Не могу дописать win32 infector _help_

нуно чтобы с _первого_ раза запускалось вот.

 

об _ентом_ и речь вот. У тебя все траблы именно с путаницей в том, что ты в зараженном файле восстанавливаешь в ep. Можешь просто вынести восстановление в начало, между сбором апей и заражением, тогда будет работать.

 

Как сделать так чтобы процесс запускаемый запускался _еще_один_ раз...
password

 

GetModuleFileName -> CreateMutex -> CreateProcess

 

mutex db "mutex",0

push mutex
push -1
push 0
call [CreateMutexA]
wtf?

--- Сообщение объединено, 16 янв 2020 ---

не работает... в цикл входит а мне нужно чтобы _еще_один_ раз запускалось (

 

Код (C):

1. HANDLE CreateMutexA(
2.   LPSECURITY_ATTRIBUTES lpMutexAttributes,
3.   BOOL                  bInitialOwner,
4.   LPCSTR                lpName
5. );
6. bInitialOwner
7. If this value is TRUE and the caller created the mutex, the calling thread obtains initial ownership of the mutex object. Otherwise, the calling thread does not obtain ownership of the mutex. To determine if the caller created the mutex, see the Return Values section.

Там не VB'шный буль если что, 0x00000000/0x00000001. И мутех затем и нужен, чтоб его имя было уникальным для уникального файла.

 

И что у меня не так?

 

У тебя CreateMutexA(0,0xFFFFFFFF,pszMutexName), второй аргумент инвалид.

 

0 и 1 тоже не работают )

 

Код (ASM):

1. PUSH 0
2. PUSH 78657475
3. PUSH 6D796E61
4. PUSH ESP                                 ; /Name => OFFSET LOCAL.2
5. PUSH 0                                   ; |InitialOwner = FALSE
6. PUSH 0                                   ; |pSecurity = NULL
7. CALL DWORD PTR DS:[<&kernel32.CreateMute ; \KERNEL32.CreateMutexA
8. ADD ESP,0C

А у меня работают

 

не работает

 

как сделать чтобы мьютекс работал?

--- Сообщение объединено, 18 янв 2020 ---

таки работает

 

Я б на твоем месте сначала на кошках потренировался, прежде чем этим заниматься. Поезд файл-вирусов давно ушел, виляя задом, ты на него все равно уже не опоздаешь. А представление о том, какие апи и зачем нужны, еще может пригодиться.

 

как сделать чтобы запускалось _один_ раз а не в цикл входить "1" ?

 

Передумал, по ходу...

 

asm0day01,

Код (Text):

1. szFile dd ?
2.  
3. entry $
4.  
5. start:

- переменная размером 32 бита определена перед EP.

Код (Text):

1. push 256
2. push szFile
3. push 0
4. call [GetModuleFileNameA]

Из за того что твой стиль написания полное дерьмо и не читаем ты допустил грубейшую ошибку. Указав вместо содержимой переменной её смещение, не явно(не задав это в инструкции). Поэтому со смещения szFile и далее код затирается, так как используется как буфер для апи. В зависимости от настроек системы и опций сборки это либо перепишет код, либо нарушит защиту и процесс отвалится(что так и будет, так по дефолту защита записи в исполняемый сегмент(NX) включена).

--- Сообщение объединено, 23 янв 2020 ---

asm0day01,

> push szFile

НИКОГДА не надейся на компилер, ВСЕГДА указывай смещение или разыменование явно(offset или [VAR]). Иначе так и будешь ошибаться.

 

В фасме нет директивы offset. Имя метки в нем всегда одинаково обрабатывается.

 

f13nd,

Вот именно поэтому наверно на нём ничего норм не пишут. Кроме автоматики конечно, типо pb. Не явное описание переменной это уязвимость.

 

Напротив, это бесполезный рудимент. 'szName' всегда оффсет, '[szName]' всегда адресация, явней некуда.

 

f13nd,

В масме иначе, нужно задать смещение. А в общем ему нужно было разместить данные в разных секциях, есчо прочитать немного про то, что вызывает(апи). szFile обнулённый указатель, не важно как и какой компилер это обработает. Если разыменование, то всё равно будет #AV.