易语言驱动磁盘还原源码

易语言驱动磁盘还原源码系统结构:找字节,取保护信息,改保护,拦截驱动,取拦截信息,修改密码,安装驱动,写入注册表,卸载驱动,磁盘信息,重启系统,驱动是否运行,MD5加密,MD5演示函数_取高16位,MD5演示函数_取低16位,MD5演示函数_正整数加法,MD5演示函数_循环左移,MD5演示函数_取输出文本,MD5演示函数_取十六进制文本,MD5演示函数_F,MD5演示函数_G,MD5演示函数_H,MD5演示函数_I,MD5演示函数_FF,MD5演示函数_GG,MD5演示函数_HH,MD5演示函数_II,MD5演示函数_轮函数,提升进程权限,到十进制,比较密码,API_创建文件,API_OpenSCManager,CopyMemory,CopyMemory2,API_OpenService,API_QueryServiceStatus,API_SHDeleteKey,API_ControlService,CopyMemory3,API_获取逻辑驱动器字串,API_驱动器类型,API_RegCreateKey,API_RegOpenKey,API_RegQueryValueEx,API_RtlZeroMemory,API_RegCloseKey,API_RegFlushKey,API_RegSetValueEx,API_RegSetValueExf,API_RegSetValueExy,API_GetDiskFreeSpaceEx,API_取磁盘信息,API_RegOpenKeyEx,API_IsBadReadPtr,API_memcmp,API_取文件尺寸,API_数据刷新到磁盘,CopyMemory4,API_GetProcAddress,ImageRvaToVa,API_创建文件映射对象,API_MapViewOfFile,API_UnmapViewOfFile,API_WideCharToMultiByte,API_MultiByteToWideChar,API_关闭内核对象,API_SetFilePointer,CopyMemory5,CopyMemory6,CopyMemory7,CheckSumMappedFile,API_CreateService,API_StartService,API_WriteFile,API_CloseServiceHandle,API_DeleteService,API_设备操作,API_设备操作x,API_GetModuleHandle,API_载入动态链接库,ZwQuerySystemInformation,API_CopyMemory,十六转十_,API_CopyMemoryx,API_关闭系统,OpenProcess,取自进程ID,打开令牌对象,置进程权限,取权限令牌, ======程序集1 || ||------找字节 || ||------取保护信息 || ||------改保护 || ||------拦截驱动 || ||------取拦截信息 || ||------修改密码 || ||------安装驱动 || ||------写入注册表 || ||------卸载驱动 || ||------磁盘信息 || ||------重启系统 || ||------驱动是否运行 || || ======窗口程序集1 || ||------_启动子程序 || ||------_临时子程序 || ||------_修改保护_被单击 || ||------_窗口1_创建完毕 || ||------_命令选择框_列表项被选择 || ||------_安装驱动_被单击 || ||------_修改密码_被单击 || ||------_卸载驱动_被单击 || ||------_驱动拦截框_鼠标左键被按下 || ||------_标签1_鼠标左键被按下 || || ======程序集3 || ||------MD5加密 || ||------MD5演示函数_取高16位 || ||------MD5演示函数_取低16位 || ||------MD5演示函数_正整数加法 || ||------MD5演示函数_循环左移 || ||------MD5演示函数_取输出文本 || ||------MD5演示函数_取十六进制文本 || ||------MD5演示函数_F || ||------MD5演示函数_G || ||------MD5演示函数_H || ||------MD5演示函数_I || ||------MD5演示函数_FF || ||------MD5演示函数_GG || ||------MD5演示函数_HH || ||------MD5演示函数_II || ||------MD5演示函数_轮函数 || ||------提升进程权限 || ||------到十进制 || || ======窗口程序集3 || ||------_按钮1_被单击 || ||------比较密码 || || ======窗口程序集4 || ||------_按钮1_被单击 || || ======调用的Dll || ||---[dll]------API_创建文件 || ||---[dll]------API_OpenSCManager || ||---[dll]------CopyMemory || ||---[dll]------CopyMemory2 || ||---[dll]------API_OpenService || ||---[dll]------API_QueryServiceStatus || ||---[dll]------API_SHDeleteKey || ||---[dll]------API_ControlService || ||---[dll]------CopyMemory3 || ||---[dll]------API_获取逻辑驱动器字串 || ||---[dll]------API_驱动器类型 || ||---[dll]------API_RegCreateKey || ||---[dll]------API_RegOpenKey || ||---[dll]------API_RegQueryValueEx || ||---[dll]------API_RtlZeroMemory || ||---[dll]------API_RegCloseKey || ||---[dll]------API_RegFlushKey || ||---[dll]------API_RegSetValueEx || ||---[dll]------API_RegSetValueExf || ||---[dll]------API_RegSetValueExy || ||---[dll]------API_GetDiskFreeSpaceEx || ||---[dll]------API_取磁盘信息 || ||---[dll]------API_RegOpenKeyEx || ||---[dll]------API_IsBadReadPtr || ||---[dll]------API_memcmp || ||---[dll]------API_取文件尺寸 || ||---[dll]------API_数据刷新到磁盘 || ||---[dll]------CopyMemory4 || ||---[dll]------API_GetProcAddress || ||---[dll]------ImageRvaToVa || ||---[dll]------API_创建文件映射对象 || ||---[dll]------API_MapViewOfFile || ||---[dll]------API_UnmapViewOfFile || ||---[dll]------API_WideCharToMultiByte || ||---[dll]------API_MultiByteToWideChar || ||---[dll]------API_关闭内核对象 || ||---[dll]------API_SetFilePointer || ||---[dll]------CopyMemory5 || ||---[dll]------CopyMemory6 || ||---[dll]------CopyMemory7 || ||---[dll]------CheckSumMappedFile || ||---[dll]------API_CreateService || ||---[dll]------API_StartService || ||---[dll]------API_WriteFile || ||---[dll]------API_CloseServiceHandle || ||---[dll]------API_DeleteService || ||---[dll]------API_设备操作 || ||---[dll]------API_设备操作x || ||---[dll]------API_GetModuleHandle || ||---[dll]------API_载入动态链接库 || ||---[dll]------ZwQuerySystemInformation || ||---[dll]------API_CopyMemory || ||---[dll]------十六转十_ || ||---[dll]------API_CopyMemoryx || ||---[dll]------API_关闭系统 || ||---[dll]------OpenProcess || ||---[dll]------取自进程ID || ||---[dll]------打开令牌对象 || ||---[dll]------置进程权限 || ||---[dll]------取权限令牌 调用的DLL命令: .DLL命令API_创建文件,整数型,"kernel32.dll","CreateFileA",,这是一个全功能的例程，可打开和创建文件、管道、邮槽、通信服务、设备以及控制台如执行成功，则返回文件句柄。INVALID_HANDLE_VALUE表示出错，会设置GetLastError。即使函数成功，但若文件存在，且指定了CREATE_ALWAYS;或OPEN_ALWAYS，GetLastError也会设为ERROR_ALREADY_EXISTS .