易语言封包截取源码,易语言HOOKapi实现封包截取源码

HOOKapi实现封包截取系统结构:dll,myrecv,mysend,HOOKON,HOOKOFF,发送文本,CallWindowProc_,SetWindowLong_,寻找顶级窗口_,MessageBox_,关闭内核对象_,创建文件映射对象_,MapViewOfFile_,UnmapViewOfFile_,打开文件映射对象_,拷贝内存,GetWindowLong,GetKeyState,GetCurrentProcess,拷贝文本,GetModuleHandleA,VirtualProtect,取整数指针,GetCurrentThreadId,GetCurrentThread,发送文本到句柄,Send,Recv,枚举进程,提升权限,刷新进程,注入DLL到进程,卸载DLL,Process32First,Process32Next,OpenProcess,CloseHandle,CreateToolhelp32Snapshot,OpenProcessToken,LookupPrivilegeValueA,GetCurrentProcess,AdjustTokenPrivileges,VirtualProtect,GetProcAddress,GetModuleHandleA,VirtualFreeEx_,VirtualAllocEx_,发送文本,WriteProcessMemory_,CreateRemoteThread_,WaitForSingleObject_,取中止线程退出代码_,拷贝内存,创建文件映射对象_,MapViewOfFile_,取进程模块,枚举进程,提升权限,子程序到整数,InstallApiHook,BeginHook,StopHook,UninstallApiHook,GetApiHookInfo,Module32First,Module32Next,CreateToolhelp32Snapshot,Process32First,Process32Next,OpenProcess,CloseHandle,OpenProcessToken,LookupPrivilegeValueA,GetCurrentProcess,AdjustTokenPrivileges,VirtualProtect,GetProcAddress,GetModuleHandleA,GetClassNameA,拷贝内存2,读内存HOOK结构,写内存HOOK结构,取整数指针,子程序指针到整数, ======程序集1 || ||------_启动子程序 || ||------_临时子程序 || ||------dll || ||------myrecv || ||------mysend || ||------HOOKON || ||------HOOKOFF || ||------发送文本 || || ======调用的Dll || ||---[dll]------CallWindowProc_ || ||---[dll]------SetWindowLong_ || ||---[dll]------寻找顶级窗口_ || ||---[dll]------MessageBox_ || ||---[dll]------关闭内核对象_ || ||---[dll]------创建文件映射对象_ || ||---[dll]------MapViewOfFile_ || ||---[dll]------UnmapViewOfFile_ || ||---[dll]------打开文件映射对象_ || ||---[dll]------拷贝内存 || ||---[dll]------GetWindowLong || ||---[dll]------GetKeyState || ||---[dll]------GetCurrentProcess || ||---[dll]------拷贝文本 || ||---[dll]------GetModuleHandleA || ||---[dll]------VirtualProtect || ||---[dll]------取整数指针 || ||---[dll]------GetCurrentThreadId || ||---[dll]------GetCurrentThread || ||---[dll]------发送文本到句柄 || ||---[dll]------Send || ||---[dll]------Recv ======模块程序集 || ||------枚举进程 || ||------提升权限 || || ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------刷新进程 || ||------_按钮1_被单击 || ||------注入DLL到进程 || ||------卸载DLL || ||------_按钮3_被单击 || ||------_按钮4_被单击 || || ======调用的Dll || ||---[dll]------Process32First || ||---[dll]------Process32Next || ||---[dll]------OpenProcess || ||---[dll]------CloseHandle || ||---[dll]------CreateToolhelp32Snapshot || ||---[dll]------OpenProcessToken || ||---[dll]------LookupPrivilegeValueA || ||---[dll]------GetCurrentProcess || ||---[dll]------AdjustTokenPrivileges || ||---[dll]------VirtualProtect || ||---[dll]------GetProcAddress || ||---[dll]------GetModuleHandleA || ||---[dll]------VirtualFreeEx_ || ||---[dll]------VirtualAllocEx_ || ||---[dll]------发送文本 || ||---[dll]------WriteProcessMemory_ || ||---[dll]------CreateRemoteThread_ || ||---[dll]------WaitForSingleObject_ || ||---[dll]------取中止线程退出代码_ || ||---[dll]------拷贝内存 || ||---[dll]------创建文件映射对象_ || ||---[dll]------MapViewOfFile_ ======程序集1 || ||------_启动子程序 || ||------_临时子程序 || || ======模块程序集 || ||------取进程模块 || ||------枚举进程 || ||------提升权限 || ||------子程序到整数 || || ======APIHOOK类 || ||------_初始化 || ||------_销毁 || ||------InstallApiHook || ||------BeginHook || ||------StopHook || ||------UninstallApiHook || ||------GetApiHookInfo || || ======调用的Dll || ||---[dll]------Module32First || ||---[dll]------Module32Next || ||---[dll]------CreateToolhelp32Snapshot || ||---[dll]------Process32First || ||---[dll]------Process32Next || ||---[dll]------OpenProcess || ||---[dll]------CloseHandle || ||---[dll]------OpenProcessToken || ||---[dll]------LookupPrivilegeValueA || ||---[dll]------GetCurrentProcess || ||---[dll]------AdjustTokenPrivileges || ||---[dll]------VirtualProtect || ||---[dll]------GetProcAddress || ||---[dll]------GetModuleHandleA || ||---[dll]------GetClassNameA || ||---[dll]------拷贝内存2 || ||---[dll]------读内存HOOK结构 || ||---[dll]------写内存HOOK结构 || ||---[dll]------取整数指针 || ||---[dll]------子程序指针到整数 调用的DLL命令: .DLL命令CallWindowProc_,整数型,"user32","CallWindowProcA",,将消息传答窗口函数　 .参数lpPrevWndFunc,子程序指针 .参数hwnd,整数型 .参数msg,整数型 .参数wParam,整数型 .参数lParam,整数型 .DLL命令SetWindowLong_,子程序指针,"user32","SetWindowLongA",,在窗口结构中为指定的窗口设置信息　指定数据的前一个值 .参数hwnd,整数型,,欲为其取得信息的窗口的句柄 .参数nIndex,整数型,,请参考GetWindowLong函数的nIndex参数的说明 .参数dwNewLong,子程序指针,,由nIndex指定的窗口信息的新值; .DLL命令寻找顶级窗口_,整数型,"user32","FindWindowA",,寻找窗口列表中第一个符合指定条件的顶级窗口（在vb里使用：FindWindow最常见的一个用途是获得ThunderRTMain类的隐藏窗口的句柄；该类是所有运行中vb执行程序的一部分。