也写了一个自删除程序, 采用远程线程注入技术27.docVIP

也写了一个自删除程序, 采用远程线程注入技术. 有点新意的就是, 在线程函数里调用 VirtualFree 函数时, 不是用 call 指令, 而是 jmp, 这样, 当 VirtualFree 函数返回后, 就会直接进入到 ExitThread 函数, 因为此前已经将这个函数的地址压入栈了. 我们知道, call 指令其实就是两个操作: ? 1. 将 call 指令返回后的紧接着的下一条指令的地址压栈, ? 2. 跳转到 call 指令代表的函数的首地址. 函数执行完毕后, ? 1. ret 指令就将从栈上读取返回地址, ? 2. 跳转到那个地址继续执行, 我们其实是在这里人为的将其执行流程给改了. 我们这么做的意图很负责任: 释放这块指令所处的内存, 避免内存泄漏, 因为注入代码的进程已经退出, 没有机会清理这块内存, 咱们就自力更生了. 这么干也很安全, 因为 ExitThread 不会返回了, EIP 就不会跑飞了(也就是说, 换成别的函数会造成目标进程崩溃的, 特此说明.). 线程函数的最后的平衡堆栈的指令和返回指令是没有意义的, 放这里是为了让反汇编器不会少见多怪.? 接下来废话少说, 贴代码: #include?windows.h#include?tchar.h#include?TLHELP32.H#include?stddef.hvoid?EnablePrivilege(void){????HANDLE???????????hToken;????TOKEN_PRIVILEGES?tp?=?{?0?};????HANDLE?hProcess?=?GetCurrentProcess();????if?(!OpenProcessToken(hProcess,?TOKEN_ADJUST_PRIVILEGES?|?TOKEN_QUERY,??????????????????????????hToken))????????return;????if?(!LookupPrivilegeValue(NULL,?SE_DEBUG_NAME,?tp.Privileges[0].Luid))????{????????CloseHandle(hToken);????????return;????}????tp.PrivilegeCount?=?1;????tp.Privileges[0].Attributes?=?SE_PRIVILEGE_ENABLED;????AdjustTokenPrivileges(hToken,?FALSE,?tp,?sizeof(TOKEN_PRIVILEGES),??????????????????????????NULL,?NULL);????CloseHandle(hToken);}DWORD?FindTarget(LPCTSTR?lpszProcess){????DWORD??dwRet?????=?0;????PROCESSENTRY32?pe32?=?{?sizeof(?PROCESSENTRY32?)?};????HANDLE?hSnapshot?=?NULL;????hSnapshot?=?CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,?0);????Process32First(hSnapshot,?pe32);????do????{????????if?(0?==?lstrcmpi(pe32.szExeFile,?lpszProcess))????????{????????????dwRet?=?pe32.th32ProcessID;????????????break;????????}????}?while?(Process32Next(hSnapshot,?pe32));????CloseHandle(hSnapshot);????return?dwRet;}static?DWORD?WINAPI?DelProc(LPVOID?lpParam){????Sleep(50);????DeleteFileA((LPCSTR)lpParam);????VirtualFree((PVOID)0?0,?MEM_RELEASE);????ExitThread(0);????return?0;}//==============================================================================PUCHAR?FindDWo