参数打开文件名,文本型,,要打开的文件的名字 .参数访问权限,整数型,,如果为GENERIC_READ表示允许对设备进行读访问；如果为GENERIC_WRITE表示允许对设备进行写访问（可组合使用）；如果为零，表示只允许获取与一个设备有关的信息 .参数共享方式,整数型,,零表示不共享；FILE_SHARE_READ和/或FILE_SHARE_WRITE表示允许对文件进行共享访问 .参数安全特性,整数型,,SECURITY_ATTRIBUTES，指向一个SECURITY_ATTRIBUTES结构的指针，定义了文件的安全特性（如果操作系统支持的话） .参数创建方式,整数型,,下述常数之一：;CREATE_NEW：创建文件；如文件存在则会出错;CREATE_ALWAYS：创建文件，会改写前一个文件;OPEN_EXISTING：文件必须已经存在。由设备提出要求;OPEN_ALWAYS：如文件不存在则创建它;TRUNCATE_EXISTING：讲现有文件缩短为零长度 .参数文件属性,整数型,,一个或多个下述常数;FILE_ATTRIBUTE_ARCHIVE：标记归档属性;FILE_ATTRIBUTE_COMPRESSED：将文件标记为已压缩，或者标记为文件在目录中的默认压缩方式;FILE_ATTRIBUTE_NORMAL：默认属性;FILE_ATTRIBUTE_HIDDEN：隐藏文件或目录;FILE_ATTRIBUTE_READONLY：文件为只读;FILE_ATTRIBUTE_SYSTEM：文件为系统文件;FILE_FLAG_WRITE_THROUGH：操作系统不得推迟对文件的写操作;FILE_FLAG_OVERLAPPED：允许对文件进行重叠操作;FILE_FLAG_NO_BUFFERING：禁止对文件进行缓冲处理。文件只能写入磁盘卷的扇区块;FILE_FLAG_RANDOM_ACCESS：针对随机访问对文件缓冲进行优化;FILE_FLAG_SEQUENTIAL_SCAN：针对连续访问对文件缓冲进行优化;FILE_FLAG_DELETE_ON_CLOSE：关闭了上一次打开的句柄后，将文件删除。特别适合临时文件也可在WindowsNT下组合使用下述常数标记：SECURITY_ANONYMOUS，SECURITY_IDENTIFICATION，SECURITY_IMPERSONATION，SECURITY_DELEGATION，SECURITY_CONTEXT_TRACKING，SECURITY_EFFECTIVE_ONLY .参数从文件复制文件属性,整数型,,如果不为零，则指定一个文件句柄。新文件将从这个文件中复制扩展属性; .DLL命令API_OpenSCManager,整数型,"advapi32.dll","OpenSCManagerA",,连接服务控件管理器 .参数lpMachineName,整数型 .参数lpDatabaseName,整数型 .参数dwDesiredAccess,整数型 .DLL命令CopyMemory,,"kernel32","RtlMoveMemory" .参数pDest,整数型 .参数pSrc,整数型,传址 .参数ByteLen,整数型 .DLL命令CopyMemory2,,"kernel32","RtlMoveMemory" .参数pDest,整数型 .参数pSrc,字节集,传址 .参数ByteLen,整数型 .DLL命令API_OpenService,整数型,"advapi32.dll","OpenServiceA",,打开服务 .参数hSCManager,整数型 .参数lpServiceName,文本型 .参数dwDesiredAccess,整数型 .DLL命令API_QueryServiceStatus,整数型,"advapi32.dll","QueryServiceStatus",,获取服务状态 .参数hService,整数型 .参数lpServiceStatus,SERVICE_STATUS .DLL命令API_SHDeleteKey,整数型,"shlwapi.dll","SHDeleteKeyA" .参数hkey,整数型 .参数pszSubKey,文本型 .DLL命令API_ControlService,整数型,"advapi32.dll","ControlService",,向服务器发送控件 .参数hService,整数型 .参数dwControl,整数型 .参数lpServiceStatus,SERVICE_STATUS .DLL命令CopyMemory3,,"kernel32","RtlMoveMemory" .参数pDest,IMAGE_SECTION_HEADER,传址 .参数pSrc,整数型 .参数ByteLen,整数型 .DLL命令API_获取逻辑驱动器字串,整数型,"kernel32","GetLogicalDriveStringsA",,获取一个字串，其中包含了当前所有逻辑驱动器的根驱动器路径装载到lpBuffer的字符数量（排除空中止字符）。如缓冲区的长度不够，不能容下路径，则返回值就变成要求的缓冲区大小。零表示失败。会设置GetLastError .