获得句柄后，可用api函数GetWindowText取得这个窗口的名称；该名也是应用程序的标题）　找到窗口的句柄。如未找到相符窗口，则返回零。会设置GetLastError .参数窗口类名,整数型,,指向包含了窗口类名的空中止（C语言）字串的指针；或设为零，表示接收任何类 .参数窗口文本,文本型,,指向包含了窗口文本（或标签）的空中止（C语言）字串的指针；或设为零，表示接收任何窗口标题示例Dimhw&,cnt&DimrttitleAs*256hw&=FindWindow("ThunderRT5Main",vbNullString)'ThunderRTMainunderVB4cnt=GetWindowText(hw&,rttitle,255)MsgBoxLeft,0,"RTMaintitle"; .DLL命令MessageBox_,整数型,"user32.dll","MessageBoxA",,建立消息框窗体　 .参数hwnd,整数型 .参数lpText,文本型 .参数lpCaption,文本型 .参数wType,整数型 .DLL命令关闭内核对象_,整数型,"kernel32","CloseHandle",,关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等。涉及文件处理时，这个函数通常与vb的close命令相似。应尽可能的使用close，因为它支持vb的差错控制。注意这个函数使用的文件句柄与vb的文件编号是完全不同的　非零表示成功，零表示失败。会设置GetLastError .参数对象句柄,整数型,,欲关闭的一个对象的句柄; .DLL命令创建文件映射对象_,整数型,"kernel32","CreateFileMappingA",,创建一个新的文件映射对象　新建文件映射对象的句柄；零意味着出错。会设置GetLastError。即使函数成功，但倘若返回的句柄属于一个现成的文件映射对象，那么GetLastError也会设置成ERROR_ALREADY_EXISTS。在这种情况下，文件映射的长度就是现有对象的长度，而不是这个函数指定的尺寸 .参数文件映射句柄,整数型,,指定欲在其中创建映射的一个文件句柄。&HFFFFFFFF&表示在内存中创建一个文件映射 .参数安全对象,整数型,,SECURITY_ATTRIBUTES，指定一个安全对象，在创建文件映射时使用。如果为NULL（用ByValAsLong传递零），表示使用默认安全对象 .参数打开映射方式,整数型,,下述常数之一：;PAGE_READONLY：以只读方式打开映射;PAGE_READWRITE：以可读、可写方式打开映射;PAGE_WRITECOPY：为写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT：为文件映射一个小节中的所有页分配内存;SEC_IMAGE：文件是个可执行文件;SEC_RESERVE：为没有分配实际内存的一个小节保留虚拟内存空间 .参数文件映射最大长度,整数型,,文件映射的最大长度（高32位） .参数文件映射的最小长度,整数型,,文件映射的最小长度（低32位）。如这个参数和dwMaximumSizeHigh都是零，就用磁盘文件的实际长度 .参数映射对象名,文本型,,指定文件映射对象的名字。如存在这个名字的一个映射，函数就会打开它。用vbNull创建一个无名的文件映射; .DLL命令MapViewOfFile_,整数型,"kernel32","MapViewOfFile",,将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射　文件映射在内存中的起始地址。零表示出错。会设置GetLastError .参数hFileMappingObject,整数型 .参数dwDesiredAccess,整数型 .参数dwFileOffsetHigh,整数型 .参数dwFileOffsetLow,整数型 .参数dwNumberOfBytesToMap,整数型 .DLL命令UnmapViewOfFile_,整数型,"kernel32","UnmapViewOfFile",,在当前应用程序的内存地址空间解除对一个文件映射对象的映射　非零表示成功，零表示失败。会设置GetLastError .参数lpBaseAddress,整数型,,指定要解除映射的一个文件映射的基准地址。这个地址是早先用MapViewOfFile函数获得的; .DLL命令打开文件映射对象_,整数型,"kernel32","OpenFileMappingA",,打开一个现成的文件映射对象　指定文件映射对象的句柄。零表示出错。会设置GetLastError .参数常数,整数型,,带有前缀FILE_MAP_???的一个常数。参考MapViewOfFile函数的dwDesiredAccess参数的说明 .参数进程继承,整数型,,如这个函数返回的句柄能由当前进程启动的新进程继承，则这个参数为TRUE .