易语言枚举隐藏的进程源码

易语言枚举隐藏的进程源码系统结构:进程信息,EnumPro,取公司名称,GetCommandLine,数值到时间,GetUser_WTS,DOS路径转换_,处理事件_,LoadLibrary,GetProcAddress,FreeLibrary,loadDll,GetActiveWindow,GetCurrentProcessId,SendMessageA,ImageList_Destroy,ImageList_Create,ImageList_AddIcon,ImageList_SetBkColor,SHGetFileInfo,RegOpenKey,RegEnumValue,RegQueryValueEx,RegCloseKey,取特定目录_,GetFileVersionInfoSize,GetFileVersionInfo,VerQueryValue,RtlMoveMemory_字节集,ShellExecute,ShellExecuteEx,FindWindow,FindWindowEx,PostMessageA,取路径文件名_,删除扩展名_,PathFindExtension,GetWindowThreadProcessId,CloseHandle,OpenProcess,VirtualAllocEx,ReadProcessMemory_字节集,ReadProcessMemory_文本,RtlMoveMemory_图标,CreateRemoteThread,WaitForSingleObject,GetExitCodeThread,LoadLibraryA,WideCharToMultiByte,VirtualFreeEx,CreateToolhelp32Snapshot,Process32First,GetModuleFileNameExA,Process32Next,EnumWindows,GetParent,GetWindowText,AllocateAndGetTcpExTableFromStack,AllocateAndGetUdpExTableFromStack,RtlMoveMemory_Tcp,RtlMoveMemory_UDP,GetProcessHeap,GetTcpTable,LocalSize,ntohs,SetTcpEntry,lstrlen,inet_ntoa,RtlMoveMemory_文本,OpenSCManager,EnumServicesStatusEx,RtlMoveMemory_服务,OpenService,ControlService,DeleteService,CloseServiceHandle,QueryServiceStatus,QueryServiceStatusEx,GetWindow,RtlAdjustPrivilege,IsWindowVisible,GetProcessMemoryInfo,OpenProcessToken,GetTokenInformation,LookupAccountSid,LookupAccountSidA,LocalFree,LocalAlloc,NtQuerySystemInformation,RtlMoveMemory_SYSTEM_PROCESSES,WinStationGetProcessSid,GetProcessTimes,GetLogicalDriveStringsA,QueryDosDeviceA,GetProcessImageFileNameA,MoveFileEx,GetModuleHandleA,GetPriorityClass,Module32First,Module32Next,CreateFileMapping,MapViewOfFile,UnmapViewOfFile,RtlMoveMemory_TRAYDATA,CopyMemory_SYSTEM_PROCESSES,GetModuleFileNameEx,GetMappedFileName,ZwQueryInformationThread_,OpenThread,GetInputState,FileTimeToSystemTime,FileTimeToLocalFileTime, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------进程信息 || ||------EnumPro || ||------取公司名称 || ||------GetCommandLine || ||------数值到时间 || ||------GetUser_WTS || ||------DOS路径转换_ || ||------处理事件_ || ||------__启动窗口_尺寸被改变 || ||------_列表框_进程_右键单击表项 || ||------_刷新_被选择 || ||------_结束进程_被选择 || || ======调用的Dll || ||---[dll]------LoadLibrary || ||---[dll]------GetProcAddress || ||---[dll]------FreeLibrary || ||---[dll]------loadDll || ||---[dll]------GetActiveWindow || ||---[dll]------GetCurrentProcessId || ||---[dll]------SendMessageA || ||---[dll]------ImageList_Destroy || ||---[dll]------ImageList_Create || ||---[dll]------ImageList_AddIcon || ||---[dll]------ImageList_SetBkColor || ||---[dll]------SHGetFileInfo || ||---[dll]------RegOpenKey || ||---[dll]------RegEnumValue || ||---[dll]------RegQueryValueEx || ||---[dll]------RegCloseKey || ||---[dll]------取特定目录_ || ||---[dll]------GetFileVersionInfoSize || ||---[dll]------GetFileVersionInfo || ||---[dll]------VerQueryValue || ||---[dll]------RtlMoveMemory_字节集 || ||---[dll]------ShellExecute || ||---[dll]------ShellExecuteEx || ||---[dll]------FindWindow || ||---[dll]------FindWindowEx || ||---[dll]------PostMessageA || ||---[dll]------取路径文件名_ || ||---[dll]------删除扩展名_ || ||---[dll]------PathFindExtension || ||---[dll]------GetWindowThreadProcessId || ||---[dll]------CloseHandle || ||---[dll]------OpenProcess || ||---[dll]------VirtualAllocEx || ||---[dll]------ReadProcessMemory_字节集 || ||---[dll]------ReadProcessMemory_文本 || ||---[dll]------RtlMoveMemory_图标 || ||---[dll]------CreateRemoteThread || ||---[dll]------WaitForSingleObject || ||---[dll]------GetExitCodeThread || ||---[dll]------LoadLibraryA || ||---[dll]------WideCharToMultiByte || ||---[dll]------VirtualFreeEx || ||---[dll]------CreateToolhelp32Snapshot || ||---[dll]------Process32First || ||---[dll]------GetModuleFileNameExA || ||---[dll]------Process32Next || ||---[dll]------EnumWindows || ||---[dll]------GetParent || ||---[dll]------GetWindowText || ||---[dll]------AllocateAndGetTcpExTableFromStack || ||---[dll]------AllocateAndGetUdpExTableFromStack || ||---[dll]------RtlMoveMemory_Tcp || ||---[dll]------RtlMoveMemory_UDP || ||---[dll]------GetProcessHeap || ||---[dll]------GetTcpTable || ||---[dll]------LocalSize || ||---[dll]------ntohs || ||---[dll]------SetTcpEntry || ||---[dll]------lstrlen || ||---[dll]------inet_ntoa || ||---[dll]------RtlMoveMemory_文本 || ||---[dll]------OpenSCManager || ||---[dll]------EnumServicesStatusEx || ||---[dll]------RtlMoveMemory_服务 || ||---[dll]------OpenService || ||---[dll]------ControlService || ||---[dll]------DeleteService || ||---[dll]------CloseServiceHandle || ||---[dll]------QueryServiceStatus || ||---[dll]------QueryServiceStatusEx || ||---[dll]------GetWindow || ||---[dll]------RtlAdjustPrivilege || ||---[dll]------IsWindowVisible || ||---[dll]------GetProcessMemoryInfo || ||---[dll]------OpenProcessToken || ||---[dll]------GetTokenInformation || ||---[dll]------LookupAccountSid || ||---[dll]------LookupAccountSidA || ||---[dll]------LocalFree || ||---[dll]------LocalAlloc || ||---[dll]------NtQuerySystemInformation || ||---[dll]------RtlMoveMemory_SYSTEM_PROCESSES || ||---[dll]------WinStationGetProcessSid || ||---[dll]------GetProcessTimes || ||---[dll]------GetLogicalDriveStringsA || ||---[dll]------QueryDosDeviceA || ||---[dll]------GetProcessImageFileNameA || ||---[dll]------MoveFileEx || ||---[dll]------GetModuleHandleA || ||---[dll]------GetPriorityClass || ||---[dll]------Module32First || ||---[dll]------Module32Next || ||---[dll]------CreateFileMapping || ||---[dll]------MapViewOfFile || ||---[dll]------UnmapViewOfFile || ||---[dll]------RtlMoveMemory_TRAYDATA || ||---[dll]------CopyMemory_SYSTEM_PROCESSES || ||---[dll]------GetModuleFileNameEx || ||---[dll]------GetMappedFileName || ||---[dll]------ZwQueryInformationThread_ || ||---[dll]------OpenThread || ||---[dll]------GetInputState || ||---[dll]------FileTimeToSystemTime || ||---[dll]------FileTimeToLocalFileTime 调用的DLL命令: .DLL命令LoadLibrary,整数型,"kernel32.dll","LoadLibraryA" .参数FileName,文本型 .DLL命令GetProcAddress,整数型,"kernel32.dll","GetProcAddress" .参数hModule,整数型 .参数ProName,文本型 .DLL命令FreeLibrary,整数型,"kernel32","FreeLibrary" .参数hModule,整数型 .DLL命令loadDll,逻辑型,,"loadDll" .参数依赖句柄,整数型 .参数宽度,整数型 .参数高度,整数型 .参数文本1,文本型 .参数文本2,文本型 .参数文本3,文本型 .参数数值1,整数型 .参数数值2,整数型 .参数数值3,整数型 .DLL命令GetActiveWindow,整数型,"user32","GetActiveWindow" .DLL命令GetCurrentProcessId,整数型,"kernel32.dll","GetCurrentProcessId" .DLL命令SendMessageA,整数型,,"SendMessageA" .参数窗口句柄,整数型 .参数信息值,整数型 .参数wParam,整数型 .参数lParam,整数型 .DLL命令ImageList_Destroy,整数型,"comctl32.dll","ImageList_Destroy" .参数himl,整数型 .DLL命令ImageList_Create,整数型,"comctl32.dll","ImageList_Create" .参数cx,整数型,,宽度 .参数cy,整数型,,高度 .参数flags,整数型,,位深ILC_ .参数cInitial,整数型,,初始数量 .参数cGrow,整数型,,是否手动销毁 .DLL命令ImageList_AddIcon,整数型,"comctl32.dll","ImageList_AddIcon" .参数himl,整数型 .参数hicon,整数型 .DLL命令ImageList_SetBkColor,整数型,"comctl32.dll","ImageList_SetBkColor" .参数himl,整数型 .参数clrBk,整数型 .DLL命令SHGetFileInfo,整数型,"shell32.dll","SHGetFileInfoA" .参数pszPath,文本型 .参数dwFileAttributes,整数型 .参数psfi,SHfileInfo .参数cbFileInfo,整数型 .参数uFlags,整数型 .DLL命令RegOpenKey,整数型,"advapi32.dll","RegOpenKeyA" .参数hKey,整数型 .参数lpSubKey,文本型,传址,要打开的项名 .参数phkResult,整数型,传址,指定一个变量，用于装载（保存）打开注册表项的一个句柄 .DLL命令RegEnumValue,整数型,"advapi32.dll","RegEnumValueA",,枚举指定项的值 .参数标准项名或句柄,整数型 .参数项索引,整数型 .参数值名称,文本型,传址 .参数值名称长度,整数型,传址 .参数保留参数,整数型 .参数类型,整数型,传址 .参数数据缓冲区,字节集,传址 .参数数据缓冲区长度,整数型,传址 .DLL命令RegQueryValueEx,整数型,"advapi32.dll","RegQueryValueExA" .参数hKey,整数型 .参数lpValueName,文本型,,要获取值的名字 .参数lpReserved,整数型,,未用，设为零 .参数lpType,整数型,传址,用于装载取回数据类型的一个变量 .