本代碼由 葡萄 所寫
贈予張登輝學(xué)習(xí)研究，任何人不允許在不告知本人的情況下將代碼改為商業(yè)用途
Gwf.vbp是主程序工程

hookfile.bas ->截獲用戶基于windows文件夾的文件操作
               mDef.bas ->文件操作代碼截獲定義模塊
               mShell.bas ->文件操作代碼截獲小段模塊
               mSub.bas   ->廢模塊[可移出工程]
Module1.bas  ->程序數(shù)據(jù)集中主要處理模塊
scanpro.bas  ->主要負(fù)責(zé)進(jìn)程處理模塊
SetClose.bas ->負(fù)責(zé)托盤圖標(biāo)模塊
tusereg.bas  ->注冊表操作模塊
uptoken.bas  ->進(jìn)程提權(quán)模塊
viru.bas     ->負(fù)責(zé)遠(yuǎn)程注入模塊
isNT.bas     ->負(fù)責(zé)檢查系統(tǒng)版本[是否為NT核心]
netstart.bas ->負(fù)責(zé)檢查端口狀態(tài)
pUseINIFile.bas ->INI文件訪問模塊

函數(shù)說明
模塊文件名稱: ->模塊名稱
hookfile.bas: ->hookfile
NotificationReceipt負(fù)責(zé)將獲得的文件信息過濾處理

isNT.bas：->isNT
isNt獲得系統(tǒng)核心型號，返回值BOOL

mDef.bas ->mDef
GetPIDLFromFolderID根據(jù)特定文件夾對象ID獲得目錄PIDL
GetDisplayNameFromPIDL根據(jù)PIDL獲得目錄名稱
GetPathFromPIDL根據(jù)PIDL獲得目錄路徑
GetStrFromBufferA從緩沖區(qū)獲得字符串

mShell.bas ->mShell
SHNotify_Register注冊消息服務(wù)
SHNotify_Unregister取消注冊消息服務(wù)
SHNotify_GetEventStr消息時間對應(yīng)文字

pUseINIFile.bas ->pUseINIFile
GetIni 獲得INI文件某組的某個項目的值
WriteIni 將某個值寫入INI某組的個項目下
pReadtxt 讀某個文本文件，返回值為文本文件內(nèi)容
pWritetxt將某段數(shù)據(jù)寫入某個文本文件

scanpro.bas ->scanpro
’---------------------
scanpw基于枚舉全部系統(tǒng)進(jìn)程的多功能函數(shù)過程，他包含的參數(shù)決定他的作用
Function scanpw(ByVal dllpath As String, ByVal pflag As Long)
由第2個參數(shù)pflag決定他的功能
pflag=0時他將DLLPATH參數(shù)代表的DLL注入全部進(jìn)程
pflag=1時他將啟動DLLPATH里某輸出函數(shù)
pflag=2時他將啟動DLLPATH里某輸出函數(shù)
‘-----2個函數(shù)不一樣
pflag=3時他將DLLPATH參數(shù)代表的DLL移出全部進(jìn)程
pflag=4時他將全部進(jìn)程作為字符串列出到窗體1列表1中，顯示出來
‘----------------------
GetPname 根據(jù)PID獲得進(jìn)程EXE名稱
GetPmod  根據(jù)PID獲得進(jìn)程全部模塊名稱并列舉出來，輸出在窗體1列表4中

netstart.bas ->modNetstat
GetAscIP 根據(jù)數(shù)字計算IP地址
RTtcp 獲得TCP連接列表
RTudp 獲得UDP連接列表

SetClose.bas ->SetClose
Sp 設(shè)置托盤圖表，根據(jù)第2個參數(shù)決定添加還是刪除圖標(biāo)

tusereg.bas ->tusereg
DeleteValue刪除注冊表 是刪除值還是項目，由最后個參數(shù)決定
ReadValue  讀注冊表值
MultiStringToStringArray 字符串處理

uptoken.bas ->uptoken
EnableDebugPrivilege 提升本進(jìn)程debug權(quán)限

viru.bas ->viru
SetDLL 注入DLL
RemoveDLL 移出DLL
UseRemoteFunction 啟動DLL函數(shù)
GetRemoteData 獲得異地進(jìn)程數(shù)據(jù)
GetRemoteParam 獲得進(jìn)程參數(shù)

Module1.bas ->sdrv
WindowProc 獲得本程序全部消息后的處理函數(shù)
WindowProc2 廢過程
FirstRun 檢測每個盤下的autorun文件
FileScan 分析autorun文件
pShowN 廢過程
sfcl 廢過程
isKf 刪除文件過程
SaveLog 記錄保存過程
Scanfile 文件路徑有效否確認(rèn)過程