专业丰富的破解论坛技术交流,提供软件安全,病毒分析,脱壳破解,安卓破解,加密解密等,由无数热衷于软件爱好者共同维护
 
发新帖
查看: 997|回复: 0

[技术文章] 十节 逆向病毒分析(实战)

[复制链接]
玉面飞龙之王 发表于 2020-9-21 13:25:25 | 显示全部楼层
seg000:004D52E9 call dword ptr [ebx+4]
seg000:004D52EC mov [ebx+20h], eax
;arg_0 + 20h 的地方保存 CloseHandle 的地址
seg000:004D52EF lea edx, [edi+65h]
seg000:004D52F2 push edx
seg000:004D52F3 push esi
seg000:004D52F4 call dword ptr [ebx+4]
seg000:004D52F7 mov [ebx+24h], eax
;arg_0 + 24h 的地方保存 GetTickCount 的地址
seg000:004D52FA lea ecx, [edi+72h]
seg000:004D52FD push ecx
seg000:004D52FE push esi
seg000:004D52FF call dword ptr [ebx+4]
seg000:004D5302 mov [ebx+28h], eax
;arg_0 + 28h 的地方保存 GetModuleFileNameA 的地址
seg000:004D5305 jmp short loc_4D530B
;去 4D530B 继续
seg000:004D5307 ;
---------------------------------------------------------------------------
seg000:004D5307
seg000:004D5307 loc_4D5307: ; CODE XREF:
sub_4D524A+2Bj
seg000:004D5307 xor eax, eax
seg000:004D5309 jmp short loc_4D534C
seg000:004D530B ;
---------------------------------------------------------------------------
seg000:004D530B
seg000:004D530B loc_4D530B: ; CODE XREF:
sub_4D524A+BBj
seg000:004D530B lea edx, [edi+85h]
seg000:004D5311 push edx
seg000:004D5312 call dword ptr [ebx]
seg000:004D5314 mov esi, eax
;esi = LoadLibraryA(ADVAPI32.dll);
;esi 仍然为模块基址
seg000:004D5316 test esi, esi
seg000:004D5318 jz short loc_4D5346
;模块加载失败,函数直接返回 0
seg000:004D531A lea eax, [edi+92h]
seg000:004D5320 push eax
seg000:004D5321 push esi
seg000:004D5322 call dword ptr [ebx+4]
seg000:004D5325 mov [ebx+2Ch], eax
;arg_0 + 2ch 的地方保存 RegOpenKeyExA 的地址
seg000:004D5328 lea edx, [edi+0A0h]
seg000:004D532E push edx

快速回复 返回顶部 返回列表