.版本 2 .程序集 程序集 .子程序 _启动子程序, 整数型 返回 (0) .子程序 取指针_, 整数型 .参数 eax, 整数型, 参考 置入代码 (#x1) 返回 (0) .子程序 到指针, 子程序指针 .参数 eax, 整数型 .局部变量 ecx, 子程序指针 置入代码 ({ 139, 69, 8, 201, 194, 4, 0 }) ' 本源码来自三叶资源网(www.sanye.cx) 返回 (ecx) .子程序 初始化_, 整数型, 公开 .参数 驱动句柄, 整数型 .参数 注册表路径, 整数型 置入代码 ({ 252, 155, 219, 227 }) 创建变量_ (4096 × 30) 返回 (0) .子程序 释放_, 整数型, 公开 .参数 驱动句柄, 整数型 .局部变量 Sta, 整数型 销毁变量_ () 返回 (0) .子程序 获取版本_, 整数型, 公开, 1.WinXP 2.Win2003 3.(Vista,Win2008) 4.(Win7/Win2008 R2) 5.Win8 6.Win9 .局部变量 版本号, 版本类型 取系统版本_ (取版本_ (版本号)) .判断开始 (版本号.主要版本 ＝ 5 且 版本号.次要版本 ＝ 1) 返回 (1) .判断 (版本号.主要版本 ＝ 5 且 版本号.次要版本 ＝ 2) 返回 (2) .判断 (版本号.主要版本 ＝ 6 且 版本号.次要版本 ＝ 0) 返回 (3) .判断 (版本号.主要版本 ＝ 6 且 版本号.次要版本 ＝ 1) 返回 (4) .判断 (版本号.主要版本 ＝ 6 且 版本号.次要版本 ＝ 2) 返回 (5) .判断 (版本号.主要版本 ＝ 7 且 版本号.次要版本 ＝ 0) 返回 (6) .默认 返回 (0) .判断结束 .子程序 驱动版本_, 整数型, 公开, 如:V1.3 为13 或:V1.6 为16 每次改动都需要判断驱动版本. 返回 (17) .子程序 执行函数_, 整数型, 公开, 恒云雨高级功能 .参数 序号, 整数型 .参数 参数1, 整数型, 参考 可空 .参数 参数2, 整数型, 参考 可空 .参数 参数3, 整数型, 参考 可空 .参数 参数4, 整数型, 参考 可空 .参数 参数5, 整数型, 参考 可空 .参数 参数6, 整数型, 参考 可空 .参数 参数7, 整数型, 参考 可空 .参数 参数8, 整数型, 参考 可空 .参数 参数9, 整数型, 参考 可空 .参数 参数10, 整数型, 参考 可空 .参数 参数11, 整数型, 参考 可空 .参数 参数12, 整数型, 参考 可空 .参数 参数13, 整数型, 参考 可空 .参数 参数14, 整数型, 参考 可空 .参数 参数15, 整数型, 参考 可空 .参数 特殊方式, 逻辑型, 可空 .局部变量 Table, 整数型 .局部变量 Address, 整数型 .局部变量 tmp, 整数型 .局部变量 ret, 整数型 Table ＝ KeServiceDescriptorTable () .如果真 (Table ＝ -1) 返回 (0) .如果真结束 Address ＝ Table ＋ 序号 × 4 读取内存_ (tmp, Address, 4) .如果真 (tmp ＝ 0) 返回 (-1) .如果真结束 CALL_ (tmp, 特殊方式, ret, 参数1, 参数2, 参数3, 参数4, 参数5, 参数6, 参数7, 参数8, 参数9, 参数10, 参数11, 参数12, 参数13, 参数14, 参数15) 返回 (ret) .子程序 分派函数_, 整数型, 公开 .参数 驱动句柄, 整数型 .参数 分派函数, 整数型 .参数 委任分派, 逻辑型, 可空 .局部变量 分派, 分派类型 .局部变量 状态, 整数型 .局部变量 返回长度, 整数型 .局部变量 读入长度, 整数型 .局部变量 写出长度, 整数型 .局部变量 读入指针, 整数型 .局部变量 写出指针, 整数型 .局部变量 缓冲, 整数型 .局部变量 参数, 整数型 .局部变量 控制码, 整数型 .局部变量 i, 整数型 读取分派_ (分派, 分派函数, 32) 读取内存_ (缓冲, 分派函数 ＋ 96, 4) 读取内存_ (控制码, 缓冲 ＋ 12, 4) 读取内存_ (读入长度, 缓冲 ＋ 8, 4) 读取内存_ (写出长度, 缓冲 ＋ 4, 4) 参数 ＝ 分派.关联 .如果 (控制码 ≠ 0 且 参数 ≠ 0) 读入指针 ＝ 参数 写出指针 ＝ 参数 .