我正在学习恶意软件(黑洞漏洞利用(的工作原理。我从恶意代码中提取了外壳代码。我想出了除了搜索字节字符串之外的所有内容。谁能帮我解决这个问题?为什么这个外壳代码(大多数恶意外壳代码(搜索这个特定的字符串?搜索代码如下所示:
mov eax, 0C330408BH;
inc esi
cmp dword ptr [esi], eax
jne //back to top//
如果您获取魔术字节,将它们转换为小端格式并进行反汇编,则会得到以下结果:
8B 40 30 mov eax, [eax+30h]
C3 retn
因此,shellcode 正在搜索此指令序列。我不是 100% 确定,但我认为它用于在内存中查找 kernel32 图像(因为此序列通常发生在那里(。
作为伊戈尔答案的补充,我建议您 http://skypher.com/index.php/2010/11/17/bypassing-eaf/阅读本文。该代码在系统 DLL 中查找特定指令,以使用它们从内存中的任意位置读取或写入数据。因此,要使用此代码,只需将(地址0x30(放入eax,并调用上面的序列。