Shellcode搜索字节字符串:0C330408Bh

时间:2012-05-18 07:39:42

标签: assembly reverse-engineering malware shellcode malware-detection

我正在学习恶意软件(Blackhole Exploit)的工作,我从恶意代码中提取shellcode。除了搜索Byte String之外,我想出了一切。谁可以帮我这个事?为什么这个shellcode(大多数恶意shellcode)搜索这个特定的字符串? 搜索代码如下:

mov   eax, 0C330408BH;
inc   esi
cmp   dword ptr [esi], eax
jne   //back to top//

1 个答案:

答案 0 :(得分:2)

如果您使用魔术字节,将它们转换为little-endian格式并进行反汇编,则会得到以下结果:

8B 40 30    mov     eax, [eax+30h]
C3          retn

因此,shellcode正在搜索这一系列指令。我不是100%肯定,但我认为它用于在内存中找到kernel32图像(因为这个序列通常出现在那里)。

相关问题
最新问题