DLL查看暴力结束

DLL查看暴力结束系统结构:提升进程权限,列表,表项,取模块路径,列调用的模块,结束进程中DLL,getpid,getcsrsspid,gettid,killtid,killby_wintopic,postthreadquit,RemoteExitProcess,enum,枚举窗口,DebugThread,KillThreadDebugProcess,UnloadNtdll,native_api,ZwQuerySystemInformation,Process32First,CloseHandle,Process32Next,ZwQueryInformationProcess,Thread32First,Thread32Next,OpenThread,FindWindowA,API_投递消息,TerminateThread,API_PostThreadMessage,API_CreateRemoteThread,API_OpenProcess,API_GetModuleHandle,EnumWindows,GetWindowThreadProcessId,IsWindowVisible,GetWindowText,API_GetProcAddress,ExtractIconA,打开进程,获取线程,打开令牌,恢复权限,获取令牌特权,CreateToolhelp32Snapshot,Module32Next,关闭句柄,VirtualAllocEx,WriteProcessMemory,GetProcAddress,GetModuleHandle,CreateRemoteThread,WaitForSingleObject,GetExitCodeThread,VirtualFreeEx,API_CreateThread,API_DebugActiveProcess,ZwOpenProcess,ZwTerminateProcess,ZwClose,取指针_整数,Module32First,NtUnmapViewOfSection,======窗口程序集1||||------__启动窗口_创建完毕||||------提升进程权限||||------列表||||------_按钮1_被单击||||------_按钮3_被单击||||------表项||||------_按钮2_被单击||||------_时钟1_周期事件||||------_选择框1_被单击||||------_超级列表框1_左键单击表项||||------取模块路径||||------_按钮5_被单击||||------_超级列表框1_当前表项被改变||||------列调用的模块||||------_列表框1_双击选择||||------结束进程中DLL||||======功能集||||------getpid||||------getcsrsspid||||------gettid||||------killtid||||------killby_wintopic||||------postthreadquit||||------RemoteExitProcess||||------enum||||------枚举窗口||||------DebugThread||||------KillThreadDebugProcess||||------UnloadNtdll||||------native_api||||======调用的Dll||||---[dll]------ZwQuerySystemInformation||||---[dll]------Process32First||||---[dll]------CloseHandle||||---[dll]------Process32Next||||---[dll]------ZwQueryInformationProcess||||---[dll]------Thread32First||||---[dll]------Thread32Next||||---[dll]------OpenThread||||---[dll]------FindWindowA||||---[dll]------API_投递消息||||---[dll]------TerminateThread||||---[dll]------API_PostThreadMessage||||---[dll]------API_CreateRemoteThread||||---[dll]------API_OpenProcess||||---[dll]------API_GetModuleHandle||||---[dll]------EnumWindows||||---[dll]------GetWindowThreadProcessId||||---[dll]------IsWindowVisible||||---[dll]------GetWindowText||||---[dll]------API_GetProcAddress||||---[dll]------ExtractIconA||||---[dll]------打开进程||||---[dll]------获取线程||||---[dll]------打开令牌||||---[dll]------恢复权限||||---[dll]------获取令牌特权||||---[dll]------CreateToolhelp32Snapshot||||---[dll]------Module32Next||||---[dll]------关闭句柄||||---[dll]------VirtualAllocEx||||---[dll]------WriteProcessMemory||||---[dll]------GetProcAddress||||---[dll]------GetModuleHandle||||---[dll]------CreateRemoteThread||||---[dll]------WaitForSingleObject||||---[dll]------GetExitCodeThread||||---[dll]------VirtualFreeEx||||---[dll]------API_CreateThread||||---[dll]------API_DebugActiveProcess||||---[dll]------ZwOpenProcess||||---[dll]------ZwTerminateProcess||||---[dll]------ZwClose||||---[dll]------取指针_整数||||---[dll]------Module32First||||---[dll]------NtUnmapViewOfSection 调用的DLL命令:.DLL命令ZwQuerySystemInformation,整数型,"ntdll.dll","ZwQuerySystemInformation".