|
进程 | Windows | 1675 次查看 |
|---|---|---|
|
||
此段程序采用公开的 Win2k注射远程线程,来保护指定进程始终处于运行状态。 生成wap32.exe拷贝到c:\下运行,则Wap32进程不死。 include Win32.inc .386 .model flat,stdcall .data Protect2kProc proc ProcID: dword call GetKnlOpenProcess KnlOpenProcess dd ? GetKnlOpenProcess: pop eax call [eax],PROCESS_ALL_ACCESS,FALSE,ProcID or eax,eax jz short ExitProtectProc mov ebx,eax call GetKnlWaitForSingleObject KnlWaitForSingleObject dd ? GetKnlWaitForSingleObject: pop eax call [eax],ebx,-1h call GetFileNameAddress GetFileNameAddress: pop ecx add ecx,offset FileName-offset GetFileNameAddress call GetKnlWinExec KnlWinExec dd ? GetKnlWinExec: pop eax call [eax],ecx,01 ExitProtectProc: ret Protect2kProc endp FileName db 'c:\wap32.exe',0 KnlOpenProcessStr db 'OpenProcess',0 KnlWaitForObjectStr db 'WaitForSingleObject',0 KnlWinExecStr db 'WinExec',0 .code extrn GetProcAddress: proc extrn OpenProcess: proc extrn FindWindowA: proc extrn GetWindowThreadProcessId: proc extrn VirtualAllocEx: proc extrn VirtualFreeEx: proc extrn WriteProcessMemory: proc extrn GetCurrentProcessId: proc extrn CreateRemoteThread: proc extrn GetExitCodeThread: proc extrn CloseHandle: proc extrn WinExec: proc extrn MessageBoxA: proc extrn Sleep: proc Start: call GetProcAddress,077e60000h,offset KnlOpenProcessStr mov KnlOpenProcess,eax call GetProcAddress,077e60000h,offset KnlWaitForObjectStr mov KnlWaitForSingleObject,eax call GetProcAddress,077e60000h,offset KnlWinExecStr mov KnlWinExec,eax call FindWindowA,0,0 push eax call GetWindowThreadProcessId,eax,esp call OpenProcess,PROCESS_ALL_ACCESS,FALSE or eax,eax jz short OpenProcessError mov ebx,eax call VirtualAllocEx,ebx,NULL,1000h,MEM_COMMIT,L 40h or eax,eax jz short OpenProcessError mov edi,eax push eax call WriteProcessMemory,ebx,edi,OFF Protect2kProc,1000h,esp call GetCurrentProcessId call CreateRemoteThread,ebx,NULL,NULL,edi,eax,NULL,esp call GetExitCodeThread,eax,esp pop eax ;call VirtualFreeEx,ebx,edi,1000h,MEM_DECOMMIT call CloseHandle,ebx call Sleep,100h call MessageBoxA,0,offset FileName,offset FileName,0 OpenProcessError: ret end Start |
||
- Win2000系统进程列表
- 系统进程中Svchost.exe的作用
- mdm.exe系统进程介绍
- rundll32.exe命令使用大法
- tcpsvcs.exe系统进程介绍
- taskmon.exe系统进程介绍
- Windows系统任务管理如何批量关闭进程[图]
- snmp.exe系统进程介绍
- ddhelp.exe系统进程介绍
- winmgmt.exe系统进程介绍
- mmtask.tsk系统进程介绍
- winxp的服务与进程
- 全面了解Windows的系统进程及服务
- regsvc.exe系统进程介绍
- Windows2000Server进程详解
- 基础常识:Win2000常见系统进程描述
- Explorer.exe系统进程介绍
- spool32.exe系统进程介绍
- 两妙招“强行”杀死病毒进程
- rpcss.exe系统进程介绍
- WIN9X下查找隐藏进程实现方法
- Windows2000/XP/2003的进程分析
- Win2k下进程不死术
- winlogon.exe系统进程介绍
- Windows系统中鲜为人知的宝藏之进程篇
- kernel32.dll系统进程介绍
- services.exe系统进程介绍
- inetinfo.exe系统进程介绍
- 任务管理器的秘密:Win2K系统进程详解
- 任务管理器杀不了的进程如何关闭
- 任务管理器杀不了的进程如何关闭
- mdm.exe系统进程介绍
- system系统进程介绍
- snmp.exe系统进程介绍
- winmgmt.exe系统进程介绍
- 两妙招“强行”杀死病毒进程
- inetinfo.exe系统进程介绍
- lsass.exe系统进程介绍
- Windows系统任务管理如何批量关闭进程[图]
- Explorer.exe系统进程介绍
- 关闭任务管理器杀不了的进程
- services.exe系统进程介绍
- rundll32.exe命令使用大法
- 详谈进程与端口的映射
- regsvc.exe系统进程介绍
- winlogon.exe系统进程介绍
- Windows2000/XP/2003的进程分析
- internat.exe系统进程介绍
- winxp的服务与进程
- spool32.exe系统进程介绍
- dllhost.exe系统进程介绍
- Windows系统中鲜为人知的宝藏之进程篇
- tcpsvcs.exe系统进程介绍
- 全面了解Windows的系统进程及服务
- rpcss.exe系统进程介绍
- smss.exe系统进程介绍
- Windows2000Server进程详解
- 系统进程中Svchost.exe的作用
- 任务管理器的秘密:Win2K系统进程详解
- Windows2000运行进程简要说明
- rundll32.exe命令使用大法
- Explorer.exe系统进程介绍
- dllhost.exe系统进程介绍
- ddhelp.exe系统进程介绍
- 两妙招“强行”杀死病毒进程
- 全面了解Windows的系统进程及服务
- Windows2000Server进程详解
- 任务管理器杀不了的进程如何关闭
- Windows系统任务管理如何批量关闭进程[图]
- 详谈进程与端口的映射
- Windows2000/XP/2003的进程分析
- 系统进程中Svchost.exe的作用
- 基础常识:Win2000常见系统进程描述
- winxp的服务与进程
- Win2000系统进程列表
- 任务管理器的秘密:Win2K系统进程详解
- Windows2000运行进程简要说明
- WIN9X下查找隐藏进程实现方法
- inetinfo.exe系统进程介绍
- internat.exe系统进程介绍
- 关闭任务管理器杀不了的进程
- Windows系统中鲜为人知的宝藏之进程篇
- system系统进程介绍
- winmgmt.exe系统进程介绍
- winlogon.exe系统进程介绍
- tcpsvcs.exe系统进程介绍
- taskmon.exe系统进程介绍
- spool32.exe系统进程介绍
- snmp.exe系统进程介绍
- smss.exe系统进程介绍