Работа с Image File Execution Options на Ассемблере
17.07.2019 | Категория: Образ мышления: Assembler | Автор: ManHunter
Не так давно я выкладывал статью про использование Image File Execution Options, где обещал провести эксперименты на Ассемблере. Всю теорию про IFEO вы можете прочитать по приведенной ссылке, дублировать я ее тут не буду.Начнем с установки перехватчика. Тут все просто, создаем ключ в реестре, затем в нем создаем параметр "Debugger" с указанием пути к нашему файлу.
Code (Assembler) : Убрать нумерацию
- ; Ключ реестра
- victim_key db 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\'
- db 'Image File Execution Options\victim.exe',0
- ; Путь к нашему отладчику
- debug_key db 'Debugger',0
- ...
- ...
- invoke RegCreateKeyEx,HKEY_LOCAL_MACHINE,victim_key,0,0,\
- REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS,0,phkResult,lpdwDisp
- ; Путь к отладчику
- invoke lstrlen,evil
- invoke RegSetValueEx,[phkResult],debug_key,0,REG_SZ,evil,eax
- invoke RegCloseKey,[phkResult]
Code (Assembler) : Убрать нумерацию
- invoke SHDeleteKey,HKEY_LOCAL_MACHINE,victim_key
Читать статью целиком »
Просмотров: 1631 | Комментариев: 0