[求助]老师们给简单分析下这段代码，初学-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]老师们给简单分析下这段代码，初学 0.00雪花

发表于: 2009-3-22 00:27 3350

[旧帖] [求助]老师们给简单分析下这段代码，初学 0.00雪花

LabelLee

2009-3-22 00:27

3350

00412D50  /$  6A FF       push -1
00412D52  |.  68 60144700 push 00471460                      ;  SE 处理程序安装
00412D57  |.  64:A1 0000000>mov    eax, dword ptr fs:[0]
00412D5D  |.  50          push eax
00412D5E  |.  64:8925 00000>mov    dword ptr fs:[0], esp
00412D65  |.  83EC 40    sub    esp, 40
00412D68  |.  8A4424 5C    mov    al, byte ptr [esp+5C]
00412D6C  |.  53          push ebx
00412D6D  |.  56          push esi
00412D6E  |.  57          push edi
00412D6F  |.  6A 00       push 0
00412D71  |.  8D4C24 18    lea    ecx, dword ptr [esp+18]
00412D75  |.  884424 18    mov    byte ptr [esp+18], al
00412D79  |.  E8 62060000 call 004133E0
00412D7E  |.  8B7424 68    mov    esi, dword ptr [esp+68]
00412D82  |.  83C9 FF    or    ecx, FFFFFFFF
00412D85  |.  8BFE       mov    edi, esi
00412D87  |.  33C0       xor    eax, eax
00412D89  |.  F2:AE       repne scas byte ptr es:[edi]
00412D8B  |.  F7D1       not    ecx
00412D8D  |.  49          dec    ecx
00412D8E  |.  6A 01       push 1
00412D90  |.  8BD9       mov    ebx, ecx
00412D92  |.  8D4C24 18    lea    ecx, dword ptr [esp+18]
00412D96  |.  53          push ebx
00412D97  |.  E8 24090000 call 004136C0
00412D9C  |.  84C0       test al, al
00412D9E  |.  74 1E       je    short 00412DBE
00412DA0  |.  8B7C24 18    mov    edi, dword ptr [esp+18]
00412DA4  |.  8BCB       mov    ecx, ebx
00412DA6  |.  8BD1       mov    edx, ecx
00412DA8  |.  53          push ebx
00412DA9  |.  C1E9 02    shr    ecx, 2
00412DAC  |.  F3:A5       rep    movs dword ptr es:[edi], dword p>
00412DAE  |.  8BCA       mov    ecx, edx
00412DB0  |.  83E1 03    and    ecx, 3
00412DB3  |.  F3:A4       rep    movs byte ptr es:[edi], byte ptr>
00412DB5  |.  8D4C24 18    lea    ecx, dword ptr [esp+18]
00412DB9  |.  E8 E2080000 call 004136A0
00412DBE  |>  8B7C24 60    mov    edi, dword ptr [esp+60]
00412DC2  |.  8D4424 14    lea    eax, dword ptr [esp+14]
00412DC6  |.  8D4C24 68    lea    ecx, dword ptr [esp+68]
00412DCA  |.  50          push eax
00412DCB  |.  51          push ecx
00412DCC  |.  8BCF       mov    ecx, edi
00412DCE  |.  C74424 5C 000>mov    dword ptr [esp+5C], 0
00412DD6  |.  E8 95070000 call 00413570
00412DDB  |.  8B30       mov    esi, dword ptr [eax]
00412DDD  |.  6A 01       push 1
00412DDF  |.  8D4C24 18    lea    ecx, dword ptr [esp+18]
00412DE3  |.  C74424 58 FFF>mov    dword ptr [esp+58], -1
00412DEB  |.  E8 F0050000 call 004133E0
00412DF0  |.  3B77 04    cmp    esi, dword ptr [edi+4]
00412DF3  |.  0F84 B1000000 je    00412EAA
00412DF9  |.  C74424 10 000>mov    dword ptr [esp+10], 0
00412E01  |.  C74424 0C 309>mov    dword ptr [esp+C], 00479A30
00412E09  |.  83C6 1C    add    esi, 1C
00412E0C  |.  B9 0A000000 mov    ecx, 0A
00412E11  |.  8D7C24 24    lea    edi, dword ptr [esp+24]
00412E15  |.  C74424 54 010>mov    dword ptr [esp+54], 1
00412E1D  |.  F3:A5       rep    movs dword ptr es:[edi], dword p>
00412E1F  |.  8B5C24 40    mov    ebx, dword ptr [esp+40]
00412E23  |.  53          push ebx
00412E24  |.  E8 56B10300 call 0044DF7F
00412E29  |.  8B7C24 60    mov    edi, dword ptr [esp+60]
00412E2D  |.  83C4 04    add    esp, 4
00412E30  |.  8BCF       mov    ecx, edi
00412E32  |.  8BF0       mov    esi, eax
00412E34  |.  E8 271D0000 call 00414B60
00412E39  |.  8B5424 48    mov    edx, dword ptr [esp+48]
00412E3D  |.  6A 01       push 1
00412E3F  |.  52          push edx
00412E40  |.  8BCF       mov    ecx, edi
00412E42  |.  E8 D91C0000 call 00414B20
00412E47  |.  53          push ebx
00412E48  |.  56          push esi
00412E49  |.  8BCF       mov    ecx, edi
00412E4B  |.  E8 101B0000 call 00414960
00412E50  |.  A1 48504900 mov    eax, dword ptr [495048]
00412E55  |.  8D7E 0E    lea    edi, dword ptr [esi+E]
