[求助]病毒模板－修正新加代码中的jmp oldEntry-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]病毒模板－修正新加代码中的jmp oldEntry

发表于: 2007-8-27 16:56 4044

[求助]病毒模板－修正新加代码中的jmp oldEntry

poylola

2007-8-27 16:56

4044

edi 为新加节表的image_section_header

mov  eax,[edi].VirtualAddress
add  eax,(offset _ToOldEntry-offset APPEND_CODE+5)
sub  Old_AddressOfEntryPoint[ebx],eax (1)
mov  ecx,[edi].PointerToRawData
add  ecx,(offset _dwOldEntry-offset APPEND_CODE) (2)
push FILE_BEGIN
push NULL
push ecx
push hFile
call  _SetFilePointer[ebx]

_ToOldEntry:
db  0e9h ;0e9h是jmp xxxxxxxx的机器吗
_dwOldEntry:
dd ? ;用来填入原来的入口地址

请问，为什么Old_AddressOfEntryPoint要减eax
因为 Old_AddressOfEntryPoint一直没变，为什么不直接跳到这个地址呢？

如果有病毒如何返回到Host程序这方面的资料，还请介绍下
这里都不是很明白
谢谢；）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 2 楼自己看PE资料就可以写了，何必看代码。真的想学习，还是看文章实际一点 2007-8-27 20:33 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼远程jmp 指令的后四个字节是目标地址与jmp下一个指令地址的差 2007-8-27 23:37 0
alloha 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	alloha 4 楼在汇编中 jmp 及 call 后的地址都是相对于当前地址的偏移，所以要减。 2007-8-30 01:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

poylola

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 2 楼自己看PE资料就可以写了，何必看代码。真的想学习，还是看文章实际一点 2007-8-27 20:33 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼远程jmp 指令的后四个字节是目标地址与jmp下一个指令地址的差 2007-8-27 23:37 0
alloha 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	alloha 4 楼在汇编中 jmp 及 call 后的地址都是相对于当前地址的偏移，所以要减。 2007-8-30 01:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复