易语言R3调试清零源码

系统结构:ReadDeBugPort,WriteDeBugPort,GetApiAddress,GetCurrentProcessId,GetTextAddr,GetByteAddr,GetEProcess,GetDeBugPortoffet,StrToInt64ExA,ZwQuerySystemInformation,RtlMoveMemory3,RtlMoveMemory2,NtQuerySystemInformation,LocalAlloc,LocalFree,RtlMoveMemory_Module,NtSystemDebugControl,OpenProcess,CloseHandle,RtlAdjustPrivilege,

======Main
           |  |
           |  |------ __启动窗口_创建完毕
           |  |
           |  |------ ReadDeBugPort
           |  |
           |  |------ WriteDeBugPort
           |  |
           |  |------ GetApiAddress
           |  |
           |  |------ GetCurrentProcessId
           |  |
           |  |------ GetTextAddr
           |  |
           |  |------ GetByteAddr
           |  |
           |  |------ GetEProcess
           |  |
           |  |------ _16ToQword
           |  |
           |  |------ GetDeBugPortoffet
           |  |
           |  |------ _按钮_被单击
           |  |
           |  |------ _按钮1_被单击
           |  |
           |  |
======调用的Dll
           |  |
           |  |---[dll]------   StrToInt64ExA
           |  |
           |  |---[dll]------   ZwQuerySystemInformation
           |  |
           |  |---[dll]------   RtlMoveMemory3
           |  |
           |  |---[dll]------   RtlMoveMemory2
           |  |
           |  |---[dll]------   NtQuerySystemInformation
           |  |
           |  |---[dll]------   LocalAlloc
           |  |
           |  |---[dll]------   LocalFree
           |  |
           |  |---[dll]------   RtlMoveMemory_Module
           |  |
           |  |---[dll]------   NtSystemDebugControl
           |  |
           |  |---[dll]------   OpenProcess
           |  |
           |  |---[dll]------   CloseHandle
           |  |
           |  |---[dll]------   RtlAdjustPrivilege

调用的DLL命令:

.DLL命令 StrToInt64ExA, 整数型, "shlwapi.dll", "StrToInt64ExA", , 64-bit integer
    .参数 pszString, 文本型
    .参数 dwFlags, 整数型, , 1为16进制，0为10进制
    .参数 piRet, 长整数型, 传址

.DLL命令 ZwQuerySystemInformation, 整数型, "ntdll.dll", "ZwQuerySystemInformation"
    .参数 SystemInformationClass, 整数型, , 未知类型：SYSTEM_INFORMATION_CLASS。
    .参数 SystemInformation, 字节集, , any
    .参数 SystemInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令 RtlMoveMemory3, 整数型, , "RtlMoveMemory"
    .参数 dest, 整数型, 传址
    .参数 Source, 整数型
    .参数 len, , , 4

.DLL命令 RtlMoveMemory2, 整数型, , "RtlMoveMemory"
    .参数 dest, SYSTEM_HANDLE_INFORMATION
    .参数 Source, 整数型
    .参数 len, , , 284

.DLL命令 NtQuerySystemInformation, 整数型, "ntdll.dll", "NtQuerySystemInformation", , 获取系统各类信息
    .参数 SystemInformationClass, 整数型
    .参数 SystemInformation, 整数型
    .参数 SystemInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令 LocalAlloc, 整数型, "kernel32", "LocalAlloc", , 应该是申请内存，，在同一段内分配内存. 返回个类似句柄的把
    .参数 wFlags, 整数型
    .参数 wBytes, 整数型

.DLL命令 LocalFree, 整数型, "kernel32", "LocalFree", , 释放内存
    .参数 hMem, 整数型, , 句柄

.DLL命令 RtlMoveMemory_Module, , , "RtlMoveMemory"
    .参数 Destination, SYSTEM_MODULE_INFORMATION
    .参数 Source, 整数型, , 缓冲区
    .参数 Length, 整数型, , 尺寸

.DLL命令 NtSystemDebugControl, 整数型, "ntdll.dll", "NtSystemDebugControl"
    .参数 Command, 整数型, , 8
    .参数 InputBuffer, 字节集
    .参数 InputBufferLength, 整数型
    .参数 OutputBuffer, 整数型
    .参数 OutputBufferLength, 整数型
    .参数 ReturnLength, 整数型, 传址

.DLL命令 OpenProcess, 整数型
    .参数 PROCESS_ALL_ACCESS, , , 2035711
    .参数 flag, , , 0
    .参数 id

.DLL命令 CloseHandle
    .参数 handle

.DLL命令 RtlAdjustPrivilege, 整数型, "ntdll.dll", "RtlAdjustPrivilege"
    .参数 Privilege, 整数型, , 所需要的权限名称
    .参数 Enable, 整数型, , 如果为True 就是打开相应权限，如果为False 则是关闭相应权限
    .参数 CurrentThread, 整数型, , 如果为True 则仅提升当前线程权限，否则提升整个进程的权限
    .参数 Enabled, 整数型, 传址, 输出原来相应权限的状态  打开|关闭