参数lpData,字节集,传址,用于装载指定值的一个缓冲区 .参数lpcbData,整数型,传址,用于装载lpData缓冲区长度的一个变量。一旦返回，它会设为实际装载到缓冲区的字节数; .DLL命令RegCloseKey,整数型,"advapi32.dll","RegCloseKey" .参数hKey,整数型 .DLL命令取特定目录_,,,"SHGetSpecialFolderPathA" .参数a .参数b,文本型 .参数c .参数d .DLL命令GetFileVersionInfoSize,整数型,"VERSION.DLL","GetFileVersionInfoSizeA" .参数文件名称,文本型 .参数文件句柄,整数型,,添入0 .DLL命令GetFileVersionInfo,整数型,"VERSION.DLL","GetFileVersionInfoA" .参数文件名称,文本型 .参数指定句柄,整数型,,win32中未用 .参数缓冲变量长度,整数型 .参数装载缓冲变量,字节集,传址 .DLL命令VerQueryValue,整数型,"VERSION.DLL","VerQueryValueA" .参数内存块首区域位置,字节集,传址 .参数版本信息相对路径,文本型,传址 .参数装载缓冲变量,整数型,传址 .参数缓冲变量长度,整数型,传址 .DLL命令RtlMoveMemory_字节集,,,"RtlMoveMemory" .参数目标数据,字节集,传址 .参数源数据,整数型 .参数内存长度,整数型 .DLL命令ShellExecute,整数型,,"ShellExecuteA" .参数hwnd,整数型 .参数lpOperation,文本型 .参数lpFile,文本型 .参数lpParameters,文本型 .参数lpDirectory,文本型 .参数nShowCmd,整数型 .DLL命令ShellExecuteEx,整数型,"shell32.dll","ShellExecuteEx" .参数SEI,ShellEXECuteInfo .DLL命令FindWindow,整数型,"user32","FindWindowA" .参数lpClassName,文本型 .参数lpWindowName,整数型 .DLL命令FindWindowEx,整数型,"user32","FindWindowExA" .参数hWnd1,整数型 .参数hWnd2,整数型 .参数lpsz1,文本型 .参数lpsz2,整数型 .DLL命令PostMessageA,整数型,"user32","PostMessageA" .参数hwnd,整数型 .参数wMsg,整数型 .参数wParam,整数型 .参数lParam,字节型 .DLL命令取路径文件名_,整数型,"shlwapi.dll","PathFindFileNameA",,成功返回路径文本指针地址 .参数pszPath,文本型 .DLL命令删除扩展名_,,"shlwapi.dll","PathRemoveExtensionA",,, .参数pszPath,文本型 .DLL命令PathFindExtension,整数型,"shlwapi.dll","PathFindExtensionA",,无扩展名返回空 .参数pszPath,文本型 .DLL命令GetWindowThreadProcessId,整数型,"user32.dll","GetWindowThreadProcessId" .参数hwnd,整数型 .参数pid,整数型,传址 .DLL命令CloseHandle,整数型,,"CloseHandle" .参数hwnd,整数型 .DLL命令OpenProcess,整数型,"kernel32.dll","OpenProcess" .参数dwDesiredAccess,整数型 .参数bInheritHandle,逻辑型,,是否继承 .参数dwProcessId,整数型 .DLL命令VirtualAllocEx,整数型,"kernel32.dll","VirtualAllocEx" .参数hProcess,整数型 .参数lpAddress,整数型 .参数dwSize,整数型 .参数flAllocationType,整数型 .参数flProtect,整数型 .DLL命令ReadProcessMemory_字节集,整数型,,"ReadProcessMemory" .参数hProcess,整数型 .参数lpBaseAddress,整数型 .参数lpBuffer,字节集,传址 .参数nSize,整数型 .参数lpNumberOfBytesWritten,整数型 .DLL命令ReadProcessMemory_文本,逻辑型,,"ReadProcessMemory" .参数hProcess,整数型 .参数lpBaseAddress,整数型 .参数lpBuffer,文本型 .参数nSize,整数型 .参数lpNumberOfBytesRead,整数型,传址 .DLL命令RtlMoveMemory_图标,,"kernel32.dll","RtlMoveMemory" .参数目标内容,TBBUTTON,传址 .参数源数据,字节集 .参数尺寸,整数型 .DLL命令CreateRemoteThread,整数型 .参数hProcess,整数型 .参数lpThreadAttributes,整数型 .参数dwStackSize,整数型 .参数lpStartAddress,整数型 .参数lpParameter,整数型 .参数dwCreationFlags,整数型 .参数lpThreadId,整数型,传址 .DLL命令WaitForSingleObject,整数型 .参数hHandle,整数型 .参数dwMilliseconds,整数型 .DLL命令GetExitCodeThread,整数型 .参数hThread,整数型 .