专业丰富的破解论坛技术交流,提供软件安全,病毒分析,脱壳破解,安卓破解,加密解密等,由无数热衷于软件爱好者共同维护
 
发新帖
查看: 673|回复: 0

[技术文章] 十三节 逆向病毒分析(实战)

[复制链接]
玉面飞龙之王 发表于 2020-9-21 13:43:20 | 显示全部楼层
;arg_0 : 指向某变量/缓冲区的指针
seg000:004D5356 arg_4 = dword ptr 0Ch
;arg_4:函数地址表指针
seg000:004D5356 arg_8 = dword ptr 10h
;arg_8:字符串表指针
seg000:004D5356
seg000:004D5356 push ebp
seg000:004D5357 mov ebp, esp
seg000:004D5359 add esp, 0FFFFFFF8h
seg000:004D535C lea eax, [ebp+var_4]
;eax 指向 v_4
seg000:004D535F push ebx
seg000:004D5360 push esi
seg000:004D5361 push edi
seg000:004D5362 xor ebx, ebx
;ebx 清零
seg000:004D5364 mov edi, [ebp+arg_8]
;edi :字符串表指针
seg000:004D5367 mov esi, [ebp+arg_4]
;esi:函数地址表指针
seg000:004D536A mov [ebp+var_8], 106h
;v_8 = 0x106
seg000:004D5371 push eax
;eax 为指向 v_4 的指针
;参数 4 压栈
seg000:004D5372 push 20019h
;参数 3 ( 0x20019)压栈
seg000:004D5377 lea edx, [edi+0BDh]
;edx = edi + 0xbd,查字符串表可以确定此时的 edx 指向字符串;Software\Microsoft\Windows\CurrentVersion\Explorer
seg000:004D537D push 0
;参数 2 ( 0 )压栈
seg000:004D537F push edx
;参数 1(字符串指针)压栈
seg000:004D5380 push 80000001h
;参数 0( 0x80000001h )压栈
seg000:004D5385 call dword ptr [esi+2Ch]
;查函数地表,esi + 2ch 保存的是 RegOpenKeyExA 的入口地址( 2ch 对应序数 11)
;调用 RegOpenKeyExA( 0x80000001,……explorer
,0,0x20019,,&v_4)
;查询 MSDN 以及 SDK 中的头文件确定此函数调用中出现的常数的含义
;0x80000001 : HKEY_CURRENT_USER
; 0 :options
; 0x20019 : 打开权限相关的常数。KEY_READ (0x20019)
;此处的函数调用要打开注册表键

快速回复 返回顶部 返回列表