[原创]病毒专杀编写攻略之ring3篇-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (37) ◀ 1 2
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2010-11-8 14:34 26 楼 0 感谢，学习学习！
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2010-11-9 06:48 27 楼 0 标记虽然是C代码也是好东东
kagayaki 雪币： 672 活跃值： (3955) 能力值： ( LV3，RANK：20 ) 在线值：发帖 163 回帖 1214 粉丝 19 关注私信	kagayaki 2010-11-10 01:26 28 楼 0 谢谢, 收藏!!!!!!
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 62 回帖 696 粉丝 16 关注私信	guxinyi 5 2010-12-22 17:04 29 楼 0 很好,不错，标记
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 62 回帖 696 粉丝 16 关注私信	guxinyi 5 2010-12-22 17:19 30 楼 0 typedef LONG NTSTATUS ; typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef UNICODE_STRING PUNICODE_STRING; typedef const UNICODE_STRING PCUNICODE_STRING; typedef struct _OBJECT_ATTRIBUTES { ULONG Length; HANDLE RootDirectory; PUNICODE_STRING ObjectName; ULONG Attributes; PVOID SecurityDescriptor; PVOID SecurityQualityOfService; } OBJECT_ATTRIBUTES, POBJECT_ATTRIBUTES; typedef CONST OBJECT_ATTRIBUTES PCOBJECT_ATTRIBUTES; typedef struct _IO_STATUS_BLOCK { union { NTSTATUS Status; PVOID Pointer; }; ULONG_PTR Information; } IO_STATUS_BLOCK, PIO_STATUS_BLOCK; typedef NTSTATUS (ZWDELETEFILE)( IN LPVOID ); typedef VOID (RTLINITUNICODESTRING)( LPVOID, LPVOID ); typedef NTSTATUS (ZWCREATEFILE)( OUT PHANDLE , IN ACCESS_MASK , IN LPVOID , OUT LPVOID , IN PLARGE_INTEGER , IN ULONG , IN ULONG , IN ULONG , IN ULONG , IN PVOID , IN ULONG ); typedef NTSTATUS (ZWWRITEFILE)( IN HANDLE , IN HANDLE OPTIONAL, IN LPVOID OPTIONAL, IN PVOID OPTIONAL, OUT LPVOID , IN PVOID , IN ULONG , IN PLARGE_INTEGER OPTIONAL, IN PULONG OPTIONAL ); typedef NTSTATUS (ZWCLOSE)( IN HANDLE ); void CTestDlg::OnButton1() { HINSTANCE hNtDll; ZWDELETEFILE ZwDeleteFile; RTLINITUNICODESTRING RtlInitUnicodeString; ZWCREATEFILE ZwCreateFile; ZWWRITEFILE ZwWriteFile; ZWCLOSE ZwClose; hNtDll = LoadLibrary ("NTDLL"); if (!hNtDll) return ; ZwDeleteFile = (ZWDELETEFILE)GetProcAddress (hNtDll,"ZwDeleteFile"); RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress (hNtDll,"RtlInitUnicodeString"); ZwCreateFile = (ZWCREATEFILE)GetProcAddress (hNtDll,"ZwCreateFile"); ZwWriteFile = (ZWWRITEFILE)GetProcAddress (hNtDll,"ZwWriteFile"); ZwClose = (ZWCLOSE)GetProcAddress (hNtDll,"ZwClose"); UNICODE_STRING ObjectName; RtlInitUnicodeString(&ObjectName,L"\\??\\E:\\123.exe");//记得这里要有\\??\\在前面的,文件名必须是符号链接或者设备名 _asm sub esp,8 OBJECT_ATTRIBUTES ObjectAttributes = { sizeof(OBJECT_ATTRIBUTES), // Length NULL, // RootDirectory &ObjectName, // ObjectName 0x00000040/OBJ_CASE_INSENSITIVE/, // Attributes 0, // SecurityDescriptor NULL, // SecurityQualityOfService }; HANDLE hFile; PVOID content = "ForZwFileTest"; IO_STATUS_BLOCK IoStatusBlock; ZwCreateFile(&hFile, GENERIC_WRITE\|SYNCHRONIZE\|GENERIC_READ, &ObjectAttributes, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_DELETE, 0x00000003/FILE_OPEN_IF/, 0x00000020/FILE_SYNCHRONOUS_IO_NONALERT/, NULL, 0); _asm sub esp,0x2c ZwWriteFile(hFile, 0, 0, 0, &IoStatusBlock, content, 12, NULL, NULL); _asm sub esp,0x24 ZwClose(hFile); _asm sub esp,0x4 ZwDeleteFile(&ObjectAttributes); _asm sub esp,0x4 FreeLibrary (hNtDll); }
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 62 回帖 696 粉丝 16 关注私信	guxinyi 5 2010-12-22 17:20 31 楼 0 帮贴下删文件的代码,哈哈，,,,
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 2012-4-24 17:14 32 楼 0 先call TerminateThread再 free dll
gtict 雪币： 2344 活跃值： (2207) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 490 粉丝 4 关注私信	gtict 2012-6-20 10:34 33 楼 0 注入下.....00
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 213 粉丝 0 关注私信	vvking 2012-6-20 10:46 34 楼 0 多谢分享，谢谢了，辛苦了~
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 2012-7-17 08:57 35 楼 0 收藏,学习咯
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 1 关注私信	eidolonlon 2012-7-21 21:20 36 楼 0 guxinyi，这里调整栈顶的内联汇编可有意义？
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 483 粉丝 0 关注私信	kangcin 2012-7-21 21:41 37 楼 0 温故知新,被顶上来了
renwotao 雪币： 31 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	renwotao 2012-8-27 10:50 38 楼 0 很实用，支持
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (37) ◀ 1 2
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2010-11-8 14:34 26 楼 0 感谢，学习学习！
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 384 粉丝 0 关注私信	wping 2010-11-9 06:48 27 楼 0 标记虽然是C代码也是好东东
kagayaki 雪币： 672 活跃值： (3955) 能力值： ( LV3，RANK：20 ) 在线值：发帖 163 回帖 1214 粉丝 19 关注私信	kagayaki 2010-11-10 01:26 28 楼 0 谢谢, 收藏!!!!!!
