安全探讨之用Win32汇编写双进程守护(获取进程快照 枚举进程)

最新推荐文章于 2021-01-14 23:15:51 发布
最新推荐文章于 2021-01-14 23:15:51 发布
阅读量570 收藏
点赞数
文章标签: 汇编 null include command user class

 

安全探讨之用Win32汇编写双进程守护(获取进程快照 枚举进程)
 

前段时间在看雪论坛逛的时候,有人问说怎么实现双进程守护,其中有人说他用VC++实现了,我就找他要了一份源码。我看了一下,觉得也挺简单的

,所以就用win32汇编也写了一份,但还不是很完美。

  为什么说不完美,因为我写完后在测试的过程中发现,如果利用鼠标给这个对话框发送WM_CLOSE消息的话,进程守护就很完美,对话框窗口是关

不掉的。但是如果利用任务管理器来结束的话,那就很容易了,原因是因为获取的快照是相当于“历史”。而用任务管理器结束掉一个进程后,快照

发生改变。就好比我们照像,照好的相片相当于第一次快照,当那个拍照的地方发生改变,我们还根据相片来辩认着拍照的地方。

  下面就是相关的源码。

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  ;此程序应该命名为22222222.exe

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  .386

  .model flat, stdcall

  option casemap:none

  include windows.inc

  include kernel32.inc

  include user32.inc

  includelib kernel32.lib

  includelib user32.lib

  DLG_MAIN equ 1

  .data

  szFileName db '111111111.exe',0 ;定义要守护的进程名

  .data?

  Pid dd ?

  hSnapShot dd ?

  stProcess PROCESSENTRY32

  stStartUp STARTUPINFO

  stProcInfo PROCESS_INFORMATION

  hInstance dd ?

  .code

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  ;获取快照

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  _Snapshot proc

  @@:

  invoke RtlZeroMemory,addr stProcess,sizeof stProcess;有必要清空,不然进程会重复

  mov stProcess.dwSize,sizeof stProcess

  invoke CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,addr stProcess;开始获取快照

  mov hSnapShot,eax ;保存到句柄

  invoke Process32First,hSnapShot,addr stProcess;列举进程

  .while eax

  invoke lstrcmp,addr szFileName,addr stProcess.szExeFile;对比是否有111111111.exe

  .if eax == NULL ;有则返回

  ret

  .endif

  invoke Process32Next,hSnapShot,addr stProcess ;继续列举

  .endw

  call _Process ;如果没发现111111111.exe进程,就执行程序创建

  loop @B

  ret

  _Snapshot endp

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  _Process proc

  invoke GetStartupInfo,addr stStartUp

  invoke CreateProcess,addr szFileName,NULL,NULL,NULL,NULL,/

  NORMAL_PRIORITY_CLASS,NULL,NULL,addr stStartUp,addr stProcInfo

  ret

  _Process endp

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  _ProcDlgMain proc uses ebx edi esi hWnd,wMsg,wParam,lParam

  mov eax,wMsg

  .if eax == WM_CLOSE ;关闭窗口的消息列队

  invoke EndDialog,hWnd,NULL

  .elseif eax == WM_INITDIALOG ;初始化各个消息

  invoke SendMessage,hWnd,WM_SETICON,ICON_BIG,eax

  call _Snapshot

  .elseif eax == WM_COMMAND

  mov eax,wParam

  .else

  mov eax,FALSE

  ret

  .endif

  mov eax,TRUE

  ret

  _ProcDlgMain endp

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  start:

  @@:

  invoke GetModuleHandle,NULL

  mov hInstance,eax

  invoke DialogBoxParam,hInstance,DLG_MAIN,NULL,offset _ProcDlgMain,NULL

  loop @B

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  end start

  [Copy to clipboard]

  CODE:

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  ;此程序应该命名为111111111.exe

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  .386

  .model flat, stdcall

  option casemap:none

  include windows.inc

  include kernel32.inc

  include user32.inc

  includelib kernel32.lib

  includelib user32.lib

  DLG_MAIN equ 1

  .data

  szFileName db '22222222.exe',0

  .data?

  Pid dd ?

  hSnapShot dd ?

  stProcess PROCESSENTRY32

  stStartUp STARTUPINFO

  stProcInfo PROCESS_INFORMATION

  hInstance dd ?

