输入表隐藏[转]_第1页
免费预览已结束,剩余1页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、输入表隐藏转躲藏全部的输入表函数: exe和dll通用-冰浪 为尽量实现容易傻瓜式的操作及代码通用性,利用些病毒常用技术,特此谢谢 看雪xfish大侠及其巨著:【anti virus专题】系列! 请按下列步骤操作: 1:用loadpe打开文件,点击名目,登记输入表的rva地址。 2:用od载入程序,在空白处加入下面代码,并把刚登记的rva地址及返回原入口点地址填好。. 3:更改入口点为此代码开头处(非必需,但得确保程序调用函数前运行此代码)。 4:把原输入表的rva地址填0,输入表区段属性改为可写。 完整代码如下: 10074280 $ e8 01000000 call 1291ss.1007

2、4286 10074285 00 db 00 10074286 . 58 pop eax 10074287 . 8038 00 cmp byte ptr ds:eax,0 1007428a . 0f85 f5000000 jnz 1291ss.10074385 10074290 . fe00 inc byte ptr ds:eax 10074292 64:a1 3000000 mov eax,dword ptr fs:30 10074298 8b40 0c mov eax,dword ptr ds:eax+c 1007429b 8b40 1c mov eax,dword ptr ds:eax+

3、1c 1007429e 8b00 mov eax,dword ptr ds:eax 100742a0 8b40 08 mov eax,dword ptr ds:eax+8 100742a3 . 8bd8 mov ebx,eax 100742a5 . e8 0f000000 call 1291ss.100742b9 100742aa . 47 inc edi 100742ab . 65:74 50 je short 1291ss.100742fe 100742ae . 72 6f jb short 1291ss.1007431f 100742b0 . 6341 64 arpl word ptr

4、ds:ecx+64,ax 100742b3 . 64:72 65 jb short 1291ss.1007431b 100742b6 . 73 73 jnb short 1291ss.1007432b 100742b8 00 db 00 100742b9 . 59 pop ecx 100742ba . 60 pushad 100742bb . 89c3 mov ebx,eax 100742bd . 89cf mov edi,ecx 100742bf . 30c0 xor al,al 100742c1 ae scas byte ptr es:edi 100742c2 . 75 fd jnz sh

5、ort 1291ss.100742c1 100742c4 . 4f dec edi 100742c5 . 29cf sub edi,ecx 100742c7 . 87f9 xchg ecx,edi 100742c9 . 8b43 3c mov eax,dword ptr ds:ebx+3c 100742cc . 8b7403 78 mov esi,dword ptr ds:ebx+eax+78 100742d0 . 8d741e 18 lea esi,dword ptr ds:esi+ebx+18 100742d4 . ad lods dword ptr ds:esi 100742d5 . 9

6、2 xchg eax,edx 100742d6 . ad lods dword ptr ds:esi 100742d7 . 50 push eax 100742d8 . ad lods dword ptr ds:esi 100742d9 . 95 xchg eax,ebp 100742da . ad lods dword ptr ds:esi 100742db . 95 xchg eax,ebp 100742dc . 01d8 add eax,ebx 100742de . 897c24 18 mov dword ptr ss:esp+18,edi 100742e2 . 894c24 14 mo

7、v dword ptr ss:esp+14,ecx 100742e6 4a dec edx 100742e7 . 74 27 je short 1291ss.10074310 100742e9 . 8b3490 mov esi,dword ptr ds:eax+edx*4 100742ec . 01de add esi,ebx 100742ee . f3:a6 repe cmps byte ptr es:edi,byte ptr ds: 100742f0 . 74 0a je short 1291ss.100742fc 100742f2 . 8b7c24 18 mov edi,dword pt

8、r ss:esp+18 100742f6 . 8b4c24 14 mov ecx,dword ptr ss:esp+14 100742fa . eb ea jmp short 1291ss.100742e6 100742fc d1e2 shl edx,1 100742fe 01d5 add ebp,edx 10074300 . 0fb7441d 00 movzx eax,word ptr ss:ebp+ebx 10074305 . c1e0 02 shl eax,2 10074308 . 030424 add eax,dword ptr ss:esp 1007430b . 8b0403 mov

9、 eax,dword ptr ds:ebx+eax 1007430e . 01d8 add eax,ebx 10074310 59 pop ecx 10074311 . 894424 1c mov dword ptr ss:esp+1c,eax 10074315 . 895c24 18 mov dword ptr ss:esp+18,ebx 10074319 e8 db e8 1007431a 12 db 12 1007431b . 0000 add byte ptr ds:eax,al 1007431d . 0000 add byte ptr ds:eax,al 1007431f . 000

