首页
社区
课程
招聘
Poison ivy生成shellcode
发表于: 2013-10-11 13:57 6439

Poison ivy生成shellcode

2013-10-11 13:57
6439
PI 前0x25个字节,

00424A30 64 8B 35 30 00 00 00 mov         esi,dword ptr fs:[30h]   //将PEB结构地址赋值给esi
00424A37 8B 76 0C             mov         esi,dword ptr [esi+0Ch]  //得到PEB_LDR_DATA结构地址赋值给esi
00424A3A 8B 76 1C             mov         esi,dword ptr [esi+1Ch]  //得到InInitializationOrderModuleList地址赋值给esi
00424A3D 8B 56 08             mov         edx,dword ptr [esi+8]     //InInitializationOrderLinks;   到这里下面的就不太明白了。。
00424A40 8B 7E 20             mov         edi,dword ptr [esi+20h]  
00424A43 8B 36                mov         esi,dword ptr [esi]
00424A45 81 7F 0C 33 00 32 00 cmp         dword ptr [edi+0Ch],320033h
00424A4C 75 EF                jne         PIshellcode+0Dh (00424a3d)
00424A4E 89 95 3F FB FF FF    mov         dword ptr [ebp-4C1h],edx
00424A54 C3                   ret
这是Poison ivy生成的shellcode前0x25个字节,每次次执行这个shellcode,必须加上0x25,
才能运行。
__asm

        lea eax,PIshellcode
        add eax,0x25
        call eax
}
不知道为什么,于是看了下这0x25字节汇编代码。。知道的告诉下,这段代码完成了什么功能.

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 2242
活跃值: (488)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
2
00424A30 64 8B 35 30 00 00 00 mov         esi,dword ptr fs:[30h]   //将PEB结构地址赋值给esi
00424A37 8B 76 0C             mov         esi,dword ptr [esi+0Ch]  //得到PEB_LDR_DATA结构地址赋值给esi
00424A3A 8B 76 1C             mov         esi,dword ptr [esi+1Ch]  //得到InInitializationOrderModuleList地址赋值给esi
00424A3D 8B 56 08             mov         edx,dword ptr [esi+8]     //0x18,get DllBase.
00424A40 8B 7E 20             mov         edi,dword ptr [esi+20h]  //esi自身在结构体偏移为0x10,+0x20则定位至_LDR_DATA_TABLE_ENTRY::BaseDllName::Buffer
00424A43 8B 36                mov         esi,dword ptr [esi]  //to next entry
00424A45 81 7F 0C 33 00 32 00 cmp         dword ptr [edi+0Ch],320033h //偏移Buffer第六个字符(C/2 -> 6)后是否为"32",也即是寻找kernel32.dll
00424A4C 75 EF                jne         PIshellcode+0Dh (00424a3d) //进行下一个判断
00424A4E 89 95 3F FB FF FF    mov         dword ptr [ebp-4C1h],edx  //get it , done
00424A54 C3                   ret
2013-10-12 14:30
0
游客
登录 | 注册 方可回帖
返回
//