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 62 回帖 696 粉丝 16 关注私信	guxinyi 5 2010-12-22 17:04 29 楼 0 很好,不错，标记
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 62 回帖 696 粉丝 16 关注私信	guxinyi 5 2010-12-22 17:19 30 楼 0 typedef LONG NTSTATUS ; typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef UNICODE_STRING PUNICODE_STRING; typedef const UNICODE_STRING PCUNICODE_STRING; typedef struct _OBJECT_ATTRIBUTES { ULONG Length; HANDLE RootDirectory; PUNICODE_STRING ObjectName; ULONG Attributes; PVOID SecurityDescriptor; PVOID SecurityQualityOfService; } OBJECT_ATTRIBUTES, POBJECT_ATTRIBUTES; typedef CONST OBJECT_ATTRIBUTES PCOBJECT_ATTRIBUTES; typedef struct _IO_STATUS_BLOCK { union { NTSTATUS Status; PVOID Pointer; }; ULONG_PTR Information; } IO_STATUS_BLOCK, PIO_STATUS_BLOCK; typedef NTSTATUS (ZWDELETEFILE)( IN LPVOID ); typedef VOID (RTLINITUNICODESTRING)( LPVOID, LPVOID ); typedef NTSTATUS (ZWCREATEFILE)( OUT PHANDLE , IN ACCESS_MASK , IN LPVOID , OUT LPVOID , IN PLARGE_INTEGER , IN ULONG , IN ULONG , IN ULONG , IN ULONG , IN PVOID , IN ULONG ); typedef NTSTATUS (ZWWRITEFILE)( IN HANDLE , IN HANDLE OPTIONAL, IN LPVOID OPTIONAL, IN PVOID OPTIONAL, OUT LPVOID , IN PVOID , IN ULONG , IN PLARGE_INTEGER OPTIONAL, IN PULONG OPTIONAL ); typedef NTSTATUS (ZWCLOSE)( IN HANDLE ); void CTestDlg::OnButton1() { HINSTANCE hNtDll; ZWDELETEFILE ZwDeleteFile; RTLINITUNICODESTRING RtlInitUnicodeString; ZWCREATEFILE ZwCreateFile; ZWWRITEFILE ZwWriteFile; ZWCLOSE ZwClose; hNtDll = LoadLibrary ("NTDLL"); if (!hNtDll) return ; ZwDeleteFile = (ZWDELETEFILE)GetProcAddress (hNtDll,"ZwDeleteFile"); RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress (hNtDll,"RtlInitUnicodeString"); ZwCreateFile = (ZWCREATEFILE)GetProcAddress (hNtDll,"ZwCreateFile"); ZwWriteFile = (ZWWRITEFILE)GetProcAddress (hNtDll,"ZwWriteFile"); ZwClose = (ZWCLOSE)GetProcAddress (hNtDll,"ZwClose"); UNICODE_STRING ObjectName; RtlInitUnicodeString(&ObjectName,L"\\??\\E:\\123.exe");//记得这里要有\\??\\在前面的,文件名必须是符号链接或者设备名 _asm sub esp,8 OBJECT_ATTRIBUTES ObjectAttributes = { sizeof(OBJECT_ATTRIBUTES), // Length NULL, // RootDirectory &ObjectName, // ObjectName 0x00000040/OBJ_CASE_INSENSITIVE/, // Attributes 0, // SecurityDescriptor NULL, // SecurityQualityOfService }; HANDLE hFile; PVOID content = "ForZwFileTest"; IO_STATUS_BLOCK IoStatusBlock; ZwCreateFile(&hFile, GENERIC_WRITE\|SYNCHRONIZE\|GENERIC_READ, &ObjectAttributes, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_DELETE, 0x00000003/FILE_OPEN_IF/, 0x00000020/FILE_SYNCHRONOUS_IO_NONALERT/, NULL, 0); _asm sub esp,0x2c ZwWriteFile(hFile, 0, 0, 0, &IoStatusBlock, content, 12, NULL, NULL); _asm sub esp,0x24 ZwClose(hFile); _asm sub esp,0x4 ZwDeleteFile(&ObjectAttributes); _asm sub esp,0x4 FreeLibrary (hNtDll); }
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 62 回帖 696 粉丝 16 关注私信	guxinyi 5 2010-12-22 17:20 31 楼 0 帮贴下删文件的代码,哈哈，,,,
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 2012-4-24 17:14 32 楼 0 先call TerminateThread再 free dll
gtict 雪币： 2344 活跃值： (2207) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 490 粉丝 4 关注私信	gtict 2012-6-20 10:34 33 楼 0 注入下.....00
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 213 粉丝 0 关注私信	vvking 2012-6-20 10:46 34 楼 0 多谢分享，谢谢了，辛苦了~
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 2012-7-17 08:57 35 楼 0 收藏,学习咯
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 1 关注私信	eidolonlon 2012-7-21 21:20 36 楼 0 guxinyi，这里调整栈顶的内联汇编可有意义？
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 483 粉丝 0 关注私信	kangcin 2012-7-21 21:41 37 楼 0 温故知新,被顶上来了
renwotao 雪币： 31 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	renwotao 2012-8-27 10:50 38 楼 0 很实用，支持
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复