参数缓冲器长度,整数型,,lpBuffer字串的长度 .参数缓冲区,字节集,传址,用于装载逻辑驱动器名称的字串。每个名字都用一个NULL字符分隔，在最后一个名字后面用两个NULL表示中止（空中止）; .DLL命令API_驱动器类型,整数型,"kernel32","GetDriveTypeA",,判断一个磁盘驱动器的类型如驱动器不能识别，则返回零。如指定的目录不存在，则返回1。如执行成功，则用下述任何一个常数指定驱动器类型：DRIVE_REMOVABLE，;DRIVE_FIXED，DRIVE_REMOTE，DRIVE_CDROM或DRIVE_RAMDISK .参数路径,字节型,传址,包含了驱动器根目录路径的一个字串; .DLL命令API_RegCreateKey,整数型,"advapi32.dll","RegCreateKeyA",,在指定的项下创建一个新项。如指定的项已经存在，那么函数会打开现有的项零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,要打开项的句柄，或者一个标准项名 .参数lpSubKey,文本型,,欲创建的新子项。可同时创建多个项，只需用反斜杠将它们分隔开即可。例如level1level2newkey .参数phkResult,整数型,传址,指定一个变量，用于装载新子项的句柄; .DLL命令API_RegOpenKey,整数型,"advapi32.dll","RegOpenKeyA",,打开一个现有的注册表项零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,一个已打开项的句柄，或指定一个标准项名 .参数lpSubKey,文本型,,要打开的项名 .参数phkResult,整数型,传址,指定一个变量，用于装载（保存）打开注册表项的一个句柄; .DLL命令API_RegQueryValueEx,整数型,"advapi32.dll","RegQueryValueExA",,获取一个项的设置值零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,一个已打开项的句柄，或者指定一个标准项名 .参数lpValueName,文本型,,要获取值的名字 .参数lpReserved,整数型,,未用，设为零 .参数lpType,整数型,传址,用于装载取回数据类型的一个变量 .参数lpData,字节集,传址,用于装载指定值的一个缓冲区 .参数lpcbData,整数型,传址,用于装载lpData缓冲区长度的一个变量。一旦返回，它会设为实际装载到缓冲区的字节数; .DLL命令API_RtlZeroMemory,,"kernel32.dll","RtlZeroMemory" .参数Destination,保护信息,传址 .参数Length,整数型 .DLL命令API_RegCloseKey,整数型,"advapi32.dll","RegCloseKey",,关闭系统注册表中的一个项（或键）零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,要关闭的项; .DLL命令API_RegFlushKey,整数型,"advapi32.dll","RegFlushKey",,将对项和它的子项作出的改动实际写入磁盘零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,欲刷新的一个项的句柄，或指定一个标准项名; .DLL命令API_RegSetValueEx,整数型,"advapi32.dll","RegSetValueExA",,设置指定项的值零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,一个已打开项的句柄，或指定一个标准项名 .参数lpValueName,文本型,,要设置值的名字 .参数Reserved,整数型,,未用，设为零 .参数dwType,整数型,,要设置的数量类型 .参数lpData,字节集,,包含数据的缓冲区中的第一个字节 .参数cbData,整数型,,lpData缓冲区的长度; .DLL命令API_RegSetValueExf,整数型,"advapi32.dll","RegSetValueExA",,设置指定项的值零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,一个已打开项的句柄，或指定一个标准项名 .参数lpValueName,文本型,,要设置值的名字 .参数Reserved,整数型,,未用，设为零 .参数dwType,整数型,,要设置的数量类型 .参数lpData,文本型,,包含数据的缓冲区中的第一个字节 .参数cbData,整数型,,lpData缓冲区的长度; .DLL命令API_RegSetValueExy,整数型,"advapi32.dll","RegSetValueExA",,设置指定项的值零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,一个已打开项的句柄，或指定一个标准项名 .