参数文件映射对象名称,文本型,,指定要打开的文件映射对象名称; .DLL命令拷贝内存,,"kernel32.dll","RtlMoveMemory" .参数目标数据,整数型,传址,any .参数原数据,整数型,,any .参数尺寸,整数型 .DLL命令GetWindowLong,子程序指针,"user32","GetWindowLongA" .参数hwnd,整数型 .参数nIndex,整数型 .DLL命令GetKeyState,整数型,,"GetKeyState" .参数键代码,整数型 .DLL命令GetCurrentProcess,整数型,"kernel32.dll","GetCurrentProcess",,取当前进程伪句柄_ .DLL命令拷贝文本,,"kernel32.dll","RtlMoveMemory" .参数目标数据,文本型,传址,any .参数原数据,整数型,,any .参数尺寸,整数型 .DLL命令GetModuleHandleA,整数型 .参数lpModuleName,文本型 .DLL命令VirtualProtect,逻辑型 .参数lpAddress,整数型 .参数dwSize,整数型 .参数flNewProtect,整数型 .参数lpflOldProtect,整数型,传址 .DLL命令取整数指针,整数型,"kernel32","lstrcpyn" .参数数据1,整数型,传址,lpString1 .参数数据2,整数型,传址,lpString2 .参数数据长度,整数型,,iMaxLength .DLL命令GetCurrentThreadId,整数型,"kernel32","GetCurrentThreadId" .DLL命令GetCurrentThread,整数型,"kernel32","GetCurrentThread",,获取当前线程的一个伪句柄当前线程的伪句柄 .DLL命令发送文本到句柄,整数型,,"SendMessageA" .参数句柄,整数型 .参数参数一,整数型 .参数参数二,整数型 .参数参数三,文本型,传址 .DLL命令Send,整数型,"ws2_32.dll","send",,发送数据(TCP，当这次发送数据未发送完时返回剩余字节数) .参数s,整数型,,套接字描述符 .参数buf,整数型,,欲发送的数据 .参数buflen,整数型,,欲发送数据长度 .参数flags,整数型,,0 .DLL命令Recv,整数型,"ws2_32.dll","recv",,接收数据(TCP，当数据这次未接收完时返回剩余字节数) .参数s,整数型,,套接字描述符 .参数buf,整数型,,数据(提供变量) .参数buflen,整数型,,数据长度 .参数flags,整数型,,0 调用的DLL命令: .DLL命令Process32First,整数型,,"Process32First",,第一个进程，查找进程 .参数hSnapShot,整数型 .参数uProcess,进程信息 .DLL命令Process32Next,整数型,,"Process32Next",,下一个进程 .参数hSnapShot,整数型 .参数uProcess,进程信息 .DLL命令OpenProcess,整数型,,"OpenProcess",,打开进程获得进程句柄 .参数dwDesiredAccess,整数型 .参数bInheritHandle,整数型 .参数dwProcessId,整数型 .DLL命令CloseHandle,整数型,,"CloseHandle",,关闭句柄 .参数hObject,整数型 .DLL命令CreateToolhelp32Snapshot,整数型,"kernel32.dll","CreateToolhelp32Snapshot",,创建进程快照 .参数falg,整数型 .参数进程ID,整数型 .DLL命令OpenProcessToken,整数型,"advapi32.dll","OpenProcessToken",,打开进程令牌 .参数ProcessHandle,整数型 .参数DesiredAccess,整数型 .参数TokenHandle,整数型,传址 .DLL命令LookupPrivilegeValueA,逻辑型,"advapi32.dll","LookupPrivilegeValueA",,恢复权限 .参数lpSystemName,文本型 .参数lpName,文本型 .参数lpLuid,LuID,传址 .DLL命令GetCurrentProcess,整数型,"kernel32.dll","GetCurrentProcess",,获取当前进程句柄 .DLL命令AdjustTokenPrivileges,逻辑型,"advapi32.dll","AdjustTokenPrivileges",,获取令牌特权 .参数TokenHandle,整数型 .参数DisableAllPrivileges,整数型 .参数NewState,TOKEN_PRIVILEGES,传址 .参数BufferLength,整数型 .参数PreviousState,TOKEN_PRIVILEGES,传址 .参数ReturnLength,整数型,传址 .DLL命令VirtualProtect,逻辑型 .