参数lpExitCode,整数型,传址 .DLL命令LoadLibraryA,整数型 .参数lpFileName,文本型,,; .DLL命令WideCharToMultiByte,整数型 .参数CodePage,整数型 .参数dwFlags,整数型 .参数lpWideCharStr,字节集 .参数cchWideChar,整数型 .参数lpMultiByteStr,文本型,传址 .参数cbMultiByte,整数型 .参数lpDefaultChar,文本型 .参数lpUsedDefaultChar,逻辑型 .DLL命令VirtualFreeEx,逻辑型,,,公开 .参数hProcess,整数型 .参数lpAddress,整数型 .参数dwSize,整数型 .参数flAllocationType,整数型 .DLL命令CreateToolhelp32Snapshot,整数型,,"CreateToolhelp32Snapshot" .参数dwFlags,整数型 .参数th32ProcessID,整数型 .DLL命令Process32First,整数型,,"Process32First" .参数hSnapshot,整数型 .参数lppe,PROCESSENTRY32 .DLL命令GetModuleFileNameExA,整数型,"psapi.dll","GetModuleFileNameExA",,,取模块文件名扩展_ .参数hProcess,整数型 .参数hModule,整数型 .参数lpFilename,文本型 .参数nSize,整数型 .DLL命令Process32Next,整数型,,"Process32Next" .参数hSnapshot,整数型 .参数lppe,PROCESSENTRY32 .DLL命令EnumWindows,整数型,"user32.dll","EnumWindows" .参数函数指针,子程序指针 .参数自定义数值,整数型 .DLL命令GetParent,逻辑型,,"GetParent" .参数hwnd,整数型 .DLL命令GetWindowText,整数型,"user32","GetWindowTextA" .参数窗口句柄,整数型 .参数缓冲区,文本型 .参数缓冲尺寸,整数型 .DLL命令AllocateAndGetTcpExTableFromStack,整数型,"Iphlpapi.dll" .参数ppUDPTable,整数型,传址 .参数bOrder,逻辑型 .参数hHeap,整数型 .参数dwFlags,整数型 .参数dwFamily,整数型 .DLL命令AllocateAndGetUdpExTableFromStack,整数型,"Iphlpapi.dll" .参数ppUDPTable,整数型,传址 .参数bOrder,逻辑型 .参数hHeap,整数型 .参数dwFlags,整数型 .参数dwFamily,整数型 .DLL命令RtlMoveMemory_Tcp,,,"RtlMoveMemory" .参数Destination,MIB_TCPEXROW,传址数组 .参数Source,整数型 .参数Length,整数型 .DLL命令RtlMoveMemory_UDP,,,"RtlMoveMemory" .参数Destination,MIB_UDPEXROW,传址数组 .参数Source,整数型 .参数Length,整数型 .DLL命令GetProcessHeap,整数型 .DLL命令GetTcpTable,整数型,"IPHLPAPI.DLL","GetTcpTable",,　 .参数pTcpTable,MIB_TCPTABLE,传址 .参数pdwSize,整数型,传址 .参数border,整数型 .DLL命令LocalSize,整数型,"kernel32","LocalSize",,返回本地内存块大小　 .参数hMem,MIB_TCPTABLE .DLL命令ntohs,整数型,"ws2_32.dll","ntohs",,　 .参数netshort,短整数型 .DLL命令SetTcpEntry,整数型,"IPHLPAPI.DLL","SetTcpEntry",,　 .参数pTcpRow,MIB_TCPROW .DLL命令lstrlen,整数型,"kernel32","lstrlenA",,返回字符串中字符数　 .参数lpString,整数型 .DLL命令inet_ntoa,整数型,"ws2_32.dll","inet_ntoa" .参数IP .DLL命令RtlMoveMemory_文本,,"kernel32","RtlMoveMemory",,　 .参数pDest,文本型 .参数pSrc,整数型 .参数ByteLen,整数型 .DLL命令OpenSCManager,整数型,"advapi32.dll","OpenSCManagerA",,连接服务控件管理器 .参数lpMachineName,整数型 .参数lpDatabaseName,整数型 .参数dwDesiredAccess,整数型 .DLL命令EnumServicesStatusEx,整数型,"ADVAPI32.DLL","EnumServicesStatusExA" .参数hSCManager,整数型 .参数InfoLevel,整数型 .参数dwServiceType,整数型 .参数dwServiceState,整数型 .参数lpServices,字节集,传址 .参数cbBufSize,整数型 .参数pcbBytesNeeded,整数型,传址 .参数lpServicesReturned,整数型,传址 .参数lpResumeHandle,整数型 .参数pszGroupName,整数型 .DLL命令RtlMoveMemory_服务,整数型,,"RtlMoveMemory" .