hideprocess9x.asm

windows环境下32位汇编语言程序设计,pdf 第二版本,完整版本和随书源代码。

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Sample code for < Win32ASM Programming >
; by 罗云彬, http://asm.yeah.net
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; HideProcess9x.asm
; 在 Windows 9x 操作系统中将进程注册为系统进程，以实现隐藏功能
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 使用 nmake 或下列命令进行编译和链接:
; ml /c /coff HideProcess9x.asm
; Link /subsystem:windows HideProcess9x.obj
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		.386
		.model flat,stdcall
		option casemap:none
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Include 文件定义
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include		windows.inc
include		user32.inc
includelib	user32.lib
include		kernel32.inc
includelib	kernel32.lib
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 数据段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		.const
szFunction	db	'RegisterServiceProcess',0
szDllKernel	db	'Kernel32.dll',0
szText		db	'现在请按下Ctrl＋Alt＋Del调出任务管理器查看是否存在本进程',0
szCaption	db	'在Windows 9x中隐藏进程',0
szErr		db	'本功能只在Windows 9x中提供',0
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 代码段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		.code
start:
		invoke	GetModuleHandle,offset szDllKernel
		.if	eax
			invoke	GetProcAddress,eax,offset szFunction
			.if	eax
				mov	ebx,eax
				push	TRUE
				invoke	GetCurrentProcessId
				push	eax
				call	ebx
				invoke	MessageBox,NULL,offset szText,offset szCaption,MB_OK
				jmp	@F
			.endif
		.endif
		invoke	MessageBox,NULL,offset szErr,NULL,MB_OK or MB_ICONWARNING
		@@:
		invoke	ExitProcess,NULL
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		end	start