首页
社区
课程
招聘
汇编修改winlogon.exe实现屏蔽指定Win7系统功能键
发表于: 2015-4-23 16:50 5001

汇编修改winlogon.exe实现屏蔽指定Win7系统功能键

2015-4-23 16:50
5001
我在这里 http://laomaspeak.blog.sohu.com/254385572.html 看到了一个文章讲到了可以通过汇编修改winlogon.exe 来达到禁止 ctrl+alt+del 的方法(想法四)

我按照想法四进行了使用汇编工具修改了Winlogon.exe,现在可以屏蔽win+L了,但是对于 Ctrl + Alt + Del, 文中作者提到其ID=0, 但是从前后的代码中看不到哪里有存在 ID=0 的跳转呢

提前感谢大侠的指点!

在线等!

如下图红色部分,作者提到了Ctrl+Alt+Del的ID=0,但是怎么也找不到哪里是作者说的这个地方。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
  • 1.jpg (241.98kb,6次下载)
收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 11037
活跃值: (17540)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
虽然不会这个技术,但路过帮楼主顶贴
2015-4-23 17:28
0
雪    币: 261
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
test eax, eax
2015-4-23 19:09
0
雪    币: 8188
活跃值: (2842)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
4
哈哈。。cmp 0这种被编译器优化成test了。
2015-4-23 19:27
0
雪    币: 995
活跃值: (269)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
小白一个,不懂
2015-4-23 19:43
0
雪    币: 24
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
太感谢yuchengton 和 layerfsd 的回复了

两位的回复让人豁然开朗啊

非常感谢两位!

但是这里要如何更改,才能更改为我想象的下面的跳转语句不工作呢?

我刚才尝试着将下一行的 jnz 改成 jz 语句,结果 ctrl+alt+del 确实不工作了,可惜上面 win+L, win+P等已经屏蔽的功能键全部变成了 ctrl+alt+del 的功能。

这里源代码的工作应该是 switch case 的工作模式。
如果都不匹配,那么就会进入到default,从试验的结果来看,感觉win+L, win+P进入了default,最后启动了 ctrl+alt+del 的功能键。

switch(快捷键ID)
{
case Ctrl+Alt+Del://我们修改改ID,让程序无法执行该方法
{
  打开桌面安全选项();
}
break;
case Win+L://我们修改改ID,让程序无法执行该方法
{
  锁定桌面();
}
break;
case Ctrl+Shift+Esc://我们修改改ID,让程序无法执行该方法
{
  打开任务管理器();
}
break;
case Win+P://我们修改改ID,让程序无法执行该方法
{
  切换窗口();
}
break;
default://不做任何操作,让winlogon.exe最终走到这里
{

}

上传的附件:
2015-4-23 21:04
0
雪    币: 24
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
我将 test eax, eax 的下一条 jne 改成 je, 发现ctrl+alt+del不工作,被屏蔽了,但是win+L, win+P的功能却变成了ctrl+alt+del的功能

如果我更改test eax, eax 的下一条为其他随便语句,比如 cmp eax, esi ,那么win+L, win+P, ctrl+alt+del 都全部没有被屏蔽,都变成了现在的ctrl+alt+del 的功能了。

还没有找到办法
2015-4-23 21:46
0
雪    币: 261
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
难道不是改成jmp么?
2015-4-23 22:55
0
雪    币: 292
活跃值: (153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
你丫在搞什么破坏?  直播怎么切断电话线,无法拨打110等。 我也是醉了。
2015-4-23 23:29
0
雪    币: 273
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这高深的都可以啊  这个都可以去修改 用第三方工具不可以吗???
2015-4-24 00:05
0
雪    币: 24
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
先感谢楼上的各位朋友!

因为我对汇编不懂,对二进制代码就更是不知道如何下手。

目前我尝试的办法是将 test eax, eax 的语句改成其他的 比如 cmp eax, esi,尝试把下一条 jne 改成 je ,结果这里都有问题。

改成其他超过2个字节的代码,我就不知道怎么更改了。
2015-4-24 09:36
0
雪    币: 24
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
乱改一气,将这里代码前后相关的几个跳转全部乱改了一下,居然可以屏蔽了额!

我估计是这下面还有另外两个跳转造成的,乱改了之后,就工作了。

有没有其他后续坏影响就无法确定了,不过就先这样了。

太感谢楼上的所有朋友了!
2015-4-24 10:21
0
雪    币: 24
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
结贴,再次感谢 yuchengton  layerfsd ,请注意查收奖励分,谢谢!
2015-4-24 10:25
0
游客
登录 | 注册 方可回帖
返回
//