CreateFileA 和ReadFile 拦截解密

不老传说

.版本 2
.支持库 dp1

.子程序 NEWCreateFileA, 整数型, , 这里还原API
.参数 打开文件名, 文本型, , 要打开的文件的名字
.参数 访问权限, 整数型, , 如果为 GENERIC_READ 表示允许对设备进行读访问；如果为 GENERIC_WRITE 表示允许对设备进行写访问（可组合使用）；如果为零，表示只允许获取与一个设备有关的信息
.参数 共享方式, 整数型, , 零表示不共享； FILE_SHARE_READ 和/或 FILE_SHARE_WRITE 表示允许对文件进行共享访问
.参数 安全特性, 整数型, , SECURITY_ATTRIBUTES，指向一个SECURITY_ATTRIBUTES结构的指针，定义了文件的安全特性（如果操作系统支持的话）
.参数 创建方式, 整数型, , 下述常数之一：;CREATE_NEW：创建文件；如文件存在则会出错;CREATE_ALWAYS：创建文件，会改写前一个文件;OPEN_EXISTING：文件必须已经存在。由设备提出要求;OPEN_ALWAYS：如文件不存在则创建它;TRUNCATE_EXISTING：讲现有文件缩短为零长度
.参数 文件属性, 整数型, , 一个或多个下述常数;FILE_ATTRIBUTE_ARCHIVE：标记归档属性;FILE_ATTRIBUTE_COMPRESSED：将文件标记为已压缩，或者标记为文件在目录中的默认压缩方式;FILE_ATTRIBUTE_NORMAL：默认属性;FILE_ATTRIBUTE_HIDDEN：隐藏文件或目录;FILE_ATTRIBUTE_READONLY：文件为只读;FILE_ATTRIBUTE_SYSTEM：文件为系统文件;FILE_FLAG_WRITE_THROUGH：操作系统不得推迟对文件的写操作;FILE_FLAG_OVERLAPPED：允许对文件进行重叠操作;FILE_FLAG_NO_BUFFERING：禁止对文件进行缓冲处理。文件只能写入磁盘卷的扇区块;FILE_FLAG_RANDOM_ACCESS：针对随机访问对文件缓冲进行优化;FILE_FLAG_SEQUENTIAL_SCAN：针对连续访问对文件缓冲进行优化;FILE_FLAG_DELETE_ON_CLOSE：关闭了上一次打开的句柄后，将文件删除。特别适合临时文件也可在Windows NT下组合使用下述常数标记：SECURITY_ANONYMOUS， SECURITY_IDENTIFICATION， SECURITY_IMPERSONATION， SECURITY_DELEGATION， SECURITY_CONTEXT_TRACKING， SECURITY_EFFECTIVE_ONLY
.参数 从文件复制文件属性, 整数型, , 如果不为零，则指定一个文件句柄。新文件将从这个文件中复制扩展属性;
.局部变量 值, 字节集
.局部变量 句柄, 整数型
.局部变量 截获数据, 字节集
.局部变量 i, 整数型
.局部变量 待解密文件, 文本型, , "0"
.局部变量 filename, 文本型

.如果真 (取字节集长度 (原始CreateFileA) ＞ 0)
    写到内存 (原始CreateFileA, 拦截CreateFileA, )
.如果真结束
待解密文件 ＝ 分割文本 (#需要解密文件, “,”, )
filename ＝ 文件_取文件名 (打开文件名, 真)
开始解密 ＝ 假
.计次循环首 (取数组成员数 (待解密文件), i)
    .如果真 (filename ＝ 待解密文件 )
        ' 这里用信息框 做提示 也有提示 4次 v不管是 filename 还是 待解密文件 或者是 等于 都是提示 为真
        开始解密 ＝ 真
        处理事件 ()
        跳出循环 ()
    .如果真结束

.计次循环尾 ()
句柄 ＝ 创建文件1_ (打开文件名, 访问权限, 共享方式, 安全特性, 创建方式, 文件属性, 从文件复制文件属性)
值 ＝ { 184 }
写到内存 (值 ＋ 到字节集 (&NEWCreateFileA) ＋ { 255, 224 }, 拦截CreateFileA, 8)
返回 (句柄)


.子程序 处理斜杠, 文本型, , 把文件中的“\”修改成“/”
.参数 文本, 文本型

返回 (子文本替换 (文本, “/”, “\”, , , 真))

.子程序 取文本指针, 整数型, , 返回一个文本型变量的内存指针
.参数 文本型变量, 文本型, 参考

返回 (取文本指针_ (文本型变量, “”, 0))

.子程序 拦截文件读入
.局部变量 值, 字节集

.如果真 (拦截ReadFile ＝ 0)
    返回 ()
.如果真结束
修改虚拟保护 (拦截ReadFile, 8, 64, OldReadFile)
原始ReadFile ＝ 指针到字节集 (拦截ReadFile, 8)
值 ＝ { 184 }
写到内存 (值 ＋ 到字节集 (&NEWReadFile) ＋ { 255, 224 }, 拦截ReadFile, 8)

.子程序 NEWReadFile, 整数型
.参数 文件句柄, 整数型, , 文件的句柄
.参数 数据缓冲区, 整数型, , 用于保存读入数据的一个缓冲区
.参数 字符数, 整数型, , 要读入的字符数
.参数 实际读入字符数, 整数型, , 从文件中实际读入的字符数
.参数 异步过程, 整数型, , OVERLAPPED，如文件打开时指定了FILE_FLAG_OVERLAPPED，那么必须用这个参数引用一个特殊的结构。那个结构定义了一次异步读取操作。否则，应将这个参数设为NULL（将函数声明成ByVal As 并传递零值）;
.局部变量 值, 字节集
.局部变量 句柄, 整数型
.局部变量 截获数据, 字节集

.如果真 (取字节集长度 (原始ReadFile) ＞ 0)
    写到内存 (原始ReadFile, 拦截ReadFile, )
.如果真结束
句柄 ＝ 读入数据_ (文件句柄, 数据缓冲区, 字符数, 实际读入字符数, 异步过程)
.如果真 (开始解密 ＝ 真)
    _内存_读字节集内存 (, 数据缓冲区, 截获数据, 字符数)
    截获数据 ＝ 解密数据 (截获数据, “123456”, #RC4算法)
    ' 这里用信息框 做提示 也有提示 4次 v需要解密文件 里面也是只有4个文件名
    _内存_写字节集内存 (, 数据缓冲区, 截获数据)
    ' 写出字节集 (文件号, 截获数据)
.如果真结束
值 ＝ { 184 }
写到内存 (值 ＋ 到字节集 (&NEWReadFile) ＋ { 255, 224 }, 拦截ReadFile, 8)
返回 (句柄)


现在只能解密3个文件 多了就不行 请问下如何修改？？