|
|
|
继续挣扎 2014年苦支撑的10大科技企业
后面三个也是苦撑?恐怕说不通 |
|
[翻译]使用OllyDbg从零开始Cracking 第四章-汇编指令
功在千秋,赞一个。楼主提醒了大家。感谢。。。 |
|
|
|
[分享]发个利用EnumJobs监控打印机的源码
好,支持一个。 |
|
|
|
[分享]中秋好礼相送,电子杂志《软件安全》01期
好东西,学习 |
|
[求助]此段代码是花指令还是其他?期待高手帮助
入口代码如下: public start INIT:000184DE start proc far INIT:000184DE INIT:000184DE var_4C = dword ptr -4Ch INIT:000184DE var_30 = dword ptr -30h INIT:000184DE SymbolicLinkName= UNICODE_STRING ptr -1Ch INIT:000184DE DestinationString= UNICODE_STRING ptr -0Ch INIT:000184DE DeviceObject = dword ptr -4 INIT:000184DE INIT:000184DE push ebp INIT:000184DF mov ebp, esp INIT:000184E1 sub esp, 30h INIT:000184E4 push ebx INIT:000184E5 push esi INIT:000184E6 push edi INIT:000184E7 push offset SourceString ; "\\Device\\hackc" INIT:000184EC lea eax, [ebp+DestinationString] INIT:000184EF push eax ; DestinationString INIT:000184F0 call ds:RtlInitUnicodeString INIT:000184F6 push offset aDosdevicesDump ; "\\DosDevices\\hackc" INIT:000184FB lea ecx, [ebp+SymbolicLinkName] INIT:000184FE push ecx ; DestinationString INIT:000184FF call ds:RtlInitUnicodeString INIT:00018505 lea edx, [ebp+DeviceObject] INIT:00018508 push edx ; DeviceObject INIT:00018509 push 0 ; Exclusive INIT:0001850B push 100h ; DeviceCharacteristics INIT:00018510 push 8402h ; DeviceType INIT:00018515 lea eax, [ebp+DestinationString] INIT:00018518 push eax ; DeviceName INIT:00018519 push 444h ; DeviceExtensionSize INIT:0001851E mov ecx, [ebp+8] INIT:00018521 push ecx ; DriverObject INIT:00018522 call ds:IoCreateDevice INIT:00018528 mov [ebp+var_30], eax INIT:0001852B cmp [ebp+var_30], 0 INIT:0001852F jl short loc_1857A INIT:00018531 lea edx, [ebp+DestinationString] INIT:00018534 push edx ; DeviceName INIT:00018535 lea eax, [ebp+SymbolicLinkName] INIT:00018538 push eax ; SymbolicLinkName INIT:00018539 call ds:IoCreateSymbolicLink INIT:0001853F mov [ebp+var_30], eax INIT:00018542 mov ecx, [ebp+8] INIT:00018545 mov dword ptr [ecx+70h], offset sub_15340 INIT:0001854C mov edx, [ebp+8] INIT:0001854F mov eax, [ebp+8] INIT:00018552 mov ecx, [eax+70h] INIT:00018555 mov [edx+40h], ecx INIT:00018558 mov edx, [ebp+8] INIT:0001855B mov eax, [ebp+8] INIT:0001855E mov ecx, [eax+40h] INIT:00018561 mov [edx+38h], ecx INIT:00018564 mov edx, [ebp+8] INIT:00018567 mov eax, [ebp+8] INIT:0001856A mov ecx, [eax+38h] INIT:0001856D mov [edx+78h], ecx INIT:00018570 mov edx, [ebp+8] INIT:00018573 mov dword ptr [edx+34h], offset sub_15430 INIT:0001857A INIT:0001857A loc_1857A: ; CODE XREF: start+51j INIT:0001857A cmp [ebp+var_30], 0 INIT:0001857E jge short loc_185A2 INIT:00018580 cmp [ebp+DeviceObject], 0 INIT:00018584 INIT:00018584 loc_18584: ; CODE XREF: start+100j INIT:00018584 jz short loc_18590 INIT:00018586 mov eax, [ebp+DeviceObject] INIT:00018589 push eax ; DeviceObject INIT:0001858A call ds:IoDeleteDevice INIT:00018590 INIT:00018590 loc_18590: ; CODE XREF: start:loc_18584j INIT:00018590 lea ecx, [ebp+SymbolicLinkName] INIT:00018593 push ecx ; SymbolicLinkName INIT:00018594 call ds:IoDeleteSymbolicLink INIT:0001859A mov eax, [ebp+var_30] INIT:0001859D jmp loc_188D9 INIT:000185A2 ; --------------------------------------------------------------------------- INIT:000185A2 INIT:000185A2 loc_185A2: ; CODE XREF: start+A0j INIT:000185A2 push 2000h ; NumberOfBytes INIT:000185A7 call ds:MmAllocateNonCachedMemory INIT:000185AD mov dword_168C0, eax INIT:000185B2 cmp dword_168C0, 0 INIT:000185B9 jnz short loc_185C5 INIT:000185BB mov eax, 0C000009Ah INIT:000185C0 jmp loc_188D9 INIT:000185C5 ; --------------------------------------------------------------------------- INIT:000185C5 INIT:000185C5 loc_185C5: ; CODE XREF: start+DBj INIT:000185C5 jmp near ptr 3A6E8h INIT:000185C5 ; --------------------------------------------------------------------------- INIT:000185CA db 3Bh INIT:000185CB db 0FFh ; OFF32 SEGDEF [0,B009D5FF] INIT:000185CC db 0D5h INIT:000185CD db 9 INIT:000185CE db 0B0h INIT:000185CF db 0E9h ; ? INIT:000185D0 db 3Ch INIT:000185D1 db 0AAh ; ? 请看INIT:000185B9 jnz short loc_185C5 和 jmp near ptr 3A6E8h。 有没有好的办法把某个驱动运行时dump下来?该sys防调试的。 |
|
[求助]此段代码是花指令还是其他?期待高手帮助
版主请问一下,加壳是对整个文件还是可以对部分呢?我这个是个sys,从ida分析来看,入口driverentry分析的都没错,如创建设备IoCreateDevice,建立符号连接IoCreateSymbolicLink,然后就到了上面的代码了。 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值