[讨论]请问这三句指令在病毒中有什么作用？笔试题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]请问这三句指令在病毒中有什么作用？笔试题

发表于: 2009-4-2 13:07 10800

[讨论]请问这三句指令在病毒中有什么作用？笔试题

lilu

2009-4-2 13:07

10800

最近去个公司应聘，其中有个笔试题是：

下面的代码有什么作用？该代码在病毒中使用较广泛，请问都是在病毒的哪个部分使用，有什么作用。

代码如下：

00401000 > /E9 00000000 jmp    00401005
00401005    \5D          pop    ebp
00401006    83ED 05    sub    ebp, 5

就只有这三句指令，问功能是干嘛的，有什么作用。

我对比了一下当时做的记录。

是我写错了，不好意思，大家。

第一句是call，不是jmp。

三句机器码是：
E8 00000000
5D
83ED 05

[注意]APP应用上架合规检测服务，协助应用顺利上架！

收藏・3

免费・0

支持

最新回复 (35) 1 2 ▶
xiaoyibill 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	xiaoyibill 2 楼 CALL 是重定位 JMP 就不知道了 2009-4-2 13:23 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 3 楼重定位第一句是call 00401005，不是jmp 00401005 2009-4-2 13:34 0
lovenuo 雪币： 1705 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	lovenuo 2 4 楼无条件转移指令JMP 堆栈操作指令 PUSH和POP 减法指令SUB(SUBtract) 2009-4-2 13:36 0
jesterjy 雪币： 389 活跃值： (179) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 75 粉丝 0 关注私信	jesterjy 1 5 楼第一句是call吧?会不会是先让你改错,然后在说功能的? 2009-4-2 13:41 0
zenix 雪币： 2434 活跃值： (1432) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 6 楼第一行應該是 Call 不是 jmp 2F 和 3F 己經是正解. 我再多說一句. 三行指令跑完, BP 就是取得第一行的地址. 也就是 2F 和 3F 所說的, 做重定位之用. 2009-4-2 13:44 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 7 楼估计这个是正解~~~ 2009-4-2 14:00 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 8 楼主要用来反调试和反跟踪~~~ 2009-4-2 14:02 0
lilu 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	lilu 9 楼我对比了一下当时做的记录。是我写错了，不好意思，大家。第一句是call，不是jmp。三句机器码是： E8 00000000 5D 83ED 05 2009-4-2 14:22 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 10 楼这公司太没趣了 2009-4-2 15:23 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 11 楼同楼上。。。。。。。 2009-4-2 15:42 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 12 楼我来顶楼上~~~~~~~ 2009-4-2 15:50 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 13 楼 00401000 > /E9 00000000 jmp 00401005 00401005 \5D pop ebp 00401006 83ED 05 sub ebp, 5 jmp 无条件跳向该地址 pop ebp 弹出的堆栈然后 ebp -5 不知道这段表达什么意思! 2009-4-2 16:05 0
WksWlj999 雪币： 246 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	WksWlj999 2 14 楼典型的病毒重定位代码，可看看病毒编写基础知识。 2009-4-2 16:26 0
skykrnl 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 62 粉丝 0 关注私信	skykrnl 15 楼执行完成后 ebp = 401000 2009-4-2 16:55 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 16 楼 ebp抄成esp, call抄成jmp 就算应试上了.你真敢进去上班? 2009-4-2 17:22 0
lilu 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	lilu 17 楼不敢去，差距太远了。 2009-4-2 18:37 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 18 楼 POP啥都可以 2009-4-2 20:07 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 19 楼不过esp应该就不行吧。 2009-4-2 20:10 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 20 楼 POP = 做广告海报的, 要会美工 Pointop of purchase 2009-4-2 20:35 0
Callppsb 雪币： 1145 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	Callppsb 21 楼看来我出名了 2009-4-3 23:19 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 22 楼可以翻译成：call @F @@: pop ebp sub ebp,5 ;5是call @F的指令长度，ebp保存病毒代码装入基地，用于重定位 2009-4-3 23:53 0
gujilanxue 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	gujilanxue 23 楼晕，这个公司很好很强大啊！呵呵 2009-4-7 16:48 0
