扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:老狼 来源:CSDN 2008年3月14日
关键字: OpenProcess anti java
代码:
searchproc proc LOCAL hSnapshot LOCAL hProcess invoke CreateToolhelp32Snapshot, 2, 0 mov hSnapshot, eax mov uProcess.dwSize, sizeof uProcess invoke Process32First, hSnapshot, ADDR uProcess mov hProcess, eax push esi xor esi,esi .while hProcess!=0 ;-------------- call @F szcsr db 'csrss.exe',0 @@: lea edi,uProcess.szExeFile push edi call lstrcmp jnz @F invoke OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID cmp eax,0 jz @F invoke MessageBox,NULL,addr szcsr,addr szOK,MB_OK @@: ;----------------- call @F szsmss db 'smss.exe',0 @@: lea edi,uProcess.szExeFile push edi call lstrcmp jnz @F invoke OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID cmp eax,0 jz @F invoke MessageBox,NULL,addr szsmss,addr szOK,MB_OK @@: ;--------------------- call @F szlsa db 'lsass.exe',0 @@: lea edi,uProcess.szExeFile push edi call lstrcmp jnz @F invoke OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID cmp eax,0 jz @F invoke MessageBox,NULL,addr szlsa,addr szOK,MB_OK @@: ;--------------- call @F szsvc db 'svchost.exe',0 @@: lea edi,uProcess.szExeFile push edi call lstrcmp jnz @F invoke OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID cmp eax,0 jz @F invoke MessageBox,NULL,addr szsvc,addr szOK,MB_OK @@: ;--------------- ;--------------- call @F szwlg db 'winlogon.exe',0 @@: lea edi,uProcess.szExeFile push edi call lstrcmp jnz @F invoke OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID cmp eax,0 jz @F invoke MessageBox,NULL,addr szwlg,addr szOK,MB_OK @@: ;--------------- ;invoke TerminateProcess,eax,0 skip: invoke Process32Next, hSnapshot, ADDR uProcess mov hProcess, eax .endw pop esi invoke CloseHandle, hSnapshot ret
有时用Olldybg第一次调试会没事,再次用ollydbg调试时就会中招!!
一个测试的debugme,是以前写的,用了CsrGetProcessId,只能在XP下运行,不过上面的代码是可以在2k以上的系统使用的。。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号