易语言资源网 - 做最全的易语言资源下载社区
精易论坛授权登录

调用x64.Zw*/Nt*直接进入内核   [复制链接]

    2023-07-20 08:39:13
    模块控件源码
    易语言资源网
    707 次浏览
    来源链接

Wow64_Syscall_List 采用自构建的Syscall,允许易语言程序在64位系统中直接调用x64内核功能号进入内核

源码中已内置大量Zw*/Nt*相关函数,可快速调用且直接进入内核,*注意:请不要在32位系统上使用

调用一个函数本来是这样的:

Wow64_Syscall_List 就把它变成了这样而已:

借用了SysWhispers2开源库获取内核功能号的思维,并改造为适合易语言使用的ShellCode

说起SysWhispers其1代SysWhispers1通过事先定义各系统大量的功能号存根,使用时在通过系统版本号搜寻相应功能号,这种方法现在看来着实臃肿不堪

SysWhispers2 某天一觉睡醒突发奇想,换了一种办法,就是根据PEB取出导出表中 Zw*相关导出函数,并对其函数名哈希,把这个哈希后的值和函数入口RVA存根,并根据其RVA对其进行冒泡排序从小到大排列存根,那么排在最前面的函数就是功能号0,依次递增,cha询时根据函数名哈希值即可准确获得表中位置,返回其位置即为功能号

神奇的事情就此发生,这种获得功能号的方法貌似非常不错,用一张图表示的话:



点我下载 (已有 43 次下载)

引用模块





引用支持库


源码文件名 支持库文件名 支持库标识
Wow64_Syscall_List.e 系统核心支持库 5.7 d09f2340818511d396f6aaf844c7e325
特殊功能支持库 3.1 A512548E76954B6E92C21055517615B0


[错误报告]   上一篇:程序运行目录MD5校检...     下一篇:易语言结合PYTHON实现百度翻译...