参数lpValueName,文本型,,要设置值的名字 .参数Reserved,整数型,,未用，设为零 .参数dwType,整数型,,要设置的数量类型 .参数lpData,整数型,传址,包含数据的缓冲区中的第一个字节 .参数cbData,整数型,,lpData缓冲区的长度; .DLL命令API_GetDiskFreeSpaceEx,整数型,"kernel32.dll","GetDiskFreeSpaceExA" .参数lpDirectoryName,整数型 .参数lpFreeBytesAvailableToCaller,ULARGE_INTEGER,传址 .参数lpTotalNumberOfBytes,ULARGE_INTEGER,传址 .参数lpTotalNumberOfFreeBytes,整数型 .DLL命令API_取磁盘信息,整数型,"kernel32","GetVolumeInformationA",,获取与一个磁盘卷有关的信息非零表示成功，零表示失败。会设置GetLastError .参数卷根路径,文本型,,欲获取信息的那个卷的根路径 .参数卷名,整数型,,用于装载卷名（卷标）的一个字串 .参数卷名字符长度,整数型,,lpVolumeNameBuffer字串的长度 .参数磁盘卷序列号,整数型,,用于装载磁盘卷序列号的变量 .参数文件夹名长度,整数型,,指定一个变量，用于装载文件名每一部分的长度。例如，在“c:component1component2.ext”的情况下，它就代表component1或component2名称的长度 .参数标志,整数型,,用于装载一个或多个二进制位标志的变量。对这些标志位的解释如下：;FS_CASE_IS_PRESERVED：文件名的大小写记录于文件系统;FS_CASE_SENSITIVE：文件名要区分大小写;FS_UNICODE_STORED_ON_DISK：文件名保存为Unicode格式;FS_PERSISTANT_ACLS：文件系统支持文件的访问控制列表（ACL）安全机制;FS_FILE_COMPRESSION：文件系统支持逐文件的进行文件压缩;FS_VOL_IS_COMPRESSED：整个磁盘卷都是压缩的 .参数文件系统名称,文本型,传址,指定一个缓冲区，用于装载文件系统的名称（如FAT，NTFS以及其他） .参数名称长度,整数型,,lpFileSystemNameBuffer字串的长度; .DLL命令API_RegOpenKeyEx,整数型,"advapi32.dll","RegOpenKeyExA",,打开一个现有的项。在win32下推荐使用这个函数零（ERROR_SUCCESS）表示成功。其他任何值都代表一个错误代码 .参数hKey,整数型,,一个已打开项的句柄，或指定一个标准项名 .参数lpSubKey,文本型,,欲打开注册表项的名字 .参数ulOptions,整数型,,未用，设为零 .参数samDesired,整数型,,带有前缀KEY_??的一个或多个常数。它们的组合描述了允许对这个项进行哪些操作 .参数phkResult,整数型,传址,用于装载打开项的名字的一个变量; .DLL命令API_IsBadReadPtr,整数型,"kernel32","IsBadReadPtr",,确定进程是否有读动作 .参数lp,整数型 .参数ucb,整数型 .DLL命令API_memcmp,整数型,"ntdll.dll","memcmp",,比较两个字符串 .参数lpString1,整数型 .参数lpString2,字节集,传址 .参数length,整数型 .DLL命令API_取文件尺寸,整数型,"kernel32","GetFileSize",,判断文件长度返回文件长度。&HFFFFFFFF表示出错。注意如lpFileSizeHigh不为NULL，且结果为&HFFFFFFFF，那么必须调用GetLastError，判断是否实际发生了一个错误，因为这是一个有效的结果 .参数文件句柄,整数型,,文件的句柄 .参数尺寸大小,整数型,,指定一个长整数，用于装载一个64位文件长度的头32位。如这个长度没有超过2＾32字节，则该参数可以设为NULL（变成ByVal）; .DLL命令API_数据刷新到磁盘,整数型,"kernel32","FlushViewOfFile",,将写入文件映射缓冲区的所有数据都刷新到磁盘非零表示成功，零表示失败。会设置GetLastError .参数刷新基本地址,整数型,,包含了刷新基本地址的一个Long值（参考注解） .参数刷新字节数,整数型,,欲刷新的字节数; .DLL命令CopyMemory4,,"kernel32","RtlMoveMemory" .参数pDest,整数型 .参数pSrc,IMAGE_SECTION_HEADER,传址 .参数ByteLen,整数型 .DLL命令API_GetProcAddress,整数型,"kernel32","GetProcAddress",,返回函数地址 .参数hModule,整数型 .参数lpProcName,文本型 .DLL命令ImageRvaToVa,整数型,"imagehlp.dll","ImageRvaToVa" .