参数Destination,Enum_Service_Status_Process .参数Source,字节集 .参数Length,整数型 .DLL命令OpenService,整数型,"Advapi32.dll","OpenServiceA" .参数hSCManager,整数型 .参数lpServiceName,文本型 .参数dwDesiredAccess,整数型 .DLL命令ControlService,整数型,"advapi32.dll","ControlService",,向服务器发送控件 .参数hService,整数型 .参数dwControl,整数型 .参数lpServiceStatus,Service_Status,传址 .DLL命令DeleteService,逻辑型,"advapi32.dll","DeleteService",,从SCMANAGER数据库中删除服务　 .参数hService,整数型 .DLL命令CloseServiceHandle,整数型,"advapi32.dll","CloseServiceHandle",,关闭ServiceControlManager对象　 .参数hSCObject,整数型 .DLL命令QueryServiceStatus,整数型,"advapi32.dll","QueryServiceStatus",,获取服务状态 .参数hService,整数型 .参数lpServiceStatus,Service_Status,传址 .DLL命令QueryServiceStatusEx,整数型,"ADVAPI32.DLL","QueryServiceStatusEx" .参数hService,整数型 .参数InfoLevel,整数型 .参数lpBuffer,字节集 .参数cbBufSize,整数型 .参数pcbBytesNeeded,整数型,传址 .DLL命令GetWindow,整数型,"user32","GetWindow" .参数hwnd,整数型 .参数wCmd,整数型 .DLL命令RtlAdjustPrivilege,整数型,"ntdll.dll",,,提升进程权限 .参数se_,整数型 .参数true_,逻辑型 .参数hprocess,整数型 .参数ret,整数型,传址 .DLL命令IsWindowVisible,逻辑型,"user32","IsWindowVisible" .参数hwnd,整数型 .DLL命令GetProcessMemoryInfo,整数型,"psapi.dll","GetProcessMemoryInfo",,取进程内存信息_ .参数进程句柄,整数型 .参数进程内存结构,Process_Memory_Counters .参数结构大小,整数型 .DLL命令OpenProcessToken,逻辑型,"Advapi32.dll","OpenProcessToken" .参数ProcessHandle,整数型 .参数DesiredAccess,整数型 .参数TokenHandle,整数型,传址 .DLL命令GetTokenInformation,逻辑型,"Advapi32.dll","GetTokenInformation" .参数TokenHandle,整数型 .参数TokenInformationClass,整数型 .参数TokenInformation,字节集,传址 .参数TokenInformationLength,整数型 .参数ReturnLength,整数型,传址 .DLL命令LookupAccountSid,逻辑型,"Advapi32.dll","LookupAccountSidA" .参数lpSystemName,文本型 .参数lpSid,字节集 .参数lpName,文本型 .参数cchName,整数型,传址 .参数lpReferencedDomainName,文本型 .参数cchReferencedDomainName,整数型,传址 .参数peUse,整数型,传址 .DLL命令LookupAccountSidA,逻辑型,"Advapi32.dll" .参数lpSystemName,文本型 .参数lpSid,整数型 .参数lpName,文本型 .参数cchName,整数型,传址 .参数lpReferencedDomainName,文本型 .参数cchReferencedDomainName,整数型,传址 .参数peUse,整数型,传址 .DLL命令LocalFree,整数型,"kernel32","LocalFree" .参数hMem,整数型 .DLL命令LocalAlloc,整数型,"kernel32","LocalAlloc" .参数wFlags,整数型 .参数wBytes,整数型 .DLL命令NtQuerySystemInformation,整数型,"ntdll.dll" .参数SystemInformationClass,整数型 .参数SystemInformation,整数型 .参数SystemInformationLength,整数型 .参数ReturnLength,整数型,传址 .DLL命令RtlMoveMemory_SYSTEM_PROCESSES,,"kernel32","RtlMoveMemory" .参数Destination,SYSTEM_PROCESS_INFORMATION .参数Source,整数型 .参数Length,整数型 .DLL命令WinStationGetProcessSid,整数型,"Winsta.dll","WinStationGetProcessSid" .参数hServer,整数型 .参数ProcessId,整数型 .参数ProcessStartTime,长整数型 .参数pProcessUserSid,字节集,传址 .