  .code

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  _Snapshot proc

  @@:

  invoke RtlZeroMemory,addr stProcess,sizeof stProcess

  mov stProcess.dwSize,sizeof stProcess

  invoke CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,addr stProcess

  mov hSnapShot,eax

  invoke Process32First,hSnapShot,addr stProcess

  .while eax

  invoke lstrcmp,addr szFileName,addr stProcess.szExeFile;对比是否有22222222.exe

  .if eax == NULL ;有则返回

  ret

  .endif

  invoke Process32Next,hSnapShot,addr stProcess

  .endw

  call _Process ;如果没有,就执行程序创建

  loop @B

  ret

  _Snapshot endp

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  _Process proc

  invoke GetStartupInfo,addr stStartUp

  invoke CreateProcess,addr szFileName,NULL,NULL,NULL,NULL,/

  NORMAL_PRIORITY_CLASS,NULL,NULL,addr stStartUp,addr stProcInfo

  ret

  _Process endp

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  _ProcDlgMain proc uses ebx edi esi hWnd,wMsg,wParam,lParam

  mov eax,wMsg

  .if eax == WM_CLOSE

  invoke EndDialog,hWnd,NULL

  .elseif eax == WM_INITDIALOG

  invoke SendMessage,hWnd,WM_SETICON,ICON_BIG,eax

  call _Snapshot

  .elseif eax == WM_COMMAND

  mov eax,wParam

  .else

  mov eax,FALSE

  ret

  .endif

  mov eax,TRUE

  ret

  _ProcDlgMain endp

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  start:

  @@:

