProcessInformation, 整数型, 传址 数组, PROCESS_BASIC_INFORMATION

    .参数 ProcessInformationLength, 整数型

    .参数 ReturnLength, 整数型, 传址

.DLL命令 WideCharToMultiByte, 整数型, "kernel32.dll", "WideCharToMultiByte", , 将通配符映像为多字节

    .参数 CodePage, 整数型

    .参数 dwFlags, 整数型

    .参数 lpWideCharStr, 整数型

    .参数 cchWideChar, 整数型

    .参数 lpMultiByteStr, 文本型, 传址

    .参数 cchMultiByte, 整数型

    .参数 lpDefaultChar, 整数型

    .参数 lpUsedDefaultChar, 整数型

.DLL命令 RtlMoveMemory_Int, 整数型, "kernel32.dll", "RtlMoveMemory"

    .参数 lpvDest, 整数型, 传址

    .参数 lpvSource, 整数型

    .参数 cbCopy, 整数型

.DLL命令 RtlMoveMemory_dInt, 整数型, "kernel32.dll", "RtlMoveMemory"

    .参数 lpvDest, 短整数型, 传址

    .参数 lpvSource, 整数型

    .参数 cbCopy, 整数型

.DLL命令 LocalAlloc, 整数型, "kernel32.dll", "LocalAlloc"

    .参数 uFlags, 整数型

    .参数 uBytes, 整数型

.DLL命令 FillMemory, 整数型, "kernel32.dll", "RtlFillMemory", , 填充内存字节

    .参数 Destination, 整数型, , 指针地址

    .参数 Length, 整数型, , 长度

    .参数 Fill, 字节型, , 字节数据

.DLL命令 LocalFree, 整数型, "kernel32.dll", "LocalFree"

    .参数 hMem, 整数型

.DLL命令 GetFileTitle, 整数型, "comdlg32.dll", "GetFileTitleA", , 返回文件名

    .参数 lpszFile, 文本型

    .参数 lpszTitle, 文本型

    .参数 cbBuf, 短整数型

.DLL命令 lstrcpyn_Bin, 整数型, "kernel32.dll", "lstrcpyn", , 字节集

    .参数 欲取其指针, 字节集, 传址

    .参数 欲取其指针, 字节集, 传址

    .参数 保留, 整数型, , 0