参数dwSidSize,整数型,传址 .DLL命令GetProcessTimes,整数型,"kernel32","GetProcessTimes" .参数hProcess,整数型 .参数lpCreationTime,FILETIME,传址 .参数lpExitTime,长整数型,传址 .参数lpKernelTime,FILETIME,传址 .参数lpUserTime,FILETIME,传址 .DLL命令GetLogicalDriveStringsA,整数型,"kernel32.dll","GetLogicalDriveStringsA" .参数nBufferLength,整数型 .参数lpBuffer,字节集 .DLL命令QueryDosDeviceA,整数型,"kernel32.dll","QueryDosDeviceA" .参数lpDeviceName,文本型 .参数lpTargetPath,文本型 .参数ucchMax,整数型 .DLL命令GetProcessImageFileNameA,整数型,"psapi.dll" .参数hProcess,整数型 .参数lpImageFileName,文本型 .参数nSize,整数型 .DLL命令MoveFileEx,逻辑型,"Kernel32.dll","MoveFileExA" .参数lpExistingFileName,文本型 .参数lpNewFileName,文本型 .参数dwFlags,整数型 .DLL命令GetModuleHandleA,整数型 .参数lpModuleName,文本型 .DLL命令GetPriorityClass,整数型,"kernel32","GetPriorityClass" .参数进程句柄,整数型,,; .DLL命令Module32First,整数型,"kernel32.dll","Module32First",,取模块信息 .参数hSnapshot,整数型 .参数模块信息,模块信息 .DLL命令Module32Next,整数型,"kernel32.dll" .参数hSnapshot,整数型 .参数模块信息,模块信息 .DLL命令CreateFileMapping,整数型,"kernel32.dll","CreateFileMappingA",,创建一个新的文件映射对象 .参数hFile,整数型 .参数lpFileMappigAttributes,整数型 .参数flProtect,整数型 .参数dwMaximumSizeHigh,整数型 .参数dwMaximumSizeLow,整数型 .参数lpName,整数型 .DLL命令MapViewOfFile,整数型,"kernel32.dll","MapViewOfFile",,将一个文件映射对象映射到当前应用程序的地址空间 .参数hFileMappingObject,整数型 .参数dwDesiredAccess,整数型 .参数dwFileOffsetHigh,整数型 .参数dwFileOffsetLow,整数型 .参数dwNumberOfBytesToMap,整数型 .DLL命令UnmapViewOfFile,整数型,"kernel32.dll","UnmapViewOfFile",,在当前应用程序的内存地址空间解除对一个文件映射对象的映射 .参数lpBaseAddress,整数型 .DLL命令RtlMoveMemory_TRAYDATA,,"kernel32.dll","RtlMoveMemory",,拷贝内存 .参数目标内容,TRAYDATA,传址 .参数源数据,字节集 .参数尺寸,整数型 .DLL命令CopyMemory_SYSTEM_PROCESSES,,"kernel32","RtlMoveMemory" .参数Destination,SYSTEM_PROCESSES .参数Source,整数型 .参数Length,整数型 .DLL命令GetModuleFileNameEx,整数型,"psapi.dll","GetModuleFileNameExA",,, .参数进程句柄,整数型,,hProcess .参数模块句柄,整数型,,hModule .参数文件名缓冲区,文本型,,lpFilename .参数缓冲区大小,整数型,,nSize .DLL命令GetMappedFileName,整数型,"Psapi.dll","GetMappedFileNameA" .参数hProcess,整数型 .参数lpv,整数型 .参数lpFilename,文本型 .参数nSize,整数型 .DLL命令ZwQueryInformationThread_,整数型,"ntdll.dll","ZwQueryInformationThread" .参数ThreadHandle,整数型 .参数ThreadInformationClass,整数型 .参数ThreadInformation,整数型,传址 .参数ThreadInformationLength,整数型 .参数ReturnLength,整数型,传址 .DLL命令OpenThread,整数型,"kernel32.dll","OpenThread" .参数dwDesiredAccess,整数型 .参数bInheritHandle,整数型 .参数dwThreadId,整数型 .DLL命令GetInputState,整数型,"user32","GetInputState" .DLL命令FileTimeToSystemTime,逻辑型,"Kernel32.dll" .参数lpFileTime,FILETIME .参数lpSystemTime,SYSTEMTIME,传址 .DLL命令FileTimeToLocalFileTime,逻辑型,"Kernel32.dll" .参数lpFileTime,FILETIME .参数lpLocalFileTime,FILETIME,传址