参数SystemInformationClass,整数型,,未知类型：SYSTEM_INFORMATION_CLASS。.参数SystemInformation,字节集,,any.参数SystemInformationLength,整数型.参数ReturnLength,整数型,传址.DLL命令Process32First,整数型,,"Process32First".参数hSnapshot,整数型.参数lppe,PROCESSENTRY32.DLL命令CloseHandle,,,"CloseHandle".参数ProcessHandle,整数型.DLL命令Process32Next,整数型,,"Process32Next".参数hSnapshot,整数型.参数lppe,PROCESSENTRY32.DLL命令ZwQueryInformationProcess,整数型,"ntdll.dll","ZwQueryInformationProcess".参数SystemInformationClass,整数型,,未知类型：SYSTEM_INFORMATION_CLASS。.参数dd,整数型.参数SystemInformation,PROCESS_BASIC_INFORMATION,,any.参数SystemInformationLength,整数型.参数ReturnLength,整数型,传址.DLL命令Thread32First,整数型,,"Thread32First".参数hSnapshot,整数型.参数lppe,THREADENTRY32.DLL命令Thread32Next,整数型,,"Thread32Next".参数hSnapshot,整数型.参数lppe,THREADENTRY32.DLL命令OpenThread,整数型,,"OpenThread".参数h,整数型.参数a,逻辑型.参数b,整数型.DLL命令FindWindowA,整数型.参数a,整数型.参数b,文本型.DLL命令API_投递消息,整数型,"user32","PostMessageA",,将一条消息投递到指定窗口的消息队列。投递的消息会在Windows事件处理过程中得到处理。在那个时候，会随同投递的消息调用指定窗口的窗口函数。特别适合那些不需要立即处理的窗口消息的发送如消息投递成功，则返回TRUE（非零）。会设置GetLastError.参数hwnd,整数型,,接收消息的那个窗口的句柄。如设为HWND_BROADCAST，表示投递给系统中的所有顶级窗口。如设为零，表示投递一条线程消息（参考PostThreadMessage）.参数wMsg,整数型,,消息标识符.参数wParam,整数型,,具体由消息决定.参数lParam,整数型,,具体由消息决定;.DLL命令TerminateThread,整数型,,"TerminateThread".参数a,整数型.参数b,整数型,,0.DLL命令API_PostThreadMessage,整数型,"user32","PostThreadMessageA",,将一条消息投递给应用程序。这条消息由应用程序的内部GetMessage循环获得，但不会传给一个特定的窗口如消息投递成功，则返回TRUE（非零）。会设置GetLastError.参数idThread,整数型,,用于接收消息的那个线程的标识符.参数msg,整数型,,消息标识符.参数wParam,整数型,,具体由消息决定.参数lParam,整数型,,具体由消息决定;.DLL命令API_CreateRemoteThread,整数型,"kernel32","CreateRemoteThread",,在另一进程中建立线索.参数hProcess,整数型.参数lpThreadAttributes,SECURITY_ATTRIBUTES.参数dwStackSize,整数型.参数lpStartAddress,整数型.参数lpParameter,整数型.参数dwCreationFlags,整数型.参数lpThreadId,整数型.DLL命令API_OpenProcess,整数型,"kernel32","OpenProcess",,将句柄返回给过程对象.参数dwDesiredAccess,整数型.参数bInheritHandle,整数型.参数dwProcessId,整数型.DLL命令API_GetModuleHandle,整数型,"kernel32","GetModuleHandleA",,获取一个应用程序或动态链接库的模块句柄如执行成功成功，则返回模块句柄。零表示失败。会设置GetLastError.参数lpModuleName,文本型,,指定模块名，这通常是与模块的文件名相同的一个名字。例如，NOTEPAD.EXE程序的模块文件名就叫作NOTEPAD;.DLL命令EnumWindows,整数型,"user32.dll","EnumWindows",,枚举窗口列表中的所有父窗口（顶级和被所有窗口）　非零表示成功，零表示失败.参数函数指针,子程序指针,,指向为每个子窗口都调用的一个函数的指针。用AddressOf运算符获得函数在标准模式下的地址.参数自定义数值,整数型,,在枚举期间，传递给dwcbkd32.ocx定制控件之EnumWindows事件的值。这个值的含义是由程序员规定的;.DLL命令GetWindowThreadProcessId,整数型,"user32","GetWindowThreadProcessId",,;获取与指定窗口关联在一起的一个进程和线程标识符　拥有窗口的线程的标识符.参数hwnd,整数型,,指定一个变量，用于装载拥有那个窗口的一个进程的标识符.参数lpdwProcessId,整数型,传址,指定窗口句柄;.DLL命令IsWindowVisible,整数型,"user32","IsWindowVisible",,判断窗口是否可见　如窗口可见则返回TRUE（非零）.