资源描述:
《也写了一个删除程序, 采用远程线程注入技术.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、也写了一个自删除程序,采用远程线程注入技术.有点新意的就是,在线程函数里调用VirtualFree函数时,不是用call指令,而是jmp,这样,当VirtualFree函数返回后,就会直接进入到ExitThread函数,因为此前已经将这个函数的地址压入栈了.我们知道,call指令其实就是两个操作: 1.将call指令返回后的紧接着的下一条指令的地址压栈, 2.跳转到call指令代表的函数的首地址.函数执行完毕后, 1.ret指令就将从栈上读取返回地址, 2.跳转到那个地址继续执行,我们其实是在这里人为的将其执行流程给改了.我们这么做的意图很负责任:释放这块指令所处的内存,避免内存泄漏,因为
2、注入代码的进程已经退出,没有机会清理这块内存,咱们就自力更生了.这么干也很安全,因为ExitThread不会返回了,EIP就不会跑飞了(也就是说,换成别的函数会造成目标进程崩溃的,特此说明.).线程函数的最后的平衡堆栈的指令和返回指令是没有意义的,放这里是为了让反汇编器不会少见多怪. 接下来废话少说,贴代码:#include #include #include #include void EnablePrivilege(void){ HANDLE hToken; TOKEN_
3、PRIVILEGES tp = { 0 }; HANDLE hProcess = GetCurrentProcess(); if (!OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES
4、 TOKEN_QUERY, &hToken)) return; if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid)) { CloseHandle(hToken);
5、 return; } tp.PrivilegeCount = 1; tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL); CloseHandle(hToken);}DWORD FindTarget(LPCTSTR lpszProcess){ DWORD dwRet = 0;
6、 PROCESSENTRY32 pe32 = { sizeof( PROCESSENTRY32 ) }; HANDLE hSnapshot = NULL; hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); Process32First(hSnapshot, &pe32); do { if (0 == lstrcmpi(pe32.szExeFile, lpszProcess)) { dwRet = pe32.th32ProcessID;
7、 break; } } while (Process32Next(hSnapshot, &pe32)); CloseHandle(hSnapshot); return dwRet;}static DWORD WINAPI DelProc(LPVOID lpParam){ Sleep(50); DeleteFileA((LPCSTR)lpParam); VirtualFree((PVOID)0x10000000, 0, MEM_RELEASE); ExitThread(0); return 0;}//======
8、========================================================================PUCHAR FindDWordFromBuffer(PUCHAR lpBuffer, UINT cchMax, DWORD dwValue){ PUCHAR pResult = NULL; UINT nIter = 0; for (nIter=0; nIter
