-
-
第三章shellcode搜索API函数
-
2012-12-8 20:37
5678
-
第三章第93页的汇编代码
push 0x1e380a6a ;hash of MessageBoxA
push 0x4fd18963 ;hash of ExitProcess
push 0x0c917432 ;hash of LoadLibraryA
mov esi,esp ; esi = addr of first function hash
lea edi,[esi-0xc] ; edi = addr to start writing function ①
........
lodsd
cmp eax, 0x1e380a6a
; LoadLibrary("user32")
jne find_functions
xchg eax, ebp
call [edi - 0x8] ; LoadLibraryA ②
xchg eax, ebp ; restore current
①处的地址是怎么得到的,指代什么?
②处,怎么判断出loadlibraryA的入口在[edi-0x8]?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课