参数lpAddress,整数型 .参数dwSize,整数型 .参数flNewProtect,整数型 .参数lpflOldProtect,整数型,传址 .DLL命令GetProcAddress,整数型 .参数hModule,整数型 .参数lpProcName,文本型 .DLL命令GetModuleHandleA,整数型 .参数lpModuleName,文本型 .DLL命令VirtualFreeEx_,整数型,"kernel32.dll","VirtualFreeEx",,　 .参数hProcess,整数型 .参数lpAddress,整数型 .参数dwSize,整数型 .参数dwFreeType,整数型 .DLL命令VirtualAllocEx_,整数型,"kernel32.dll","VirtualAllocEx",,　 .参数hProcess,整数型 .参数lpAddress,整数型 .参数dwSize,整数型,传址 .参数flAllocationType,整数型 .参数flProtect,整数型 .DLL命令发送文本,整数型,,"SendMessageA" .参数句柄,整数型 .参数参数一,整数型 .参数参数二,整数型 .参数参数三,文本型 .DLL命令WriteProcessMemory_,整数型,"kernel32","WriteProcessMemory",,在指定进程中写内存　 .参数hProcess,整数型 .参数lpBaseAddress,整数型 .参数lpBuffer,字节集 .参数nSize,整数型 .参数lpNumberOfBytesWritten,整数型 .DLL命令CreateRemoteThread_,整数型,"kernel32","CreateRemoteThread",,在另一进程中建立线索　 .参数hProcess,整数型 .参数lpThreadAttributes,整数型 .参数dwStackSize,整数型 .参数lpStartAddress,整数型 .参数lpParameter,整数型 .参数dwCreationFlags,整数型 .参数lpThreadId,整数型 .DLL命令WaitForSingleObject_,整数型,"kernel32","WaitForSingleObject",,监测一个对象　 .参数hHandle,整数型 .参数dwMilliseconds,整数型 .DLL命令取中止线程退出代码_,整数型,"kernel32","GetExitCodeThread" .参数线程句柄,整数型 .参数退出代码,整数型,传址 .DLL命令拷贝内存,,"kernel32.dll","RtlMoveMemory" .参数目标,整数型,,any .参数原数据,整数型,传址,any .参数尺寸,整数型 .DLL命令创建文件映射对象_,整数型,"kernel32","CreateFileMappingA",,创建一个新的文件映射对象　新建文件映射对象的句柄；零意味着出错。会设置GetLastError。即使函数成功，但倘若返回的句柄属于一个现成的文件映射对象，那么GetLastError也会设置成ERROR_ALREADY_EXISTS。在这种情况下，文件映射的长度就是现有对象的长度，而不是这个函数指定的尺寸 .参数文件映射句柄,整数型,,指定欲在其中创建映射的一个文件句柄。&HFFFFFFFF&表示在内存中创建一个文件映射 .参数安全对象,整数型,,SECURITY_ATTRIBUTES，指定一个安全对象，在创建文件映射时使用。如果为NULL（用ByValAsLong传递零），表示使用默认安全对象 .参数打开映射方式,整数型,,下述常数之一：;PAGE_READONLY：以只读方式打开映射;PAGE_READWRITE：以可读、可写方式打开映射;PAGE_WRITECOPY：为写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT：为文件映射一个小节中的所有页分配内存;SEC_IMAGE：文件是个可执行文件;SEC_RESERVE：为没有分配实际内存的一个小节保留虚拟内存空间 .参数文件映射最大长度,整数型,,文件映射的最大长度（高32位） .参数文件映射的最小长度,整数型,,文件映射的最小长度（低32位）。如这个参数和dwMaximumSizeHigh都是零，就用磁盘文件的实际长度 .参数映射对象名,文本型,,指定文件映射对象的名字。如存在这个名字的一个映射，函数就会打开它。用vbNull创建一个无名的文件映射; .DLL命令MapViewOfFile_,整数型,"kernel32","MapViewOfFile",,将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射　文件映射在内存中的起始地址。零表示出错。会设置GetLastError .参数hFileMappingObject,整数型 .参数dwDesiredAccess,整数型 .参数dwFileOffsetHigh,整数型 .