[原创]病毒专杀编写攻略之ring3篇-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (37) ◀ 1 2
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 26 楼感谢，学习学习！ 2010-11-8 14:34 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 27 楼标记虽然是C代码也是好东东 2010-11-9 06:48 0
kagayaki 雪币： 1335 活跃值： (5190) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 28 楼谢谢, 收藏!!!!!! 2010-11-10 01:26 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 29 楼很好,不错，标记 2010-12-22 17:04 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 30 楼 typedef LONG NTSTATUS ; typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef UNICODE_STRING PUNICODE_STRING; typedef const UNICODE_STRING PCUNICODE_STRING; typedef struct _OBJECT_ATTRIBUTES { ULONG Length; HANDLE RootDirectory; PUNICODE_STRING ObjectName; ULONG Attributes; PVOID SecurityDescriptor; PVOID SecurityQualityOfService; } OBJECT_ATTRIBUTES, POBJECT_ATTRIBUTES; typedef CONST OBJECT_ATTRIBUTES PCOBJECT_ATTRIBUTES; typedef struct _IO_STATUS_BLOCK { union { NTSTATUS Status; PVOID Pointer; }; ULONG_PTR Information; } IO_STATUS_BLOCK, PIO_STATUS_BLOCK; typedef NTSTATUS (ZWDELETEFILE)( IN LPVOID ); typedef VOID (RTLINITUNICODESTRING)( LPVOID, LPVOID ); typedef NTSTATUS (ZWCREATEFILE)( OUT PHANDLE , IN ACCESS_MASK , IN LPVOID , OUT LPVOID , IN PLARGE_INTEGER , IN ULONG , IN ULONG , IN ULONG , IN ULONG , IN PVOID , IN ULONG ); typedef NTSTATUS (ZWWRITEFILE)( IN HANDLE , IN HANDLE OPTIONAL, IN LPVOID OPTIONAL, IN PVOID OPTIONAL, OUT LPVOID , IN PVOID , IN ULONG , IN PLARGE_INTEGER OPTIONAL, IN PULONG OPTIONAL ); typedef NTSTATUS (ZWCLOSE)( IN HANDLE ); void CTestDlg::OnButton1() { HINSTANCE hNtDll; ZWDELETEFILE ZwDeleteFile; RTLINITUNICODESTRING RtlInitUnicodeString; ZWCREATEFILE ZwCreateFile; ZWWRITEFILE ZwWriteFile; ZWCLOSE ZwClose; hNtDll = LoadLibrary ("NTDLL"); if (!hNtDll) return ; ZwDeleteFile = (ZWDELETEFILE)GetProcAddress (hNtDll,"ZwDeleteFile"); RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress (hNtDll,"RtlInitUnicodeString"); ZwCreateFile = (ZWCREATEFILE)GetProcAddress (hNtDll,"ZwCreateFile"); ZwWriteFile = (ZWWRITEFILE)GetProcAddress (hNtDll,"ZwWriteFile"); ZwClose = (ZWCLOSE)GetProcAddress (hNtDll,"ZwClose"); UNICODE_STRING ObjectName; RtlInitUnicodeString(&ObjectName,L"\\??\\E:\\123.exe");//记得这里要有\\??\\在前面的,文件名必须是符号链接或者设备名 _asm sub esp,8 OBJECT_ATTRIBUTES ObjectAttributes = { sizeof(OBJECT_ATTRIBUTES), // Length NULL, // RootDirectory &ObjectName, // ObjectName 0x00000040/OBJ_CASE_INSENSITIVE/, // Attributes 0, // SecurityDescriptor NULL, // SecurityQualityOfService }; HANDLE hFile; PVOID content = "ForZwFileTest"; IO_STATUS_BLOCK IoStatusBlock; ZwCreateFile(&hFile, GENERIC_WRITE\|SYNCHRONIZE\|GENERIC_READ, &ObjectAttributes, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_DELETE, 0x00000003/FILE_OPEN_IF/, 0x00000020/FILE_SYNCHRONOUS_IO_NONALERT/, NULL, 0); _asm sub esp,0x2c ZwWriteFile(hFile, 0, 0, 0, &IoStatusBlock, content, 12, NULL, NULL); _asm sub esp,0x24 ZwClose(hFile); _asm sub esp,0x4 ZwDeleteFile(&ObjectAttributes); _asm sub esp,0x4 FreeLibrary (hNtDll); } 2010-12-22 17:19 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 31 楼帮贴下删文件的代码,哈哈，,,, 2010-12-22 17:20 0
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 32 楼先call TerminateThread再 free dll 2012-4-24 17:14 0
gtict 雪币： 272 活跃值： (3263) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 33 楼注入下.....00 2012-6-20 10:34 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 34 楼多谢分享，谢谢了，辛苦了~ 2012-6-20 10:46 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 35 楼收藏,学习咯 2012-7-17 08:57 0
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 11 回帖 74 粉丝 1 关注私信	eidolonlon 36 楼 guxinyi，这里调整栈顶的内联汇编可有意义？ 2012-7-21 21:20 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 37 楼温故知新,被顶上来了 2012-7-21 21:41 0
renwotao 雪币： 31 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	renwotao 38 楼很实用，支持 2012-8-27 10:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (37) ◀ 1 2