参数窗口句柄,整数型,,要测试的那个窗口的句柄;.DLL命令GetWindowText,整数型,"user32","GetWindowTextA",,取得一个窗体的标题（caption）文字，或者一个控件的内容（在vb里使用：使用vb窗体或控件的caption或text属性）　复制到lpString的字串长度；不包括空中止字符。会设置GetLastError.参数窗口句柄,整数型,,欲获取文字的那个窗口的句柄.参数缓冲区,文本型,,预定义的一个缓冲区，至少有cch+1个字符大小；随同窗口文字载入.参数缓冲尺寸,整数型,,lp缓冲区的长度;.DLL命令API_GetProcAddress,整数型,"kernel32","GetProcAddress",,返回函数地址.参数hModule,整数型.参数lpProcName,文本型.DLL命令ExtractIconA,整数型,"shell32.dll","ExtractIconA".参数窗口句柄,整数型.参数文件名称,文本型.参数图标索引,整数型.DLL命令打开进程,整数型,,"OpenProcess",公开.参数访问方法,整数型,,指定这个句柄要求的访问方法,PROCESS_CREATE_THREAD（允许远程创建线程）；PROCESS_VM_OPERATION（允许远程VM操作）；PROCESS_VM_WRITE（允许远程VM写）；2035711完全访问.参数子进程继承,逻辑型,,如句柄能够由子进程继承，则为TRUE，0.参数进程标识符,整数型,,要打开那个进程的进程标识符,使用一个变量装载进程ID。.DLL命令获取线程,整数型,"kernel32.dll","GetCurrentProcess".DLL命令打开令牌,整数型,"advapi32.dll","OpenProcessToken".参数ProcessHandle,整数型.参数DesiredAccess,整数型.参数TokenHandle,整数型,传址.DLL命令恢复权限,逻辑型,"advapi32.dll","LookupPrivilegeValueA".参数lpSystemName,文本型.参数lpName,文本型.参数lpLuid,LuID,传址.DLL命令获取令牌特权,逻辑型,"advapi32.dll","AdjustTokenPrivileges".参数TokenHandle,整数型.参数DisableAllPrivileges,整数型.参数NewState,TOKEN_PRIVILEGES,传址.参数BufferLength,整数型.参数PreviousState,TOKEN_PRIVILEGES,传址.参数ReturnLength,整数型,传址.DLL命令CreateToolhelp32Snapshot,整数型,,"CreateToolhelp32Snapshot".参数dwFlags,整数型.参数th32ProcessID,整数型.DLL命令Module32Next,整数型,,"Module32Next".参数快照句柄,整数型.参数模块信息输出变量,模块信息.DLL命令关闭句柄,,,"CloseHandle".参数线程句柄,整数型.DLL命令VirtualAllocEx,整数型,,"VirtualAllocEx".参数hProcess,整数型.参数lpAddress,整数型.参数dwSize,整数型.参数flAllocationType.参数flProtect.DLL命令WriteProcessMemory,逻辑型,,"WriteProcessMemory".参数hProcess.参数pBaseAddress.参数lpBuffer,字节集.参数nSize.参数pNumberOfBytesWritten.DLL命令GetProcAddress,整数型,,"GetProcAddress".参数jb,整数型.参数hsm,文本型.DLL命令GetModuleHandle,整数型,,"GetModuleHandleA".参数dllm,文本型.DLL命令CreateRemoteThread,整数型,,"CreateRemoteThread".参数hProcess.参数ThreadAttributes.参数dwStackSize.参数lpStartAddress.参数lpParameter.参数dwCreationFlags.参数lpThreadId.DLL命令WaitForSingleObject,,,"WaitForSingleObject".参数hThread.参数INFINITE.DLL命令GetExitCodeThread,,,"GetExitCodeThread".参数hThread.参数dwHandle.DLL命令VirtualFreeEx,,,"VirtualFreeEx".参数hProcess.参数lpBuf.参数dwSize.参数flAllocationType.DLL命令API_CreateThread,整数型,"kernel32","CreateThread",,建立新的线索.参数lpThreadAttributes,SECURITY_ATTRIBUTES.参数dwStackSize,整数型.参数lpStartAddress,子程序指针.参数lpParameter,整数型.参数dwCreationFlags,整数型.参数lpThreadId,整数型.DLL命令API_DebugActiveProcess,逻辑型,"kernel32","DebugActiveProcess",,连接调试进程.参数dwProcessId,整数型.DLL命令ZwOpenProcess,整数型,"ntdll.dll","ZwOpenProcess".参数hProcess,整数型,传址.参数DesiredAccess,整数型.参数ObjectAttributes,OBJECT_ATTRIBUTES.参数ClientId,CLIENT_ID.DLL命令ZwTerminateProcess,整数型,"ntdll.dll".参数ProcessHandle,整数型.参数ExitStatus,整数型.DLL命令ZwClose,整数型,"ntdll.dll","ZwClose".参数hnd.DLL命令取指针_整数,整数型,,"lstrcpyn".参数欲取其指针,整数型,传址.参数欲取其指针,整数型,传址.参数保留,整数型,,0.DLL命令Module32First,整数型,,"Module32First".参数hsnap,整数型.参数mod,模块信息.DLL命令NtUnmapViewOfSection,,"ntdll.dll","NtUnmapViewOfSection".参数a.参数b