[求助]病毒将代码写入文件时的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼不太明白你的意思。但你可以用OD调试一下看看结果，找一找哪里不对 2008-2-24 11:12 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 3 楼 address=newentryaddress; tmp=address>>24; waddress[3]=tmp; tmp=address<<8; tmp=tmp>>24; waddress[2]=tmp; tmp=address<<16; tmp=tmp>>24; waddress[1]=tmp; tmp=address<<24; tmp=tmp>>24; waddress[0]=tmp; retf=_write(ret,waddress,4); //把新的入口地址写入文件这个过程就是把newentryaddress的值按照高高低低的顺序存放到字符数组waddress中去,然后把waddress数组4个字节数据写到文件里去,实际就是写入了newentryaddress的值 retf=_write(ret,waddress,4); 为何不写成 retf=_write(ret,&newentryaddress,4); 你所考虑的把数据反转过来再写入文件是否PE加载会出错?不会 2008-2-24 14:14 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 4 楼那为什么要先反转在写如PE文件呢？ 2008-2-24 14:35 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 5 楼看的别人的代码吧，你还是自己调试一下吧他之所以要反转，是为了把newentryaddress按照高高低低的顺序存放到字符数组waddress中去，以便_write(ret,waddress,4)的执行如果newentryaddress＝ 0x00401040; 执行位上面的移位操作后最终waddress各元素值的值为 waddress[3] ＝ 0x00 waddress[2] ＝ 0x40 waddress[1] ＝ 0x10 waddress[0] ＝ 0x40 retf=_write(ret,waddress,4)将会把以waddress为起始地址的四个字节数据40 10 40 00顺序写到文件中去，也就是先写 waddress[0] ，再写waddress[1],waddress[2],waddress[3] ，也就是写入了0x00401040 实际上去掉上面的移位操作，直接retf=_write(ret,&newentryaddress,4)就可以实现写入入口点操作了 2008-2-24 15:06 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 6 楼我假设_write从左往右写，写先waddress[0]（40），再写waddress[1]（10），等等…… 结果写出来的从左往右看不就是40104000了么？跟我们平常写字一样…… 2008-2-24 15:47 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 7 楼嗯，，，，，，，，， 2008-2-24 15:58 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 8 楼楼上大哥难道你没发现吗？我的理解正好跟你的相反…… 2008-2-24 16:12 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 9 楼右端是高地址，左端是低地址，从左往右看是40104000，从右往左看就是00401040了， PE装载器就是从右往左看了四字节 2008-2-24 16:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼不太明白你的意思。但你可以用OD调试一下看看结果，找一找哪里不对 2008-2-24 11:12 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 3 楼 address=newentryaddress; tmp=address>>24; waddress[3]=tmp; tmp=address<<8; tmp=tmp>>24; waddress[2]=tmp; tmp=address<<16; tmp=tmp>>24; waddress[1]=tmp; tmp=address<<24; tmp=tmp>>24; waddress[0]=tmp; retf=_write(ret,waddress,4); //把新的入口地址写入文件这个过程就是把newentryaddress的值按照高高低低的顺序存放到字符数组waddress中去,然后把waddress数组4个字节数据写到文件里去,实际就是写入了newentryaddress的值 retf=_write(ret,waddress,4); 为何不写成 retf=_write(ret,&newentryaddress,4); 你所考虑的把数据反转过来再写入文件是否PE加载会出错?不会 2008-2-24 14:14 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 4 楼那为什么要先反转在写如PE文件呢？ 2008-2-24 14:35 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 5 楼看的别人的代码吧，你还是自己调试一下吧他之所以要反转，是为了把newentryaddress按照高高低低的顺序存放到字符数组waddress中去，以便_write(ret,waddress,4)的执行如果newentryaddress＝ 0x00401040; 执行位上面的移位操作后最终waddress各元素值的值为 waddress[3] ＝ 0x00 waddress[2] ＝ 0x40 waddress[1] ＝ 0x10 waddress[0] ＝ 0x40 retf=_write(ret,waddress,4)将会把以waddress为起始地址的四个字节数据40 10 40 00顺序写到文件中去，也就是先写 waddress[0] ，再写waddress[1],waddress[2],waddress[3] ，也就是写入了0x00401040 实际上去掉上面的移位操作，直接retf=_write(ret,&newentryaddress,4)就可以实现写入入口点操作了 2008-2-24 15:06 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 6 楼我假设_write从左往右写，写先waddress[0]（40），再写waddress[1]（10），等等…… 结果写出来的从左往右看不就是40104000了么？跟我们平常写字一样…… 2008-2-24 15:47 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 7 楼嗯，，，，，，，，， 2008-2-24 15:58 0
msy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 91 粉丝 0 关注私信	msy 8 楼楼上大哥难道你没发现吗？我的理解正好跟你的相反…… 2008-2-24 16:12 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 9 楼右端是高地址，左端是低地址，从左往右看是40104000，从右往左看就是00401040了， PE装载器就是从右往左看了四字节 2008-2-24 16:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]病毒将代码写入文件时的问题 0.00雪花