参数dwFileOffsetLow,整数型 .参数dwNumberOfBytesToMap,整数型 调用的DLL命令: .DLL命令Module32First,整数型,"kernel32.dll","Module32First",,第一个模块，查找模块 .参数快照句柄,整数型 .参数模块信息,模块信息 .DLL命令Module32Next,整数型,"kernel32.dll","Module32Next",,下一个模块 .参数快照句柄,整数型 .参数模块信息,模块信息 .DLL命令CreateToolhelp32Snapshot,整数型,"kernel32.dll","CreateToolhelp32Snapshot",,创建进程快照 .参数falg,整数型 .参数进程ID,整数型 .DLL命令Process32First,整数型,,"Process32First",,第一个进程，查找进程 .参数hSnapShot,整数型 .参数uProcess,进程信息 .DLL命令Process32Next,整数型,,"Process32Next",,下一个进程 .参数hSnapShot,整数型 .参数uProcess,进程信息 .DLL命令OpenProcess,整数型,,"OpenProcess",,打开进程获得进程句柄 .参数dwDesiredAccess,整数型 .参数bInheritHandle,整数型 .参数dwProcessId,整数型 .DLL命令CloseHandle,整数型,,"CloseHandle",,关闭句柄 .参数hObject,整数型 .DLL命令OpenProcessToken,整数型,"advapi32.dll","OpenProcessToken",,打开进程令牌 .参数ProcessHandle,整数型 .参数DesiredAccess,整数型 .参数TokenHandle,整数型,传址 .DLL命令LookupPrivilegeValueA,逻辑型,"advapi32.dll","LookupPrivilegeValueA",,恢复权限 .参数lpSystemName,文本型 .参数lpName,文本型 .参数lpLuid,LuID,传址 .DLL命令GetCurrentProcess,整数型,"kernel32.dll","GetCurrentProcess",,获取当前进程句柄 .DLL命令AdjustTokenPrivileges,逻辑型,"advapi32.dll","AdjustTokenPrivileges",,获取令牌特权 .参数TokenHandle,整数型 .参数DisableAllPrivileges,整数型 .参数NewState,TOKEN_PRIVILEGES,传址 .参数BufferLength,整数型 .参数PreviousState,TOKEN_PRIVILEGES,传址 .参数ReturnLength,整数型,传址 .DLL命令VirtualProtect,逻辑型 .参数lpAddress,整数型 .参数dwSize,整数型 .参数flNewProtect,整数型 .参数lpflOldProtect,整数型,传址 .DLL命令GetProcAddress,整数型 .参数hModule,整数型 .参数lpProcName,文本型 .DLL命令GetModuleHandleA,整数型 .参数lpModuleName,文本型 .DLL命令GetClassNameA,整数型 .参数hWnd,整数型 .参数lpClassName,文本型 .参数nMaxCount,整数型 .DLL命令拷贝内存2,整数型,"kernel32","RtlMoveMemory",,RtlMoveMemory .参数目标数据,整数型,,lpvDest .参数源数据,字节集,传址,lpvSource .参数尺寸,整数型,,cbCopy .DLL命令读内存HOOK结构,整数型,"kernel32.dll","ReadProcessMemory" .参数hProcess,整数型 .参数lpBaseAddress,整数型 .参数lpBuffer,HOOK结构,传址 .参数nSize,整数型 .参数lpNumberOfBytesWritten,整数型 .DLL命令写内存HOOK结构,整数型,"kernel32.dll","WriteProcessMemory" .参数hProcess,整数型 .参数lpBaseAddress,整数型 .参数lpBuffer,HOOK结构,传址 .参数nSize,整数型 .参数lpNumberOfBytesRead,整数型 .DLL命令取整数指针,整数型,"kernel32","lstrcpyn" .参数数据1,整数型,传址,lpString1 .参数数据2,整数型,传址,lpString2 .参数数据长度,整数型,,iMaxLength .DLL命令子程序指针到整数,整数型,"kernel32","lstrcpyn" .参数数据1,子程序指针,,lpString1 .参数数据2,子程序指针,,lpString2 .参数数据长度,整数型,,iMaxLength