ProcessClose("calc.exe")

2Semiono

Ну вводишь машинные команды, преобразуешь их в шестнадцатиричное представление, пишешь в буффер и исполняешь, предворительно поставив атрибут исполнения на страницу (VirtualProtect). Если хочешь мнемоники - то придется писать простенький ассемблер, а дальше также. И хватит уже говнокод строчить, лучше прочти для начала Рихтера, судя по теме - не помешает ))

 

Сижу бсоды ловлю! =)
Пару раз перегрузило, в код заглянул

)))

 

Что-то совсем глухо в PE64

Код (Text):

1. include '%fasm%/win64ax.inc'
2. section '.code' executable
3. start:
4.         sub rsp,8*5
5.  
6.         stdcall findProcessID,procName
7.         invoke OpenProcess,PROCESS_TERMINATE,FALSE,rax
8.         push rax
9.         invoke TerminateProcess,rax,1
10.         invoke CloseHandle
11. exit:
12.         invoke ExitProcess,NULL
13.  
14. findProcessID:
15.         push rbp
16.         invoke CreateToolhelp32Snapshot,2,0
17.         mov rbp,rax
18.         mov qword [procEntry.dwSize],sizeof.PROCESSENTRY32
19.         invoke Process32First,rax,procEntry
20. @@:
21.         invoke Process32Next,rbp,procEntry
22.         test rax,rax
23.         jz @f
24.         invoke lstrcmpi,procEntry.szExeFile,qword [rsp+8*2]
25.         test rax,rax
26.         jnz @r
27.         mov rax,qword[procEntry.th32ProcessID]
28. @@:
29.         pop rbp
30. retn 8
31.  
32. section '.data' readable
33.  
34.         procName db 'blackbox.exe',NULL
35.  
36. section '.data' readable writeable
37.  
38. struct PROCESSENTRY32
39.        dwSize                      dq ?
40.        cntUsage                    dq ?
41.        th32ProcessID               dq ?
42.        th32DefaultHeapID           dq ?
43.        th32ModuleID                dq ?
44.        cntThreads                  dq ?
45.        th32ParentProcessID         dq ?
46.        pcPriClassBase              dq ?
47.        dwFlags                     dq ?
48.        szExeFile                   db MAX_PATH dup (?)
49. ends
50.  
51. procEntry PROCESSENTRY32
52.  
53. section '.idata' import readable
54.  
55.         library advapi32,'ADVAPI32.DLL',kernel32,'KERNEL32.DLL'
56.         include '%fasm%\api\advapi32.inc'
57.         include '%fasm%\api\kernel32.inc'
58.  
59. section '.rsrc' resource readable
60.  
61.         directory RT_MANIFEST,_manifest
62.         resource _manifest,1,LANG_NEUTRAL,manifest
63.         resdata manifest
64.         file '%fasm%\manifest64.xml'   ;-)
65.         endres

Модифицировал всё что можно, молчит. В x86 работало нормально.
Может быть CreateToolhelp32Snapshot вообще не пашет под данной архитектурой?

Ладно, хотя бы скажите мне как тут работает findProcessID?
Как ему передаётся procName? Я не очень люблю процедурный стиль программы,
но переписать этот код ума не хватило. )
?

 

http://www.wasm.ru/article.php?article=1021003
http://www.wasm.ru/article.php?article=ollydbg21
http://www.rsdn.ru/article/qna/baseserv/enumproc.xml

 

Благодарю!
Кстати, с win64ax.inc тоже попёрло!

 

Semiono

У меня складывается такое мнение что Вы шкодите методом тЫка ?)))

 

)))