[求助]请问哪位知道以下汇编语言的含义-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 2 楼从你提供的资料分析，[esp+10h]是所在函数外部传进的参数可能性较大但也不能排除是否局部变量另还不排除是否是返回堆栈值，至于第几个参数，要看前面的代码了。 and ax,0f000h目的在于把16进制数比如0x12345678最后3位清0.则为0x12345000 2008-9-9 19:32 0
bjnetkitty 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	bjnetkitty 3 楼 Immunity SEGMENT PARA USE32 'Immunity' assume cs:Immunity,ds:Immunity vstart: push ebp push esp call nstart nstart: ;;;;;;;;;;;;; pop ebp sub ebp,offset nstart ;病毒中常用的一种方法。得到一个偏移差。 ;程序后面用到的所有变量都需要加上个这偏移差 ;------------------------------------(上面的)-- assume fs:nothing ;设置SEH,发生异常可以直接返回原入口. lea ebx, SEH[ebp] push ebx push fs:[0] mov fs:[0],esp mov OldEsp[ebp],esp ;========================= ; * 更改程序入口地址 * cmp old_base[ebp],0 jnz gonext mov old_base[ebp],400000h gonext: cmp old_in[ebp],0 jnz change mov old_in[ebp],1000h change: mov eax,old_base[ebp] mov des_base[ebp],eax mov eax, old_in[ebp] mov des_in[ebp],eax ;变量定义的的意思见后方 ;程序开始执行时，当前程序的原入口地址会放到old_base+old_in中 ;由于程序中old_base_in有别的用途，因此将此地址存放到 ;des_base_in，以便最后跳回原程序入口。 ;------------------------------------上面的部分是前面的代码 ;获得KERNEL32地址及所需的API函数地址 mov eax,[esp+10h] ;//取Kernel32返回地址 and ax,0f000h 2008-9-9 20:14 0
bjnetkitty 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	bjnetkitty 4 楼还请高人多多指点迷津 2008-9-9 20:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 2 楼从你提供的资料分析，[esp+10h]是所在函数外部传进的参数可能性较大但也不能排除是否局部变量另还不排除是否是返回堆栈值，至于第几个参数，要看前面的代码了。 and ax,0f000h目的在于把16进制数比如0x12345678最后3位清0.则为0x12345000 2008-9-9 19:32 0
bjnetkitty 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	bjnetkitty 3 楼 Immunity SEGMENT PARA USE32 'Immunity' assume cs:Immunity,ds:Immunity vstart: push ebp push esp call nstart nstart: ;;;;;;;;;;;;; pop ebp sub ebp,offset nstart ;病毒中常用的一种方法。得到一个偏移差。 ;程序后面用到的所有变量都需要加上个这偏移差 ;------------------------------------(上面的)-- assume fs:nothing ;设置SEH,发生异常可以直接返回原入口. lea ebx, SEH[ebp] push ebx push fs:[0] mov fs:[0],esp mov OldEsp[ebp],esp ;========================= ; * 更改程序入口地址 * cmp old_base[ebp],0 jnz gonext mov old_base[ebp],400000h gonext: cmp old_in[ebp],0 jnz change mov old_in[ebp],1000h change: mov eax,old_base[ebp] mov des_base[ebp],eax mov eax, old_in[ebp] mov des_in[ebp],eax ;变量定义的的意思见后方 ;程序开始执行时，当前程序的原入口地址会放到old_base+old_in中 ;由于程序中old_base_in有别的用途，因此将此地址存放到 ;des_base_in，以便最后跳回原程序入口。 ;------------------------------------上面的部分是前面的代码 ;获得KERNEL32地址及所需的API函数地址 mov eax,[esp+10h] ;//取Kernel32返回地址 and ax,0f000h 2008-9-9 20:14 0
bjnetkitty 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	bjnetkitty 4 楼还请高人多多指点迷津 2008-9-9 20:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复