参数NtHeaders,整数型 .参数Base,整数型 .参数Rva,整数型 .参数LastRvaSection,整数型,传址 .DLL命令API_创建文件映射对象,整数型,"kernel32","CreateFileMappingA",,创建一个新的文件映射对象新建文件映射对象的句柄；零意味着出错。会设置GetLastError。即使函数成功，但倘若返回的句柄属于一个现成的文件映射对象，那么GetLastError也会设置成ERROR_ALREADY_EXISTS。在这种情况下，文件映射的长度就是现有对象的长度，而不是这个函数指定的尺寸 .参数文件映射句柄,整数型,,指定欲在其中创建映射的一个文件句柄。&HFFFFFFFF&表示在内存中创建一个文件映射 .参数安全对象,整数型,,SECURITY_ATTRIBUTES，指定一个安全对象，在创建文件映射时使用。如果为NULL（用ByValAsLong传递零），表示使用默认安全对象 .参数打开映射方式,整数型,,下述常数之一：;PAGE_READONLY：以只读方式打开映射;PAGE_READWRITE：以可读、可写方式打开映射;PAGE_WRITECOPY：为写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT：为文件映射一个小节中的所有页分配内存;SEC_IMAGE：文件是个可执行文件;SEC_RESERVE：为没有分配实际内存的一个小节保留虚拟内存空间 .参数文件映射最大长度,整数型,,文件映射的最大长度（高32位） .参数文件映射的最小长度,整数型,,文件映射的最小长度（低32位）。如这个参数和dwMaximumSizeHigh都是零，就用磁盘文件的实际长度 .参数映射对象名,整数型,,指定文件映射对象的名字。如存在这个名字的一个映射，函数就会打开它。用vbNull创建一个无名的文件映射; .DLL命令API_MapViewOfFile,整数型,"kernel32","MapViewOfFile",,将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射文件映射在内存中的起始地址。零表示出错。会设置GetLastError .参数hFileMappingObject,整数型 .参数dwDesiredAccess,整数型 .参数dwFileOffsetHigh,整数型 .参数dwFileOffsetLow,整数型 .参数dwNumberOfBytesToMap,整数型 .DLL命令API_UnmapViewOfFile,整数型,"kernel32","UnmapViewOfFile",,在当前应用程序的内存地址空间解除对一个文件映射对象的映射非零表示成功，零表示失败。会设置GetLastError .参数lpBaseAddress,整数型,,指定要解除映射的一个文件映射的基准地址。这个地址是早先用MapViewOfFile函数获得的; .DLL命令API_WideCharToMultiByte,整数型,"kernel32","WideCharToMultiByte",,将通配符映像为多字节 .参数CodePage,整数型 .参数dwFlags,整数型 .参数lpWideCharStr,字节集 .参数cchWideChar,整数型 .参数lpMultiByteStr,文本型 .参数cchMultiByte,整数型 .参数lpDefaultChar,整数型 .参数lpUsedDefaultChar,整数型 .DLL命令API_MultiByteToWideChar,整数型,"kernel32","MultiByteToWideChar",,将多媒体字符串映像为通配字符串 .参数CodePage,整数型 .参数dwFlags,整数型 .参数lpMultiByteStr,文本型 .参数cchMultiByte,整数型 .参数lpWideCharStr,文本型 .参数cchWideChar,整数型 .DLL命令API_关闭内核对象,整数型,"kernel32","CloseHandle",,关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等。涉及文件处理时，这个函数通常与vb的close命令相似。应尽可能的使用close，因为它支持vb的差错控制。注意这个函数使用的文件句柄与vb的文件编号是完全不同的非零表示成功，零表示失败。会设置GetLastError .参数对象句柄,整数型,,欲关闭的一个对象的句柄; .DLL命令API_SetFilePointer,整数型,"kernel32","SetFilePointer",,在一个文件中设置当前的读写位置返回一个新位置，它采用从文件起始处开始算起的一个字节偏移量。HFILE_ERROR意味着出错。会设置GetLastError .参数hFile,整数型,,系统文件句柄 .参数lDistanceToMove,整数型,,字节偏移量 .参数lpDistanceToMoveHigh,整数型,传址,指定一个长整数变量，其中包含了要使用的一个高双字偏移。