-
-
[旧帖] [求助][求助]DETECT WinNT 0.00雪花
-
发表于: 2012-3-1 15:52
-
;------ DETECT WinNT ------
MOV EAX, [ESP+020h]
INC EAX
JS NoNT
MOV DWORD PTR [EBP+bNT], 1
0012FFA4 7C930228 ntdll.7C930228
0012FFA8 FFFFFFFF
0012FFAC 0012FFF0
0012FFB0 0012FFC4
0012FFB4 7FFDE000
0012FFB8 7C92E514 ntdll.KiFastSystemCallRet
0012FFBC 0012FFB0
0012FFC0 00000000
0012FFC4 7C817077 返回到 kernel32.7C817077
0012FFC8 7C930228 ntdll.7C930228
[ESP + 020H] 指向 0012FFC4 7C817077 返回到 kernel32.7C817077
为什么这样可以检测系统,是什么原理?
搞不懂,谢谢了
MOV EAX, [ESP+020h]
INC EAX
JS NoNT
MOV DWORD PTR [EBP+bNT], 1
0012FFA4 7C930228 ntdll.7C930228
0012FFA8 FFFFFFFF
0012FFAC 0012FFF0
0012FFB0 0012FFC4
0012FFB4 7FFDE000
0012FFB8 7C92E514 ntdll.KiFastSystemCallRet
0012FFBC 0012FFB0
0012FFC0 00000000
0012FFC4 7C817077 返回到 kernel32.7C817077
0012FFC8 7C930228 ntdll.7C930228
[ESP + 020H] 指向 0012FFC4 7C817077 返回到 kernel32.7C817077
为什么这样可以检测系统,是什么原理?
搞不懂,谢谢了
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