arsusanh 雪币： 247 活跃值： (42) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 91 粉丝 0 关注私信	arsusanh 24 楼 00401000 > /E9 00000000 jmp 00401005 无条件跳转到00401005,跟call有类似之处 00401005 \5D pop ebp 把ebp出栈,与push ebp是匹配试用 00401006 83ED 05 sub ebp, 5 把弹出的ebp减去5 ,就是ebp-5的一个减法运算,也可以用 add ebp,-5 2009-4-7 17:45 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 25 楼好强大的公司，居然用这个问题做笔试。楼主应该告诉下公司名称............ 如果机器码E8 00000000地址处是OEP的话，那么这段代码功能是求重定位后OEP的偏移。 2009-4-7 17:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lilu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
xiaoyibill 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	xiaoyibill 2 楼 CALL 是重定位 JMP 就不知道了 2009-4-2 13:23 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 3 楼重定位第一句是call 00401005，不是jmp 00401005 2009-4-2 13:34 0
lovenuo 雪币： 1705 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	lovenuo 2 4 楼无条件转移指令JMP 堆栈操作指令 PUSH和POP 减法指令SUB(SUBtract) 2009-4-2 13:36 0
jesterjy 雪币： 389 活跃值： (179) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 75 粉丝 0 关注私信	jesterjy 1 5 楼第一句是call吧?会不会是先让你改错,然后在说功能的? 2009-4-2 13:41 0
zenix 雪币： 2434 活跃值： (1432) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 6 楼第一行應該是 Call 不是 jmp 2F 和 3F 己經是正解. 我再多說一句. 三行指令跑完, BP 就是取得第一行的地址. 也就是 2F 和 3F 所說的, 做重定位之用. 2009-4-2 13:44 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 7 楼估计这个是正解~~~ 2009-4-2 14:00 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 8 楼主要用来反调试和反跟踪~~~ 2009-4-2 14:02 0
lilu 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	lilu 9 楼我对比了一下当时做的记录。是我写错了，不好意思，大家。第一句是call，不是jmp。三句机器码是： E8 00000000 5D 83ED 05 2009-4-2 14:22 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 10 楼这公司太没趣了 2009-4-2 15:23 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 11 楼同楼上。。。。。。。 2009-4-2 15:42 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 12 楼我来顶楼上~~~~~~~ 2009-4-2 15:50 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 13 楼 00401000 > /E9 00000000 jmp 00401005 00401005 \5D pop ebp 00401006 83ED 05 sub ebp, 5 jmp 无条件跳向该地址 pop ebp 弹出的堆栈然后 ebp -5 不知道这段表达什么意思! 2009-4-2 16:05 0
WksWlj999 雪币： 246 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	WksWlj999 2 14 楼典型的病毒重定位代码，可看看病毒编写基础知识。 2009-4-2 16:26 0
skykrnl 雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 62 粉丝 0 关注私信	skykrnl 15 楼执行完成后 ebp = 401000 2009-4-2 16:55 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 16 楼 ebp抄成esp, call抄成jmp 就算应试上了.你真敢进去上班? 2009-4-2 17:22 0
lilu 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	lilu 17 楼不敢去，差距太远了。 2009-4-2 18:37 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 24 关注私信	笨笨雄 14 18 楼 POP啥都可以 2009-4-2 20:07 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 19 楼不过esp应该就不行吧。 2009-4-2 20:10 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 20 楼 POP = 做广告海报的, 要会美工 Pointop of purchase 2009-4-2 20:35 0
Callppsb 雪币： 1145 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	Callppsb 21 楼看来我出名了 2009-4-3 23:19 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 22 楼可以翻译成：call @F @@: pop ebp sub ebp,5 ;5是call @F的指令长度，ebp保存病毒代码装入基地，用于重定位 2009-4-3 23:53 0
gujilanxue 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	gujilanxue 23 楼晕，这个公司很好很强大啊！呵呵 2009-4-7 16:48 0
arsusanh 雪币： 247 活跃值： (42) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 91 粉丝 0 关注私信	arsusanh 24 楼 00401000 > /E9 00000000 jmp 00401005 无条件跳转到00401005,跟call有类似之处 00401005 \5D pop ebp 把ebp出栈,与push ebp是匹配试用 00401006 83ED 05 sub ebp, 5 把弹出的ebp减去5 ,就是ebp-5的一个减法运算,也可以用 add ebp,-5 2009-4-7 17:45 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 25 楼好强大的公司，居然用这个问题做笔试。楼主应该告诉下公司名称............ 如果机器码E8 00000000地址处是OEP的话，那么这段代码功能是求重定位后OEP的偏移。 2009-4-7 17:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复