可设为零（将声明变为ByVal），表示只使用lDistanceToMove原文：Alongvariablecontainingahighdoublewordoffsettouse.Maybezero(changedeclarationtoByVal)touseonlylDistanceToMove. .参数dwMoveMethod,整数型,,下述常数之一;FILE_BEGIN：lOffset将新位置设为从文件起始处开始算的起的一个偏移;FILE_CURRENT：lOffset将新位置设为从当前位置开始计算的一个偏移;FILE_END：lOffset将新位置设为从文件尾开始计算的一个偏移; .DLL命令CopyMemory5,,"kernel32","RtlMoveMemory" .参数pDest,IMAGE_IMPORT_DESCRIPTOR,传址 .参数pSrc,整数型 .参数ByteLen,整数型 .DLL命令CopyMemory6,,"kernel32","RtlMoveMemory" .参数pDest,IMAGE_THUNK_DATA32,传址 .参数pSrc,整数型 .参数ByteLen,整数型 .DLL命令CopyMemory7,,"kernel32","RtlMoveMemory" .参数pDest,IMAGE_IMPORT_BY_NAME,传址 .参数pSrc,整数型 .参数ByteLen,整数型 .DLL命令CheckSumMappedFile,整数型,"Imagehlp.dll","CheckSumMappedFile" .参数BaseAddress,整数型 .参数FileLength,整数型 .参数HeaderSum,整数型,传址 .参数CheckSum,整数型,传址 .DLL命令API_CreateService,整数型,"advapi32.dll","CreateServiceA",,建立服务对象 .参数hSCManager,整数型 .参数lpServiceName,文本型 .参数lpDisplayName,文本型 .参数dwDesiredAccess,整数型 .参数dwServiceType,整数型 .参数dwStartType,整数型 .参数dwErrorControl,整数型 .参数lpBinaryPathName,文本型 .参数lpLoadOrderGroup,整数型 .参数lpdwTagId,整数型 .参数lpDependencies,整数型 .参数lp,整数型 .参数lpPassword,整数型 .DLL命令API_StartService,整数型,"advapi32.dll","StartServiceA",,开始运行服务 .参数hService,整数型 .参数dwNumServiceArgs,整数型 .参数lpServiceArgVectors,整数型 .DLL命令API_WriteFile,逻辑型,"kernel32.dll","WriteFile",,将数据写入一个文件。该函数比lwrite函数要灵活的多。也可将这个函数应用于对通信设备、管道、套接字以及邮槽的处理TRUE（非零）表示成功，否则返回零。会设置GetLastError .参数hFile,整数型,,一个文件的句柄 .参数lpBuffer,struct,传址,要写入的一个数据缓冲区 .参数nNumberOfBytesToWrite,整数型,,要写入数据的字节数量。如写入零字节，表示什么都不写入，但会更新文件的“上一次修改时间”。针对位于远程系统的命名管道，限制在65535个字节以内 .参数lpNumberOfBytesWritten,整数型,传址,实际写入文件的字节数量 .参数lpOverlapped,_OVERLAPPED,传址,OVERLAPPED，倘若在指定FILE_FLAG_OVERLAPPED的前提下打开文件，这个参数就必须引用一个特殊的结构。那个结构定义了一次异步写操作。否则，该参数应置为空（将声明变为ByValAs并传递零值）; .DLL命令API_CloseServiceHandle,整数型,"advapi32.dll","CloseServiceHandle",,关闭ServiceControlManager对象 .参数hSCObject,整数型 .DLL命令API_DeleteService,逻辑型,"advapi32.dll","DeleteService",,从SCMANAGER数据库中删除服务 .参数hService,整数型 .DLL命令API_设备操作,逻辑型,"kernel32","DeviceIoControl",,对设备执行指定的操作非零表示成功，零表示失败。会设置GetLastError .参数设备句柄,整数型,,设备句柄 .参数控制参数,整数型,,带有FSCTL_前缀的常数。参考设备控制选项的部分列表 .参数参数一,整数型,,具体取决于dwIoControlCode参数。参考设备控制选项的部分列表 .参数参数二,整数型,,输入缓冲区的长度 .参数参数三,保护信息,传址,具体取决于dwIoControlCode参数。参考设备控制选项的部分列表 .参数参数四,整数型,,输出缓冲区的长度 .