[求助]API整不明白-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]API整不明白

发表于: 2012-5-10 18:01 6790

[求助]API整不明白

pc小波

2012-5-10 18:01

6790

我有点整不明白，我看到好多病毒在一开始都会调用这么几个API，不知道它到底是干啥的？

0040102C    FF15 0C214000   CALL DWORD PTR DS:[40210C]               ; user32.GetInputState
 00401032    6A 00           PUSH 0
 00401034    6A 00           PUSH 0
 00401036    6A 00           PUSH 0
 00401038    FF15 4C204000   CALL DWORD PTR DS:[40204C]               ; kernel32.GetCurrentThreadId
 0040103E    50              PUSH EAX
 0040103F    FF15 10214000   CALL DWORD PTR DS:[402110]               ; user32.PostThreadMessageA
 00401045    6A 00           PUSH 0
 00401047    6A 00           PUSH 0
 00401049    6A 00           PUSH 0
 0040104B    8D45 C4         LEA EAX,DWORD PTR SS:[EBP-3C]
 0040104E    50              PUSH EAX
 0040104F    FF15 14214000   CALL DWORD PTR DS:[402114]               ; user32.GetMessageA

后来google了一下，发现CSDN上有人这么解释：

GetInputState();                                   //判断当前线程中是否有处理鼠标键盘的消息，返回值非零表示检测到输入
PostThreadMessage(GetCurrentThreadId(),NULL,0,0);  //将消息传入当前线程
GetMessage(&msg, NULL, NULL, NULL);                //获取消息成功后，将删除该消息

我不明白的是获取这消息干嘛啊，看病毒样本后面好像没有下文了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费

支持

最新回复 (8)
ffff七四雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 200 粉丝 0 关注私信	ffff七四 2 楼楼主，把编程玩熟练后在玩分析吧。 2012-5-10 18:08 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 3 楼难道是有时刚运行鼠标变漏斗？病毒想这样就尽快把漏斗去掉？ 2012-5-10 18:09 0
金罡雪币： 3313 活跃值： (2068) 能力值： ( LV10，RANK：170 ) 在线值：发帖 15 回帖 373 粉丝 215 关注私信	金罡 3 4 楼去掉程序启动时的漏斗光标. 2012-5-10 18:14 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 5 楼多谢啊。好像在哪里见过这个解释。 2012-5-10 18:24 0
eGirlAsm 雪币： 142 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 119 粉丝 7 关注私信	eGirlAsm 6 楼我倒是觉得这些API 是编译器自动生成的。像高级语言,调用一个编译器自带的函数,反汇编扩展来看就是这些东东。 2012-5-10 22:12 0
金罡雪币： 3313 活跃值： (2068) 能力值： ( LV10，RANK：170 ) 在线值：发帖 15 回帖 373 粉丝 215 关注私信	金罡 3 7 楼就是我以前给你解释过. 2012-5-10 22:13 0
浩海雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	浩海 8 楼都是Windows API 2012-7-3 10:31 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 9 楼为什么能去掉光标？ 2012-7-3 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pc小波

发帖

468

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
ffff七四雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 200 粉丝 0 关注私信	ffff七四 2 楼楼主，把编程玩熟练后在玩分析吧。 2012-5-10 18:08 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 3 楼难道是有时刚运行鼠标变漏斗？病毒想这样就尽快把漏斗去掉？ 2012-5-10 18:09 0
金罡雪币： 3313 活跃值： (2068) 能力值： ( LV10，RANK：170 ) 在线值：发帖 15 回帖 373 粉丝 215 关注私信	金罡 3 4 楼去掉程序启动时的漏斗光标. 2012-5-10 18:14 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 5 楼多谢啊。好像在哪里见过这个解释。 2012-5-10 18:24 0
eGirlAsm 雪币： 142 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 119 粉丝 7 关注私信	eGirlAsm 6 楼我倒是觉得这些API 是编译器自动生成的。像高级语言,调用一个编译器自带的函数,反汇编扩展来看就是这些东东。 2012-5-10 22:12 0
金罡雪币： 3313 活跃值： (2068) 能力值： ( LV10，RANK：170 ) 在线值：发帖 15 回帖 373 粉丝 215 关注私信	金罡 3 7 楼就是我以前给你解释过. 2012-5-10 22:13 0
浩海雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	浩海 8 楼都是Windows API 2012-7-3 10:31 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 9 楼为什么能去掉光标？ 2012-7-3 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]API整不明白

账号登录 验证码登录

账号登录

验证码登录