  invoke GetModuleHandle,NULL

  mov hInstance,eax

  invoke DialogBoxParam,hInstance,DLG_MAIN,NULL,offset _ProcDlgMain,NULL

  ret

  loop @B

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  end start

平台想钱想疯了
关注
WIN32汇编的俄罗斯方块
03-28
《用WIN32汇编语言实现的俄罗斯方块》 在计算机编程的世界中,WIN32汇编语言是一种低级编程语言,它直接与计算机硬件交互,提供了对系统资源的直接控制。本项目以WIN32汇编为工具,实现了经典游戏——俄罗斯方块。...
delphi 监控进程exe
qq_39951605的博客
05-05 313
【代码】delphi 监控进程exe。
Delphi进程、窗口句柄、文件属性、程序运行状态
小宇飞刀的BLOG
03-08 837
uses TLHelp32,PsAPI; Delphi显示进程列表 procedure TForm1.Button2Click(Sender: TObject); var lppe: TProcessEntry32; found : boolean; Hand : THandle; P:DWORD; s:string; begin ListBox1.Items.Clea...
C/C++ Windows API——枚举进程、结束进程及提升权限
热门推荐
司马懿的西山居
10-21 1万+
// EnumProcessDemo.cpp : 定义控制台应用程序的入口点。 //#include "stdafx.h" #include <Windows.h> #include <TlHelp32.h>//CreateToolhelp32Snapshot #include <Psapi.h>//EnumProcessesbool GetPrivileges() { // 取得当前进程
获取Windows系统的进程运行信息
蓝色的雨
10-21 2217
获取Windows系统的进程运行信息  自从出现windows系统以来,各种各样的软件层出不穷。购买或者免费下载以后,轻轻点击Install或者Setup以后,稍作些许简单配置就完成安装的整个过程。显然这给用户带来了许多方便,但对用户来说这些软件似乎是个"黑匣子",展现在用户面前的仅仅是华丽的外表和简洁的操作,至于软件运行过程中调用了哪些文件和模块文件就无法知道了。或许真正希望了解这些的用户并不是
PROCESSENTRY32结构体 CreateToolhelp32Snapshot Process32First 和Process32Next
寻梦&之璐
01-14 1769
PROCESSENTRY32结构体 typedef struct tagPROCESSENTRY32 { DWORD dwSize; DWORD cntUsage; DWORD th32ProcessID; // this process ULONG_PTR th32DefaultHeapID; DWORD th32ModuleID; // associated exe DWORD cntThreads
汇编语言-使用win32汇编的加减计算器.zip
最新发布
02-22
本资源“汇编语言-使用win32汇编的加减计算器.zip”提供了一个使用Win32汇编语言编的简单加减计算器程序的示例,这对于学习汇编语言和理解操作系统接口具有重要意义。 1. **汇编语言**: 汇编语言是面向机器的...
WIN32汇编程序源码级调试_VS2019_vs2019win32汇编_vs2019win32汇编_Win32汇编程序_汇编语言
10-04
本文将详细探讨"WIN32汇编程序源码级调试_VS2019"这一主题,包括如何在Visual Studio 2019(VS2019)环境下编和调试Win32汇编程序,以及如何实现一个学生管理系统。 首先,让我们了解Win32汇编Win32汇编是针对...
Delphi内嵌汇编实现缷载任意进程的某个DLL.zip
09-21
本主题探讨的是如何使用Delphi编程语言结合内嵌汇编技术来实现这一目标。Delphi是一款强大的RAD(快速应用程序开发)工具,它支持Pascal语法,并且允许开发者在代码中直接插入汇编指令,以实现更高效或者更底层的...
WIN32汇编的鼠标钩子实例
03-28
标题“用WIN32汇编的鼠标钩子实例”揭示了这个项目是关于在Windows操作系统环境下,使用汇编语言实现的一个低级鼠标钩子(WH_MOUSE_LL)的应用示例。让我们深入探讨一下这个主题。 首先,我们要理解的是**Win32...
对多种方式实现进程保护的研究
10-12
http://blog.csdn.net/qq_25412055/article/details/52790980 对各种方式让进程不被杀死的方法的测试和研究
VB实现进程保护,防止进程结束自己
09-22
VB进程守护,可以实现进程保护,防止恶意结束自己,同时也是编病毒必备的代码之一
Win32API 枚举出当前正在运行的进程
qq_15759313的博客
04-03 696
使用Win32API来枚举当前进程 首先需要了解的一个函数就是CreateToolhelp32Snapshot函数,需要用到#include "tlhelp32.h"头文件 这个函数的作用是给系统正在运行的进程建立一个进程快照。 函数原型 HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessI...
Delphi进程枚举
jacknes009的专栏
07-17 1358
 //用Listbox显示方法procedure TForm1.Button1Click(Sender: TObject);varlppe:TProcessEntry32;found:boolean;Hand:THandle;begin      Hand:=CreateToolhelp32Snapshot(TH32CS_SNAPALL,0);      lppe.dwSize :=
Windows编程之进程守护
Birldlee的博客
12-26 5510
Windows编程之进程守护Windows编程之进程守护 需求分析 设计原理 相关函数 设计详细 方法1 方法2 项目测试情况 方法1 方法2 总结 需求分析设计实现进程守护程序,当两个进程同时运行时,关闭其中任意一个,另一个进程会识别出来并马上打开被关闭的进程。设计原理相关函数CreateEvent( ) CreateEvent是一个Windows API函数。它用来创建或打开一个命名的或
win32汇编 屏幕截图保存BMP 学习笔记<第三篇>之odbg调试
ppluer的专栏
05-12 1714
我们来回顾下raiky code 根据帖子里的讨论错误的疑点在于 1. 对每个像素所占字节的估算可能有误 wBitCount;位图中每个像素所占字节数 简单的赋值4 2. 涉及到后面的调色板的处理 我本人不喜欢调色板 3. 位图内存分配大小的错误 接下来对每一行试着运行一番看看效果吧 你问我有没有玩过debug? 买过书没看算么? 书到用时方恨少 哦 想起来了以前玩VBA 调试过
Win32汇编语言教程
VGS® 研发笔记
12-07 1755
一、引言Win32应用程序一般使用C语言编程,但是在某些需要进行深层编程的情况下,例如Win32应用程序执行机制分析、病毒清除、加密解密等深层编程,或者对于某些速度要求较高的程序,需要使用汇编语言(甚至机器语言)直接编Win32应用程序。Win32应用程序虽然和其他32位应用程序(例如32位保护模式DOS程序)一样可以使用386汇编语言和保护模式编程,但是Win32应用程序的执行机制与其他32位
Win32汇编编程:进程线程解析与实战
在Windows环境下,比如Win32系统,当一个进程启动时,系统会默认创建一个主线程,该线程从程序指定的入口地址开始执行。主线程执行完毕后,进程随之结束。 除了主线程,一个进程还可以创建多个子线程,实现并发执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值