首页
社区
课程
招聘
[SHE]贴两个今年写的工具
发表于: 2006-12-12 20:11 34343

[SHE]贴两个今年写的工具

2006-12-12 20:11
34343

一个早在国庆的时候于www.unpack.cn贴过, 这里没贴过
还有一个两边都没贴过
两个都不支持98和vista

just 4 fun


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (93)
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
2
第一个工具:
thanks to 老王 heXer fly KanXue 西裤哥哥 DiKeN
第二个工具:
thanks to KanXue 娃娃 9521

害怕就表运行
相信我的就表怕
2006-12-12 20:11
0
雪    币: 721
活跃值: (350)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
3
最初由 shoooo 发布
先占了


哈哈,我的榜样!
2006-12-12 20:13
0
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
4
谢谢shoooo,都是好东西,特别是这个,是个潜力股:
2006-12-12 20:16
0
雪    币: 154
活跃值: (80)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
呵呵,不管是什么东西先下来看再说
2006-12-12 20:23
0
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
6
另外一个是啥东西~
2006-12-12 20:49
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
7
我比较关心没有出现的1.exe是什么东西,
2006-12-12 20:57
0
雪    币: 146
活跃值: (33)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
废主板也要运行
2006-12-12 21:01
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
3.exe没帖过吗?
最初由 shoooo 发布
好像heXer曾经说过的
貌似对DEBUG方式的无效


代码:--------------------------------------------------------------------------------
#include <windows.h>
#include <tlhelp32.h>
#include <commdlg.h>
#pragma comment (lib, "comdlg32.lib")
#pragma comment (linker, "/filealign:0x200")
#pragma comment (linker, "/subsystem:windows")
#pragma comment (linker, "/entry:entry")

void AdjustPrivilege(int pid, BOOL bEnable)
{
HANDLE hProcess;
HANDLE hToken=0;
TOKEN_PRIVILEGES tkp;
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Attributes = 0;
if (bEnable)
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if (LookupPrivilegeValue(NULL, "SeDebugPrivilege", &tkp.Privileges[0].Luid))
{
if (hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid))
{
if (OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, &hToken))
{
if (AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, NULL))
{
CloseHandle(hToken);
}
}
CloseHandle(hProcess);
}
}
}

DWORD FindExplorer()
{
HANDLE hC;
DWORD i;
BOOL Next;
char szName[MAX_PATH];

PROCESSENTRY32 p32 = {sizeof(p32)};
hC = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);
Next = Process32First(hC, &p32);
i = 0;
while (Next)
{
wsprintf(szName, "%s", p32.szExeFile);
if (lstrcmpi(szName, "EXPLORER.EXE") == 0)
return p32.th32ProcessID ;
Next = Process32Next(hC, &p32);
i++;
}
CloseHandle(hC);
return 0;
}

HANDLE hProcess;
DWORD ZwCP;
DWORD ZwCPEx;
DWORD NoCP;
DWORD NoCPEx;


void __declspec(naked) FuckZwCP()
{
__asm
{
mov eax, hProcess
mov [esp+0x10], eax
mov eax, NoCP;
push ZwCP;
add dword ptr [esp], 5
retn
}
}

void __declspec(naked) FuckZwCPEx()
{
__asm
{
mov eax, hProcess
mov [esp+0x10], eax
mov eax, NoCPEx;
push ZwCPEx;
add dword ptr [esp], 5
retn
}
}

void Patch()
{
DWORD odpt;

ZwCP = (DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwCreateProcess");
ZwCPEx = (DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwCreateProcessEx");
if (ZwCP != 0)
{
NoCP = *(LPDWORD)(ZwCP+1);
VirtualProtect((LPVOID)ZwCP, 5, PAGE_EXECUTE_READWRITE, &odpt);
*(LPBYTE)(ZwCP+0x00) = 0xE9;
*(LPDWORD)(ZwCP+0x01) = (DWORD)FuckZwCP - ZwCP - 5;
}
if (ZwCPEx != 0)
{
NoCPEx = *(LPDWORD)(ZwCPEx+1);
VirtualProtect((LPVOID)ZwCPEx, 5, PAGE_EXECUTE_READWRITE, &odpt);
*(LPBYTE)(ZwCPEx+0x00) = 0xE9;
*(LPDWORD)(ZwCPEx+0x01) = (DWORD)FuckZwCPEx - ZwCPEx - 5;
}
}

void entry()
{
AdjustPrivilege(GetCurrentProcessId(), TRUE);
DWORD Pid;
Pid = FindExplorer();
if (Pid == 0)
{
return ;
}
hProcess = OpenProcess(PROCESS_VM_READ | PROCESS_QUERY_INFORMATION | PROCESS_CREATE_PROCESS, FALSE, Pid);
if (hProcess == NULL)
{
return ;
}
Patch();

