首页
社区
课程
招聘
这段代码是什么意思啊
发表于: 2013-4-8 17:18 3914

这段代码是什么意思啊

2013-4-8 17:18
3914
用OD载入YY后,OD自己断下来的,这代码I/O 命令是什么意思呢。。起初我以为是代码被破坏,可实际上就是原版代码。

yysidprompt.dll  代码基址 07891000

07893163                              $  6A 0C         push 0C
07893165                              .  68 309C8B07   push yysidpro.078B9C30
0789316A                              .  E8 711C0000   call yysidpro.07894DE0
0789316F                              .  C645 E7 00    mov byte ptr ss:[ebp-19],0
07893173                              .  8365 FC 00    and dword ptr ss:[ebp-4],0
07893177                              .  60            pushad
07893178                              .  B8 68584D56   mov eax,564D5868
0789317D                              .  BB 00000000   mov ebx,0
07893182                              .  B9 0A000000   mov ecx,0A
07893187                              .  BA 58560000   mov edx,5658
0789318C                              .  ED            in eax,dx                                ;  I/O 命令
0789318D                              .  81FB 68584D56 cmp ebx,564D5868
07893193                              .  0F9445 E7     sete byte ptr ss:[ebp-19]
07893197                              .  61            popad
07893198                              .  EB 0B         jmp short yysidpro.078931A5
0789319A                              .  33C0          xor eax,eax
0789319C                              .  40            inc eax
0789319D                              .  C3            retn
0789319E                              .  8B65 E8       mov esp,dword ptr ss:[ebp-18]
078931A1                              .  C645 E7 00    mov byte ptr ss:[ebp-19],0
078931A5                              >  C745 FC FEFFF>mov dword ptr ss:[ebp-4],-2
078931AC                              .  8A45 E7       mov al,byte ptr ss:[ebp-19]
078931AF                              .  E8 711C0000   call yysidpro.07894E25
078931B4                              .  C3            retn

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
VMware的后门检测啊
2013-4-8 17:55
0
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
#include <Windows.h>
#include <stdio.h>

BOOL isVmx()
{
	bool bResult=false;
	__try 
	{ 
		__asm
		{
		mov eax, 564D5868h 
			mov ebx, 00000000h 
			mov ecx, 0000000Ah 
			mov edx, 00005658h 
			in eax, dx 
			cmp ebx,564D5868h
			sete bResult
		}
	} 
	__except(EXCEPTION_EXECUTE_HANDLER)
	{
		OutputDebugStringW(L"no");
	}



Finally:
	return bResult;
}

void main()
{
	if (isVmx())
	{
		printf("find vmx");
	}
	else
	{
		printf("no find vmx");
	}
	getchar();
}


2013-4-8 18:13
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
遇到高人还给翻译了代码。。。只是为什么做这个检测呢。
2013-4-11 14:34
0
游客
登录 | 注册 方可回帖
返回
//