首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创]纯汇编USP10.DLL劫持
发表于: 2010-9-6 14:12 22139

[原创]纯汇编USP10.DLL劫持

jgaoabc 活跃值
1
2010-9-6 14:12
22139
标 题: 【原创】纯汇编编写USP10.DLL劫持
作 者: jgaoabc
时 间: 2010年9月6日

看了论坛上有关DLL劫持的文章,自己尝试了一下,试着用汇编语言写了个USP10.DLL劫持的工具,论坛上都是用C语言,而我不会C,所以发布出来,供大家交流。由于水平问题,希望大家多提宝贵意见。

用途:运行本程序之后,在系统盘Program Files\Internet Explorer目录生成自动生成一个USP10.DLL,这个USP10.DLL是根据系统目录下的USP10.DLL生成的,不同的是改变了入口点,加了一个执行记事本的功能。当运行IE时,记事本会首先运行。

实现方法:通过CopyFileA把系统目录下的USP10.DLL复制到系统盘Program Files\Internet Explorer目录,然后用CreateFileMappingA和MapViewOfFile函数,把USP10.DLL直接映射到内存中进行修改。

USP10.DLL修改了入口点,采用无输入表搜索kernel32.dll的Winexec函数的方法,这样可以不用依赖USP10.DLL的输入表,然后用Winexec执行记事本。为了防止多次运行,在代码开始的地方加了个开关。

该工具在XP的SP2、SP3以及2003上测试通过。

声明1:本程序是我直接用汇编语言写的,程序就是源码。可以用OD打开这个程序和生成的USP10.DLL,跟踪下就知道了。

声明2:本程序原本是不杀的,是因为我公布了之后才被有些杀毒软件作为病毒查杀。我公布的目的只是作为技术交流。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
免费 7
支持
分享
最新回复 (29)
Dhuta
雪    币: 187
活跃值: (26)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
顶一下!
2010-9-6 16:10
0
孤独的缘
雪    币: 210
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
支持一下
2010-9-6 18:41
0
要学会编
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
学习, 不过没源码呀
2010-9-6 20:57
0
jiangjing
雪    币: 244
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
5
以为有源代码。。。。
2010-9-6 23:16
0
jgaoabc
雪    币: 394
活跃值: (131)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
6
那个程序不是源码吗?自己打开看看,你也可以打开USP10.DLL看看究竟加了些什么东西。
2010-9-6 23:52
0
SunV
雪    币: 141
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
哈哈,练习逆向的好东西
2010-9-7 01:19
0
guobing
雪    币: 10026
活跃值: (158)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
jgao大哥的帖子得顶一个。
2010-9-9 20:15
0
charme
雪    币: 112
活跃值: (48)
能力值: ( LV9,RANK:320 )
在线值:
发帖
回帖
粉丝
私信
9
刚解压就被杀的东西,,一概不看
2010-9-9 21:35
0
jgaoabc
雪    币: 394
活跃值: (131)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
10
好象很拽的嘛,要知道我发布之前,基本上是免杀的,而且可以过很多杀软的主动。就是因为想技术交流,发布出来,就被杀毒软件杀了。说话要有分寸。
2010-9-10 20:21
0
小鬼当家
雪    币: 292
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
下载学习一下,呵呵
2010-9-11 13:38
0
YFLK
雪    币: 253
活跃值: (89)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
没有原码,就没有什么意义了
2010-9-14 15:35
0
yanghh
雪    币: 134
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
喜欢有码的。。。。。
2010-9-15 08:34
0
zphdebug
雪    币: 95
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
14
既然放出来就公开下源码撒
2010-9-15 10:19
0
zklhp
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
不喜欢没源码的。。。

帮顶 呵呵
2010-9-27 15:52
0
yiyiguxing
雪    币: 70
活跃值: (74)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
16
LZ说了,他写的是汇编啊。。。这个还需要源码?o(︶︿︶)o 唉
2010-9-27 22:03
0
哥布林
雪    币: 27
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
就好像没在这个世界上活过似的。
2010-9-28 20:44
0
找水的鱼
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
有码有  真相...求真相..
2010-9-30 11:10
0
lofullen
雪    币: 292
活跃值: (126)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
19
呵呵 LZ 我**,那些**别鸟他们,这年头云查杀技术泛滥任何免杀其实都是无意义的。。。这代码纯汇编写的,跟出源码有何分别,通常半斤不足,八两不鲜的人才出来狒
2010-10-15 22:36
0
Mx¢Xgt
雪    币: 656
活跃值: (448)
能力值: ( LV12,RANK:360 )
在线值:
发帖
回帖
粉丝
私信
20
中过一个会感染RAR的
2010-11-2 19:30
0
Mx¢Xgt
雪    币: 656
活跃值: (448)
能力值: ( LV12,RANK:360 )
在线值:
发帖
回帖
粉丝
私信
21
程序就是源码,好猥琐的说法
2010-11-2 19:38
0
kkcl
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
晕。怎么是个运行文件。没有 源码吗?
2010-12-29 14:18
0
V仔
雪    币: 244
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
不懂。但要努力学习。多谢了
2010-12-31 15:34
0
superlover
雪    币: 10037
活跃值: (4046)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
mark一下,这个可以顶。
楼主的汇编功力一流啊。
2011-3-17 15:11
0
喃风部落
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
看jgaoabc的帖子···都是有很大收获的··
2011-10-17 23:00
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//