OPENFILENAME ofn = { sizeof(ofn) };
char szFilter[] = "EXE Files\0*.EXE\0\0";
char szFileName[MAX_PATH];
char szFilePath[MAX_PATH];

ofn.hwndOwner = NULL;
ofn.lpstrFile = szFileName;
ofn.nFilterIndex = 1;
ofn.lpstrFile[0] = 0;
ofn.nMaxFile = MAX_PATH;
ofn.lpstrTitle = "Loader";
ofn.lpstrFilter = szFilter;
ofn.Flags = OFN_EXPLORER | OFN_FILEMUSTEXIST;
if (!GetOpenFileName(&ofn))
{
return ;
}
strcpy(szFilePath, szFileName);
*(strrchr(szFilePath, '\')+1) = 0; //神奇,贴出来后两个反的变成一个了

STARTUPINFO si = {sizeof(si)};
PROCESS_INFORMATION pi = {0};
CreateProcess(NULL, szFileName, NULL, NULL, FALSE, 0, NULL, szFilePath, &si, &pi);
WaitForSingleObject(pi.hProcess, INFINITE);
ExitProcess(0);
}


........

http://bbs1.pediy.com:8081/attachment.php?attachmentid=3493
2006-12-12 21:12
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
10
嘿嘿 q3大侠贴早了
有失在我心中的形象了

这些3.exe里面差不多也有
但是代码量只占总的1/3
技术含量只占1/10不到
2006-12-12 21:19
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
最初由 shoooo 发布
嘿嘿 q3大侠贴早了
有失在我心中的形象了

这些3.exe里面差不多也有
但是代码量只占总的1/3
........

没看我是3无人员吗,暂时只发掘出了这一种功能,改天再研究.
2006-12-12 21:30
0
雪    币: 250
活跃值: (11)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
哦,又出新东西了
2006-12-12 21:43
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
13
谢谢分享,这回大家都可以收藏了,
2006-12-12 22:01
0
雪    币: 51
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
shoooo的好东西还不少啊!!谁知道他住在那里,去抢劫他的硬盘
2006-12-12 22:15
0
雪    币: 716
活跃值: (162)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
15
最初由 少爷 发布
shoooo的好东西还不少啊!!谁知道他住在那里,去抢劫他的硬盘

呵呵,同意啊
2006-12-12 22:33
0
雪    币: 267
活跃值: (44)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
16
下载收藏,谢谢分享!
2006-12-12 22:34
0
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
收了好东东,当然要感谢啦!!!
2006-12-12 22:56
0
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
18
谢谢.
下载收藏.
2006-12-13 07:15
0
雪    币: 279
活跃值: (145)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
19
最初由 少爷 发布
shoooo的好东西还不少啊!!谁知道他住在那里,去抢劫他的硬盘

人怕出名野猪怕壮!
2006-12-13 08:34
0
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
2用过,很不错的。3是做什么用的啊。谢谢楼

最初由 kanxue 发布
谢谢shoooo,都是好东西,特别是这个,是个潜力股:
2006-12-13 10:52
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
21
好强大的忽悠.....

反汇编一些3.exe
2006-12-13 11:04
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
22
3.exeVM化了,我讨厌VM~~~~~~
2006-12-13 11:28
0
雪    币: 214
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
23
1.exe哪里去了??
2006-12-13 12:00
0
雪    币: 214
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
乱序+花,我相信shoooo还没能力搞vm
2006-12-13 12:04
0
雪    币: 12
活跃值: (1895)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
谢谢.
下载收藏.
2006-12-13 12:15
0
游客
登录 | 注册 方可回帖
返回
//