00412E58  |.  50          push eax                            ; /hWnd => NULL
00412E59  |.  FF15 A8844700 call dword ptr [<&USER32.GetWindowDC>>; \GetWindowDC
00412E5F  |.  8B4E 0A    mov    ecx, dword ptr [esi+A]
00412E62  |.  6A 00       push 0                               ; /Usage = DIB_RGB_COLORS
00412E64  |.  03CE       add    ecx, esi                      ; |
00412E66  |.  57          push edi                            ; |pBitmapInfo
00412E67  |.  51          push ecx                            ; |pInitData
00412E68  |.  8BD8       mov    ebx, eax                      ; |
00412E6A  |.  6A 04       push 4                               ; |HowToCreate = CBM_INIT
00412E6C  |.  57          push edi                            ; |pInfoHeader
00412E6D  |.  53          push ebx                            ; |hDC
00412E6E  |.  FF15 D0804700 call dword ptr [<&GDI32.CreateDIBitma>; \CreateDIBitmap
00412E74  |.  8B15 48504900 mov    edx, dword ptr [495048]
00412E7A  |.  53          push ebx                            ; /hDC
00412E7B  |.  52          push edx                            ; |hWnd => NULL
00412E7C  |.  8BF8       mov    edi, eax                      ; |
00412E7E  |.  FF15 C4854700 call dword ptr [<&USER32.ReleaseDC>]  ; \ReleaseDC
00412E84  |.  56          push esi
00412E85  |.  E8 ADB00300 call 0044DF37
00412E8A  |.  83C4 04    add    esp, 4
00412E8D  |.  85FF       test edi, edi
00412E8F  |.  75 2D       jnz    short 00412EBE
00412E91  |.  C74424 0C 30B>mov    dword ptr [esp+C], 0047B630
00412E99  |.  8D4C24 0C    lea    ecx, dword ptr [esp+C]
00412E9D  |.  C74424 54 020>mov    dword ptr [esp+54], 2
00412EA5  |.  E8 88760500 call 0046A532
00412EAA  |>  5F          pop    edi
00412EAB  |.  5E          pop    esi
00412EAC  |.  33C0       xor    eax, eax
00412EAE  |.  5B          pop    ebx
00412EAF  |.  8B4C24 40    mov    ecx, dword ptr [esp+40]
00412EB3  |.  64:890D 00000>mov    dword ptr fs:[0], ecx
00412EBA  |.  83C4 4C    add    esp, 4C
00412EBD  |.  C3          retn
00412EBE  |>  8B7424 64    mov    esi, dword ptr [esp+64]
00412EC2  |.  8BCE       mov    ecx, esi
00412EC4  |.  E8 69760500 call 0046A532
00412EC9  |.  57          push edi
00412ECA  |.  8BCE       mov    ecx, esi
00412ECC  |.  E8 0A760500 call 0046A4DB
00412ED1  |.  C74424 0C 30B>mov    dword ptr [esp+C], 0047B630
00412ED9  |.  8D4C24 0C    lea    ecx, dword ptr [esp+C]
00412EDD  |.  C74424 54 030>mov    dword ptr [esp+54], 3
00412EE5  |.  E8 48760500 call 0046A532
00412EEA  |.  8B4C24 4C    mov    ecx, dword ptr [esp+4C]
00412EEE  |.  5F          pop    edi
00412EEF  |.  5E          pop    esi
00412EF0  |.  B8 01000000 mov    eax, 1
00412EF5  |.  5B          pop    ebx
00412EF6  |.  64:890D 00000>mov    dword ptr fs:[0], ecx
00412EFD  |.  83C4 4C    add    esp, 4C
00412F00  \.  C3          retn

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (4)
我是土匪雪币： 576 活跃值： (1500) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 2 楼你想要累死谁呀？自己看汇编课本去！ 2009-3-22 02:07 0
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 3 楼主要是看看那些 CALL 04XXXXX 的函数吧... 还有条件分支...没有整个程序难分析...好多UNKNOWN子程序啊 2009-3-22 05:30 0
孤风残影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	孤风残影 4 楼 2009-3-22 13:39 0
风轻云清雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	风轻云清 5 楼我好成8只眼了 2009-3-30 16:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

LabelLee

发帖

回帖

RANK

关注

私信

他的文章

[求助]老师们给简单分析下这段代码，初学 3351

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
我是土匪雪币： 576 活跃值： (1500) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 2 楼你想要累死谁呀？自己看汇编课本去！ 2009-3-22 02:07 0
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 3 楼主要是看看那些 CALL 04XXXXX 的函数吧... 还有条件分支...没有整个程序难分析...好多UNKNOWN子程序啊 2009-3-22 05:30 0
孤风残影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	孤风残影 4 楼 2009-3-22 13:39 0
风轻云清雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	风轻云清 5 楼我好成8只眼了 2009-3-30 16:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复