環境:xp
內容:粗糙
const hidden_window = 0
strcomputer = "."
set objwmiservice = getobject("winmgmts:" _
& "!\\" & strcomputer & "\root\cimv2")
set objstartup = objwmiservice.get("win32_processstartup")
set objconfig = objstartup.spawninstance_
objconfig.showwindow = 1
set objprocess = getobject("winmgmts:root\cimv2:win32_process")
errreturn = objprocess.create("notepad.exe", null, objconfig, intprocessid)
雙擊的時候,
explorer.exe建立wscript.exe
之後svchost.exe建立wmiprvse.exe
觸發svchost.exe建立wmiprvse.exe的原因應該是wscript.exe使用lpc通訊
kd> !handle 0000020c
process 81a1cda8 sessionid: 0 cid: 0374 peb: 7ffdf000 parentcid: 02a0
dirbase: 08b2a000 objecttable: e14ca128 handlecount: 253.
image: svchost.exe
handle table at e17b8000 with 253 entries in use
上面的棧,可以看出svchost.exe在等待rpc請求,如果有合理的請求,如啟動wmiprvse.exe 就會觸發,但是這個觸發好像很難模仿,中間好像看到有通訊協議的玩意
wmiprvse.exe最後建立目標程序
而觸發 wmiprvse.exe建立notepad.exe的過程還沒找到是誰觸發這個rpc通訊的,堆疊如下
kd> !process -1 0
process 81ba6da8 sessionid: 0 cid: 049c peb: 7ffdf000 parentcid: 0374
dirbase: 197a3000 objecttable: e12f0218 handlecount: 135.
image: wmiprvse.exe
process 81873560 sessionid: 0 cid: 07c4 peb: 7ffdf000 parentcid: 0374
dirbase: 1c6a9000 objecttable: e125de40 handlecount: 133.
image: wmiprvse.exe
handle table at e1dce000 with 133 entries in use
05b0: object: e1cb9038 grantedaccess: 001f0001 entry: e1dceb60
object: e1cb9038 type: (81fa0048) port
objectheader: e1cb9020 (old version)
handlecount: 1 pointercount: 10
directory object: e15924b0 name: ole11
最後發現是wmiprvse.exe在等待這個lpc資料,如果合適的話,就會啟動notepad.exe
wmiprvse.exe啟動一次後,會一直存在,不會退出,如果退出的話,啟動指令碼,svchost.exe就會又啟動wmiprvse.exe
所以想到模仿的話,可以發lpc資料給wmiprvse.exe,但好像沒必要,直接這樣寫指令碼就行了
程序建立的過程
1.什麼是程序?程序提供程式所需的資源,如 資料 等等 空間上的概念 程序由一大堆pe格式檔案組成。3.程序的建立 1 任何程序都是別的程序建立的 createprocess 2 程序的建立過程 對映exe檔案 建立核心物件eprocess 對映系統dll ntdll.dll 建立執行緒核心物件et...
vbs 殺死程序 殺死指定程序名稱的小VBS
以下是一小段殺死指定程序名字的小vbs,希望對大家有幫助。function killproc strprocname on error resume next set objwmiservice getobject winmgmts root cimv2 set arrprocesses objwm...
vbs 殺死程序 殺死指定程序名稱的小VBS
vbs 的 殺死指定程序名稱的小vbs 以下是一小段殺死指定程序名字的小vbs,希望對大家有幫助。function killproc strprocname on error resume next set objwmiservice getobject winmgmts root cimv2 se...