10、0 add byte ptr ds:eax,al 10074321 . 004c6f 61 add byte ptr ds:edi+ebp*2+61,cl 10074325 . 64:4c dec esp 10074327 69 db 69 10074328 . 6272 61 bound esi,qword ptr ds:edx+61 1007432b . 72 79 jb short 1291ss.100743a6 1007432d . 41 inc ecx 1007432e . 0000 add byte ptr ds:eax,al 10074330 $ 59 pop ecx 10074

11、331 . 83c1 04 add ecx,4 10074334 . 51 push ecx 10074335 . 53 push ebx 10074336 . ffd0 call eax 10074338 . 894424 14 mov dword ptr ss:esp+14,eax 1007433c . e8 00000000 call 1291ss.10074341 10074341 $ 5d pop ebp 10074342 . 81e5 0000ffff and ebp,ffff0000 10074348 . 33c0 xor eax,eax 1007434a . eb 06 jmp

12、 short 1291ss.10074352 1007434c 81ed 00100000 sub ebp,1000 10074352 66:8b45 00 mov ax,word ptr ss:ebp 10074356 . 66:3d 4d5a cmp ax,5a4d 1007435a . 90 nop 1007435b . 75 ef jnz short 1291ss.1007434c 1007435d . 8b45 3c mov eax,dword ptr ss:ebp+3c 10074360 . 8b0428 mov eax,dword ptr ds:eax+ebp 10074363

13、. 3d 50450000 cmp eax,4550 10074368 . 75 e2 jnz short 1291ss.1007434c 1007436a . b8 48611100 mov eax,116148 /这里填入loadpe里显示的输入表rva地址 1007436f . 36:8d1c28 lea ebx,dword ptr ss:eax+ebp 10074373 8b43 0c mov eax,dword ptr ds:ebx+c 10074376 . 85c0 test eax,eax 10074378 . 74 0a je short 1291ss.10074384 100

14、7437a . e8 0d000000 call 1291ss.1007438c 1007437f . 83c3 14 add ebx,14 10074382 . eb ef jmp short 1291ss.10074373 10074384 61 popad 10074385 e9 828ff9ff jmp 1291ss.1000d30c /加载输入表完毕,返回原入口点 1007438a 90 nop 1007438b 90 nop 1007438c $ 53 push ebx 1007438d . 8d1428 lea edx,dword ptr ds:eax+ebp 10074390

15、. 52 push edx 10074391 . ff5424 20 call dword ptr ss:esp+20 10074395 . 8bd0 mov edx,eax 10074397 . 8b5b 10 mov ebx,dword ptr ds:ebx+10 1007439a . 8d1c2b lea ebx,dword ptr ds:ebx+ebp 1007439d 8b03 mov eax,dword ptr ds:ebx 1007439f . 85c0 test eax,eax 100743a1 . 74 23 je short 1291ss.100743c6 100743a3

16、 . 3d 00000080 cmp eax,80000000 100743a8 . 72 07 jb short 1291ss.100743b1 100743aa . 2d 00000080 sub eax,80000000 100743af . eb 06 jmp short 1291ss.100743b7 100743b1 8d0428 lea eax,dword ptr ds:eax+ebp 100743b4 . 83c0 02 add eax,2 100743b7 52 push edx 100743b8 . 50 push eax 100743b9 . 52 push edx 10

17、0743ba . ff5424 30 call dword ptr ss:esp+30 100743be . 8903 mov dword ptr ds:ebx,eax 100743c0 . 83c3 04 add ebx,4 100743c3 . 5a pop edx 100743c4 . eb d7 jmp short 1291ss.1007439d 100743c6 5b pop ebx 100743c7 . c3 retn 二进制代码如下: e8 01 00 00 00 00 58 80 38 00 0f 85 f5 00 00 00 fe 00 64 a1 30 00 00 00 8

18、b 40 0c 8b 40 1c 8b 00 8b 40 08 8b d8 e8 0f 00 00 00 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 00 59 60 89 c3 89 cf 30 c0 ae 75 fd 4f 29 cf 87 f9 8b 43 3c 8b 74 03 78 8d 74 1e 18 ad 92 ad 50 ad 95 ad 95 01 d8 89 7c 24 18 89 4c 24 14 4a 74 27 8b 34 90 01 de f3 a6 74 0a 8b 7c 24 18 8b 4c 24 14 eb ea d1 e2 01 d5 0f b7 44

人人文库> 全部分类> 生活休闲 > 科普知识

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论