怎么查询老公微信聊天记录(不被发现)

访客4年前关于黑客接单577

程序的自删除早已经不是什么新鲜的话题了,对于各位大虾来说是更是比较容易的事情,但想想自己刚学时遇到的种种错误,我觉得有必要把自己所知道的各种 *** 总结一下,希望对新手的学习能够有所帮助。  
程序的自删除广泛用于反安装程序最后的自删除(环保呀!),当然更多见于木马、病毒首次安装的自动销毁^*^,至于用于何种用途就看你自己啦!  
经典自删除  
说到程序的自删除就不能不说由 Gary Nebbett 等大虾所写的代码,经典之作呀!代码采用C语言内嵌汇编a *** :  
在Win9x下只要先对exe本身句柄执行FreeLibrary操作即可解除exe IMAGE在内存的映射,随后就可以通过调用DeleteFile来删除自身文件。  
Win9x下的代码如下[selfkill-9x.c]:  
#include "windows.h"  
int main(int argc, char *argv[])  
{  
  char   buf[MAX_PATH];  
  HMODULE module;  
  module = GetModuleHandle(0);  
  GetModuleFileName(module, buf, MAX_PATH);  
  __a ***    
  {  
    lea   eax, buf  
    push   0  
    push   0  
    push   eax  
    push   ExitProcess  
    push   module  
    push   DeleteFile  
    push   FreeLibrary  
    ret  
  }  
  return 0;  
}  

在WinNT/2K下则需要先调用CloseHandle关闭exe文件本身对应的IMAGE的句柄HANDLE[硬编码为4],然后调用UnmapViewOfFile解除了另外一个对应IMAGE的HANDLE,并且解除了程序本身在内存的映射对象,最后就可以用DeleteFile删除自身啦!(注意:本 *** 不适用于WinXP!)  

WinNT/2K下的代码如下[selfkill-nt.c]:  
#include "windows.h"  
int main(int argc, char *argv[])  
{  
  char   buf[MAX_PATH];  
HMODULE module;  
  module = GetModuleHandle(0);  
  GetModuleFileName(module, buf, MAX_PATH);  
CloseHandle((HANDLE)4);  
  __a ***    
  {  
    lea   eax, buf  
    push   0  
    push   0  
    push   eax  
    push   ExitProcess  
    push   module  
    push   DeleteFile  
    push   UnmapViewOfFile  
    ret  
}  
  return 0;  
}   


把上面用于Win9x及WinNT/2K下的代码综合起来,即把两种平台用到的API代码全部执行一遍,虽然在一种平台上可能会有几个API运行失败,有几个API会运行成功,但最后的结果exe程序文件在退出前就删除了自身!  

Win9x和WinNT/2K下的代码如下[selfkill-9x+nt.c]:  
#include "windows.h"  
int main(int argc, char *argv[])  
{  
  char   buf[MAX_PATH];  
  HMODULE module;  
  module = GetModuleHandle(0);  
  GetModuleFileName(module, buf, MAX_PATH);  
  CloseHandle((HANDLE)4);  

  __a ***    
  {  
    lea   eax, buf  
    push   0  
    push   0  
    push   eax  
    push   ExitProcess  
    push   module  
    push   DeleteFile  
    push   module  
    push   UnmapViewOfFile  
    push   FreeLibrary  
    ret  
  }  
  return 0;  
}  

  因为我自己在学习Win32下的汇编[MA *** 32],所以重新用汇编写了一遍,但结果却发现每次都执行失败,显示如图一的错误,  

    =========== 在此插入图一 ==============  

通过反汇编比较发现原来由于MA *** 32编译器对API调用的编码和C编译器的不同,导致使用FreeLibrary或UnmapViewOfFile解除程序在内存的映射后,调用DeleteFile时又引用IMAGE映射地址内的代码[JMP DeleteFile],导致读内存执行错误。  
错误分析  
普通程序进行API调用时,编译器会将一个API调用语句编译为几个参数压栈指令后跟一条间接调用语句(这是指Microsoft编译器,Borland编译器使用JMP DWORD PTR [XXXXXXXXh])形式如下:  

相关文章

珠穆朗玛峰高多少米(珠峰高度是8844米)

珠穆朗玛峰(简称珠峰)是世界海拔最高的山峰,高度如今被定义为8844.43米,这是2005年时我国国家测绘局测量的珠峰岩面高度(裸高即地质高度),也就是它的石质岩石面的最高处。珠穆朗玛峰位于中国与尼泊...

毛豆怎么煮不变色(带壳的毛豆怎么煮的又绿又

毛豆怎么煮不变色(带壳的毛豆怎么煮的又绿又

毛豆大家都很熟悉吧!是这个季节最好吃的食物。毛豆的成熟季一般是在夏季。这时候的毛豆最好吃最鲜嫩。记得小时候每逢到这个时候老爸都会买一些毛豆煮着吃。毛豆好吃营养高,每100克毛豆中就含有蛋白质13克,维...

美国平均每33人就有1人确诊新冠-美国疫情真实数

美国大选已经落下帷幕,而美国疫情却还在越演越烈,根据美国媒体报道,美国平均每33人就有1人确诊新冠,美国新增100万确诊仅用10天,除此之外美国疗养院病例激增,从这些方面可以看出美国疫情十分严峻,那么...

iphone解锁id,侠盗手罪恶都市找黑客堂,黑客可以找手机吗

逃避安全研讨人员的检测:这种不断进化和晋级的注入脚本会想尽办法来检测出研讨人员针对歹意软件所规划的沙盒。 这些歹意脚本会在沙盒或许模仿环境中躲藏它们的歹意行为。 0x0201 不得已的操控逻辑追寻Re...

取名数据互联网(NDN)中的数据安全风险

取名数据互联网(NDN)中的数据安全风险

什么叫取名数据互联网 (Named Data Network,NDN)? 为了更好地融入发展趋势迅速的互联网技术数据,引起了对将来互联网的科学研究风潮,国际性上关键产生了“演变式”与“改革创新式”二...

黑客初级入门看什么书(黑客技术入门电子书)-淘宝上怎么找黑客服务

黑客初级入门看什么书(黑客技术入门电子书)-淘宝上怎么找黑客服务

黑客初级入门看什么书(黑客技术入门电子书)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、...