参数缓冲区字节数,整数型,传址,实际装载到输出缓冲区的字节数量 .参数OVERLAPPED结构地址,整数型,,OVERLAPPED，这个结构用于重叠操作。针对同步操作，请用ByValAsLong传递零值; .DLL命令API_设备操作x,逻辑型,"kernel32","DeviceIoControl",,对设备执行指定的操作非零表示成功，零表示失败。会设置GetLastError .参数设备句柄,整数型,,设备句柄 .参数控制参数,整数型,,带有FSCTL_前缀的常数。参考设备控制选项的部分列表 .参数参数一,文本型,,具体取决于dwIoControlCode参数。参考设备控制选项的部分列表 .参数参数二,整数型,,输入缓冲区的长度 .参数参数三,整数型,,具体取决于dwIoControlCode参数。参考设备控制选项的部分列表 .参数参数四,整数型,,输出缓冲区的长度 .参数缓冲区字节数,整数型,传址,实际装载到输出缓冲区的字节数量 .参数OVERLAPPED结构地址,整数型,,OVERLAPPED，这个结构用于重叠操作。针对同步操作，请用ByValAsLong传递零值; .DLL命令API_GetModuleHandle,整数型,"kernel32","GetModuleHandleA",,获取一个应用程序或动态链接库的模块句柄如执行成功成功，则返回模块句柄。零表示失败。会设置GetLastError .参数lpModuleName,文本型,,指定模块名，这通常是与模块的文件名相同的一个名字。例如，NOTEPAD.EXE程序的模块文件名就叫作NOTEPAD; .DLL命令API_载入动态链接库,整数型,"kernel32","LoadLibraryA",,载入指定的动态链接库，并将它映射到当前进程使用的地址空间。一旦载入，即可访问库内保存的资源成功则返回库模块的句柄，零表示失败。会设置GetLastError .参数动态链接库名称,文本型,,指定要载入的动态链接库的名称。采用与CreateProcess函数的lpCommandLine参数指定的同样的搜索顺序; .DLL命令ZwQuerySystemInformation,整数型,"ntdll.dll","ZwQuerySystemInformation" .参数SystemInformationClass,整数型 .参数SystemInformation,整数型 .参数SystemInformationLength,整数型 .参数ReturnLength,整数型 .DLL命令API_CopyMemory,,"kernel32","RtlMoveMemory" .参数pDest,字节型,传址 .参数pSrc,字节集 .参数ByteLen,整数型 .DLL命令十六转十_,整数型,"shlwapi.dll","StrToInt64ExA",,64-bitinteger .参数十六进制,文本型 .参数转换标志,整数型,,传入1 .参数十进制,长整数型,传址 .DLL命令API_CopyMemoryx,,"kernel32","RtlMoveMemory" .参数pDest,整数型 .参数pSrc,字节型,传址 .参数ByteLen,整数型 .DLL命令API_关闭系统,整数型,"user32","ExitWindowsEx",,退出windows，并用特定的选项重新启动非零表示成功，零表示失败。会设置GetLastError .参数标志,整数型,,指定下述一个或多个标志（用OR运算符合并到一起）;EWX_FORCE：强迫中止没有响应的进程;EWX_LOGOFF：中止进程，然后注销;EWX_SHUTDOWN：关掉系统电源（如果可能的话，ATX电源就可以）;EWX_REBOOT：重新引导系统;EWX_SHUTDOWN：关闭系统 .参数保留值,整数型,,保留，设为零; .DLL命令OpenProcess,整数型,"Kernel32.dll","OpenProcess",,将句柄返回给过程对象 .参数dwDesiredAccess,整数型 .参数bInheritHandle,逻辑型 .参数dwProcessId,整数型 .DLL命令取自进程ID,整数型,"kernel32.dll","GetCurrentProcessId" .DLL命令打开令牌对象,逻辑型,"advapi32.dll","OpenProcessToken",,打开过程令牌对象 .参数进程句柄,整数型 .参数权限,整数型 .参数令牌句柄,整数型,传址 .DLL命令置进程权限,逻辑型,"advapi32.dll","AdjustTokenPrivileges",,使能/取消令牌特权 .参数令牌句柄,整数型 .参数DisableAllPrivileges,逻辑型 .参数NewState,进程权限,传址 .参数BufferLength,整数型 .参数PreviousState,整数型 .参数ReturnLength,整数型 .DLL命令取权限令牌,整数型,"advapi32.dll","LookupPrivilegeValueA",,返回特权名LUID .参数系统服务名,整数型,,lpSystemName .参数权限名,文本型,传址 .参数权限结构,LUID,传址