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 26 楼感谢，学习学习！ 2010-11-8 14:34 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 27 楼标记虽然是C代码也是好东东 2010-11-9 06:48 0
kagayaki 雪币： 1335 活跃值： (5190) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 28 楼谢谢, 收藏!!!!!! 2010-11-10 01:26 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 29 楼很好,不错，标记 2010-12-22 17:04 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 30 楼 typedef LONG NTSTATUS ; typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef UNICODE_STRING PUNICODE_STRING; typedef const UNICODE_STRING PCUNICODE_STRING; typedef struct _OBJECT_ATTRIBUTES { ULONG Length; HANDLE RootDirectory; PUNICODE_STRING ObjectName; ULONG Attributes; PVOID SecurityDescriptor; PVOID SecurityQualityOfService; } OBJECT_ATTRIBUTES, POBJECT_ATTRIBUTES; typedef CONST OBJECT_ATTRIBUTES PCOBJECT_ATTRIBUTES; typedef struct _IO_STATUS_BLOCK { union { NTSTATUS Status; PVOID Pointer; }; ULONG_PTR Information; } IO_STATUS_BLOCK, PIO_STATUS_BLOCK; typedef NTSTATUS (ZWDELETEFILE)( IN LPVOID ); typedef VOID (RTLINITUNICODESTRING)( LPVOID, LPVOID ); typedef NTSTATUS (ZWCREATEFILE)( OUT PHANDLE , IN ACCESS_MASK , IN LPVOID , OUT LPVOID , IN PLARGE_INTEGER , IN ULONG , IN ULONG , IN ULONG , IN ULONG , IN PVOID , IN ULONG ); typedef NTSTATUS (ZWWRITEFILE)( IN HANDLE , IN HANDLE OPTIONAL, IN LPVOID OPTIONAL, IN PVOID OPTIONAL, OUT LPVOID , IN PVOID , IN ULONG , IN PLARGE_INTEGER OPTIONAL, IN PULONG OPTIONAL ); typedef NTSTATUS (ZWCLOSE)( IN HANDLE ); void CTestDlg::OnButton1() { HINSTANCE hNtDll; ZWDELETEFILE ZwDeleteFile; RTLINITUNICODESTRING RtlInitUnicodeString; ZWCREATEFILE ZwCreateFile; ZWWRITEFILE ZwWriteFile; ZWCLOSE ZwClose; hNtDll = LoadLibrary ("NTDLL"); if (!hNtDll) return ; ZwDeleteFile = (ZWDELETEFILE)GetProcAddress (hNtDll,"ZwDeleteFile"); RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress (hNtDll,"RtlInitUnicodeString"); ZwCreateFile = (ZWCREATEFILE)GetProcAddress (hNtDll,"ZwCreateFile"); ZwWriteFile = (ZWWRITEFILE)GetProcAddress (hNtDll,"ZwWriteFile"); ZwClose = (ZWCLOSE)GetProcAddress (hNtDll,"ZwClose"); UNICODE_STRING ObjectName; RtlInitUnicodeString(&ObjectName,L"\\??\\E:\\123.exe");//记得这里要有\\??\\在前面的,文件名必须是符号链接或者设备名 _asm sub esp,8 OBJECT_ATTRIBUTES ObjectAttributes = { sizeof(OBJECT_ATTRIBUTES), // Length NULL, // RootDirectory &ObjectName, // ObjectName 0x00000040/OBJ_CASE_INSENSITIVE/, // Attributes 0, // SecurityDescriptor NULL, // SecurityQualityOfService }; HANDLE hFile; PVOID content = "ForZwFileTest"; IO_STATUS_BLOCK IoStatusBlock; ZwCreateFile(&hFile, GENERIC_WRITE\|SYNCHRONIZE\|GENERIC_READ, &ObjectAttributes, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_DELETE, 0x00000003/FILE_OPEN_IF/, 0x00000020/FILE_SYNCHRONOUS_IO_NONALERT/, NULL, 0); _asm sub esp,0x2c ZwWriteFile(hFile, 0, 0, 0, &IoStatusBlock, content, 12, NULL, NULL); _asm sub esp,0x24 ZwClose(hFile); _asm sub esp,0x4 ZwDeleteFile(&ObjectAttributes); _asm sub esp,0x4 FreeLibrary (hNtDll); } 2010-12-22 17:19 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 31 楼帮贴下删文件的代码,哈哈，,,, 2010-12-22 17:20 0
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 32 楼先call TerminateThread再 free dll 2012-4-24 17:14 0
gtict 雪币： 272 活跃值： (3263) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 33 楼注入下.....00 2012-6-20 10:34 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 34 楼多谢分享，谢谢了，辛苦了~ 2012-6-20 10:46 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 35 楼收藏,学习咯 2012-7-17 08:57 0
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 11 回帖 74 粉丝 1 关注私信	eidolonlon 36 楼 guxinyi，这里调整栈顶的内联汇编可有意义？ 2012-7-21 21:20 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 37 楼温故知新,被顶上来了 2012-7-21 21:41 0
renwotao 雪币： 31 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	renwotao 38 楼很实用，支持 2012-8-27 10:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复