塑料袋 !学asm只要3天？？？？？

zongyaotang

这里直接用二进制执行码作为数据，然后跳到这里来执行。
该段代码的作用似乎用来跳转的汇编实现。系统初启或病毒之类的可能用到。
dos下用debug可以反成汇编码来读。linux下可以用objdump来反汇编，但可能要有些技巧。

PCOS

是说满足某条件void * addr = &sc,就跳转到某程序入口．

爱国人士

这么长的字串，搞溢出呀

zhugcx

原帖由 zongyaotang 于 2006-9-24 14:58 发表
这里直接用二进制执行码作为数据，然后跳到这里来执行。
该段代码的作用似乎用来跳转的汇编实现。系统初启或病毒之类的可能用到。
dos下用debug可以反成汇编码来读。linux下可以用objdump来反汇编，但可能要有些 ...

就是把数据 当作代码来执行，，不过我现在的大多OS默认都不会让他运行成功的。这会带来安全问题的哦

zongyaotang

这是在堆栈中执行的，从方法上看病毒或攻击才用这种特技。

MCSE1983

ddddddddd

1jjk

呵呵
都拿机器码出来干啥啊？
我觉得要转的话肯定很郁闷
还不如直接贴指令了

zongyaotang

LZ 的这些bin 代码是解密了后边的118h个字节后再跳过去执行

00000000        pushal
00000001        jmp     00000012
00000003        popl    %esi
00000004        movw    $0x118, %cx
00000008        movl    %esi, %edi
0000000a        lodsb   (%esi)
0000000b        xorb    $0x99, %al
0000000d        stosb   %es%edi)
0000000e        loop    0000000a
00000010        jmp     00000017
00000012        call    00000003
00000017        stc
00000018        sbbb    0xfffffffd(%ebp), %dh

zongyaotang

比较隐晦，前面一段有点象可操作的代码，数据比较隐晦。靠读就比较困难。
能在对应的环境下跟踪也许容易理解些。

00000000        cld
00000001        pushl   $0xeb
00000003        decl    %ebp
00000004        call    00000002
00000009        pushal
0000000a        movl    0x24(%esp), %ebp
0000000e        movl    0x3c(%ebp), %eax
00000011        movl    0x78(%ebp,%eax,1), %edi
00000015        addl    %ebp, %edi
00000017        movl    0x18(%edi), %ecx
0000001a        movl    0x20(%edi), %ebx
0000001d        addl    %ebp, %ebx
0000001f        decl    %ecx
00000020        movl    (%ebx,%ecx,4), %esi
00000023        addl    %ebp, %esi
00000025        xorl    %eax, %eax
00000027        cltd
00000028        lodsb   (%esi)
00000029        testb   %al, %al
0000002b        jz      00000034
0000002d        rorl    $0xd, %edx
00000030        addl    %eax, %edx
00000032        jmp     00000028
00000034        cmpl    0x28(%esp), %edx
00000038        jnz     0000001f
0000003a        movl    0x24(%edi), %ebx
0000003d        addl    %ebp, %ebx
0000003f        movw    (%ebx,%ecx,2), %cx
00000043        movl    0x1c(%edi), %ebx
00000046        addl    %ebp, %ebx
00000048        addl    (%ebx,%ecx,4), %ebp
0000004b        movl    %ebp, 0x1c(%esp)
0000004f        popal
00000050        ret

john3851

如果有了某种平台的ASM基础学另一种平台的ASM确实是可以3天搞定的，我学过51，X86的ASM学ARM的就差不多3天就搞定了