判断开始 (控制码 ＝ CODE (#CODE_加载设备)) 状态 ＝ 驱动控制_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_卸载设备)) 状态 ＝ 驱动控制_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_设备控制)) 状态 ＝ 驱动控制_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_判断钩子)) 状态 ＝ 钩子通讯_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_读取字节)) 状态 ＝ WinIo读_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_读取整数)) 状态 ＝ WinIo读_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_读取长整)) 状态 ＝ WinIo读_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_写入字节)) 状态 ＝ WinIo写_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_写入整数)) 状态 ＝ WinIo写_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_写入长整)) 状态 ＝ WinIo写_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_输出调试)) 状态 ＝ 写调试_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_执行内核)) 状态 ＝ 执行内核_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_执行函数)) 状态 ＝ 执行内核_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .判断 (控制码 ＝ CODE (#CODE_隐藏进程)) 状态 ＝ 进程操作_ (控制码, 读入指针, 读入长度, 写出指针, 写出长度, 返回长度) .默认 .如果真 (委任分派 ＝ 真) 返回 (#STA_参数错误) .如果真结束 .判断结束 .否则 状态 ＝ #STA_执行成功 .如果结束 分派.状态.状态 ＝ 状态 分派.状态.信息 ＝ 返回长度 写入分派_ (分派函数, 分派, 32) 完成请求_ (分派函数, 0) 返回 (状态) .子程序 保护钩子_, 整数型, 公开 .参数 编号, 整数型 .参数 函数位置, 整数型 .参数 钩子指针, 整数型 .如果真 (编号 ＜ 0 或 编号 ＞ 4096) 返回 (0) .如果真结束 写到变量_ (2, 编号, 函数位置) 写到变量_ (3, 编号, 钩子指针) 返回 (1) .子程序 判断钩子_, 整数型, 公开 .参数 编号, 整数型 .局部变量 Sta, 整数型 .局部变量 tmp, 整数型 .如果真 (编号 ＜ 0 或 编号 ＞ 4096) 返回 (0) .如果真结束 Sta ＝ 读取变量_ (2, 编号) .如果真 (Sta ＝ 0) 返回 (0) .如果真结束 读取内存_ (tmp, Sta, 4) .如果真 (tmp ≠ 读取变量_ (3, 编号)) 返回 (0) .如果真结束 返回 (1) .子程序 进程隐藏_, 整数型 .参数 pid, 整数型 .局部变量 Epx, 整数型 .局部变量 tmp1, 整数型 .局部变量 tmp2, 整数型 .局部变量 序号, 整数型 .局部变量 状态, 整数型 状态 ＝ 查找对象_ (pid, Epx) .如果真 (状态 ≠ 0) 返回 (#STA_参数错误) .如果真结束 解除对象_ (Epx) .判断开始 (获取版本_ () ＝ 1) 序号 ＝ 136 .判断 (获取版本_ () ＝ 4) 序号 ＝ 184 .默认 .判断结束 读取内存_ (tmp1, Epx ＋ 序号, 4) .如果真 (tmp1 ＝ 0) 返回 (#STA_参数错误) .如果真结束 读取内存_ (tmp2, Epx ＋ 序号 ＋ 4, 4) .如果真 (tmp2 ＝ 0) 返回 (#STA_参数错误) .如果真结束 写入内存_ (tmp1 ＋ 4, tmp2, 4) 写入内存_ (tmp2, tmp1, 4) 返回 (#STA_执行成功) .子程序 CODE, 整数型, 公开 .参数 序号, 整数型 返回 (SHL (#FILE_DEVICE_UNKNOWN, 16) ＋ SHL (#FILE_READ_WRITE, 14) ＋ SHL (序号, 2) ＋ #METHOD_BUFFERED) .子程序 SEND, 整数型, 公开, 执行云雨系统最高指令 .参数 功能号, 整数型 .参数 参数一, 整数型 .参数 参数二, 整数型 .参数 参数三, 整数型 .参数 参数四, 整数型 .局部变量 Sta, 整数型 .如果真 (功能号 ＝ #SEND_系统功能) .判断开始 (参数一 ＝ #CODE_读取字节) Sta ＝ 读端口字节 (参数三) .判断 (参数一 ＝ #CODE_读取整数) Sta ＝ 读端口整数 (参数三) .判断 (参数一 ＝ #CODE_读取长整) Sta ＝ 读端口长整数 (参数三) .判断 (参数一 ＝ #CODE_写入字节) ' 本源码来自三叶资源网(www.sanye.cx) Sta ＝ 写端口字节 (参数三, 参数四) .判断 (参数一 ＝ #CODE_写入整数) Sta ＝ 写端口整数 (参数三, 参数四) .判断 (参数一 ＝ #CODE_写入长整) Sta ＝ 写端口长整数 (参数三, 参数四) .判断 (参数一 ＝ #CODE_输出调试) Sta ＝ 打印调试_ (参数三) .判断 (参数一 ＝ #CODE_执行内核) Sta ＝ CAL_ (参数三) .判断 (参数一 ＝ #CODE_隐藏进程) Sta ＝ 进程隐藏_ (参数三) .默认 .判断结束 .如果真结束 返回 (Sta) .子程序 SHL, 整数型 .参数 eax, 整数型 .参数 ecx, 整数型 置入代码 ({ 139, 69, 8, 139, 77, 12, 211, 224, 201, 194, 8, 0 }) 返回 (0) .子程序 ReadByteDate, 字节型 .参数 数值, 整数型 置入代码 (#x2) 返回 (0) .子程序 ReadWordDate, 整数型 .参数 数值, 整数型 置入代码 (#x2) 返回 (0) .子程序 ReadDwordDate, 长整数型 .参数 数值, 整数型 置入代码 (#x2) 返回 (0) .子程序 KeServiceDescriptorTable, 整数型 .局部变量 anTable, 缓冲字符串 .局部变量 unTable, 缓冲字符串 .局部变量 Address, 整数型 创建字符_ (anTable, “KeServiceDescriptorTable”) .如果真 (转到Un字符_ (unTable, anTable, 真) ≠ 0) 返回 (-1) .如果真结束 Address ＝ 获取内核地址_ (unTable) 释放Un字符_ (unTable) .如果真 (Address ＝ 0) 返回 (-1) .如果真结束 Address ＝ ReadWordDate (Address) 返回 (Address) .子程序 GetProcAddressAddress, 整数型 .参数 子程序, 子程序指针 置入代码 ({ 139, 69, 8, 201, 194, 4, 0 }) 返回 (0) .子程序 Read, 整数型 .参数 eax, 整数型 置入代码 (#x2) 返回 (0) ' 本源码来自三叶资源网(www.sanye.cx) .子程序 Write .参数 eax, 整数型 .参数 ebx, 整数型 置入代码 ({ 96, 139, 117, 8, 139, 125, 12, 250, 15, 32, 192, 53, 0, 0, 1, 0, 15, 34, 192, 137, 62, 15, 32, 192, 53, 0, 0, 1, 0, 15, 34, 192, 251, 97, 201, 195 }) .子程序 取版本_, 整数型 .参数 版本, 版本类型 置入代码 (#x2) 返回 (0) .子程序 CALL_, 逻辑型 .参数 proc .参数 bool, 逻辑型, 可空 .参数 ret, , 参考 可空 .参数 a, , 参考 可空 .参数 b, , 参考 可空 .参数 c, , 参考 可空 .参数 d, , 参考 可空 .参数 e, , 参考 可空 .参数 f, , 参考 可空 .参数 g, , 参考 可空 .参数 h, , 参考 可空 .参数 i, , 参考 可空 .参数 j, , 参考 可空 .参数 k, , 参考 可空 .参数 l, , 参考 可空 .参数 m, , 参考 可空 .参数 n, , 参考 可空 .参数 o, , 参考 可空 置入代码 ({ 86, 81, 185, 15, 0, 0, 0, 139, 245, 129, 198, 152, 0, 0, 0, 131, 238, 8, 139, 198, 139, 0, 131, 248, 0, 116, 18, 139, 70, 252, 139, 0, 80, 255, 69, 252, 255, 69, 252, 255, 69, 252, 255, 69, 252, 226, 224, 255, 85, 8, 139, 77, 20, 137, 1, 131, 125, 12, 0, 116, 3, 3, 101, 252, 89, 94 }) 返回 (真) .子程序 执行程序, 整数型 .参数 指针地址, 整数型 .参数 参数1, 整数型, 参考 可空 .参数 参数2, 整数型, 参考 可空 .参数 参数3, 整数型, 参考 可空 .参数 参数4, 整数型, 参考 可空 .参数 参数5, 整数型, 参考 可空 .参数 参数6, 整数型, 参考 可空 .参数 参数7, 整数型, 参考 可空 .参数 参数8, 整数型, 参考 可空 .参数 参数9, 整数型, 参考 可空 .参数 参数10, 整数型, 参考 可空 .参数 参数11, 整数型, 参考 可空 .参数 参数12, 整数型, 参考 可空 .参数 参数13, 整数型, 参考 可空 .参数 参数14, 整数型, 参考 可空 .参数 参数15, 整数型, 参考 可空 .参数 调用方式, 逻辑型, 可空 .局部变量 ret, 整数型 CALL_ (指针地址, 调用方式, ret, 参数1, 参数2, 参数3, 参数4, 参数5, 参数6, 参数7, 参数8, 参数9, 参数10, 参数11, 参数12, 参数13, 参数14, 参数15) 返回 (ret)