¡¡¡¡ÎÒÃÇÖªµÀÔÚÎÒÃǶÔÒç³ö©¶´½øÐÐeXPµÄʱºò£¬¾³£ÒªÀûÓÃÈ«¾ÖÐÔµÄÖ¸Õ룬ÀûÓÃÒì³£´¦Àí¡£ÄÇôXPµÄSP2¶Ô´Ë×÷ÁË´¦Àí¡£Ê¹µÃÎÒÃÇÎÞ·¨ÔËÓÃÒÔÇ°µÄ¼¼ÇÉÀ´Íê³ÉÎÒÃǵŤ×÷¡£ÀýÈ磬¶ÔÈ«¾ÖÐÔµÄÖ¸Õ붼×÷Á˱àÂë´¦Àí¡£
¡¡¡¡ÄÇô¾ßÌåÀ´½²£¬±¾ÎÄÖ÷Ҫ̸µ½ÒÔÏ£º
¡¡¡¡1¡¢Ó³Éä¸øPEB¹ÜÀí½á¹¹µÄÆðʼµØÖ·×öÁËËæ»ú´¦Àí¡£ºóÃæÎÒÃǻῴµ½ÕâÖÖËæ»úÊǺÜÈõµÄ£¬µ«ÒѾ×ã¹»ÈÃeXPÎÞ·¨Íê³É»òÕß˵ÊÇÎȶ¨µÄ¹¤×÷¡£
¡¡¡¡2¡¢¶ÔTOP SEHµÄ±£»¤
¡¡¡¡3¡¢VEHÁ´±íÖ¸Õë_RtlpCalloutEntryListµÄ±£»¤
¡¡¡¡4¡¢¶Ñ¿é½á¹¹µÄcookie±£»¤
¡¡¡¡²»Éæ¼°ÄÚÈÝ£º
¡¡¡¡1¡¢ÈçºÎÈƹý±£»¤»úÖÆ
¡¡¡¡2¡¢¶Ñ¹ÜÀíµÄϸ½Ú£¬ÆäʵûÓÐÌ«´óµÄ±ä»¯
¡¡¡¡Ö÷Ì⿪ʼ£º
¡¡¡¡1¡¢PEBµÄµØÖ·µÄËæ»ú
¡¡¡¡XPϵͳÏ£¬´´½¨½ø³ÌʹÓõÄÊÇ_NtCreateProcessExº¯Êý£¬¶ø²»ÊÇ_NtCreateProcessº¯Êý¡£_NtCreateProcessÖ÷Òªµ÷ÓÃ_PspCreateProcess@36º¯ÊýÀ´Íê³É½ø³ÌµÄ´´½¨¹¤×÷
¡¡¡¡PAGE:004B4649 call _PspCreateProcess@36 ;PspCreateProcess(x,x,x,x,x,x,x,x,x)
¡¡¡¡½ø³ÌµÄ´´½¨Ö÷Òª°üÀ¨ÉèÖÃEPROCESS,´´½¨³õʼ½ø³ÌµØÖ·¿Õ¼äµÈ¡£ÕâÀï¾Í²»ÂÞàÂÁË¡£PEBµÄÉèÖÃͨ¹ýµ÷ÓÃ_MmCreatePeb.
¡¡¡¡PAGE:004B428E push eax
¡¡¡¡PAGE:004B428F push ebx
¡¡¡¡PAGE:004B4290 push dword ptr [ebp-60h]
¡¡¡¡PAGE:004B4293 call MmCreateProcessAddressSpace@12 ;MmCreateProcessAddressSpace(x,x,x)
¡¡¡¡PAGE:004B43E5 lea eax, [ebx+1B0h]
¡¡¡¡PAGE:004B43EB push eax
¡¡¡¡PAGE:004B43EC lea eax, [ebp-40h]
¡¡¡¡PAGE:004B43EF push eax
¡¡¡¡PAGE:004B43F0 push ebx
¡¡¡¡PAGE:004B43F1 call MmCreatePeb@12 ;MmCreatePeb(x,x,x)
¡¡¡¡¶øMmCreatePebÓÖÖ÷Ҫͨ¹ýµ÷ÓÃ_MiCreatePebOrTeb
¡¡¡¡PAGE:004B4A61 ;__stdcall MmCreatePeb(x,x,x)
¡¡¡¡PAGE:004B4A61 ">_MmCreatePeb@12 proc near ;CODE XREF: PspCreateProcess(x,x,x,x,x,x,x,x,x)+303�p
¡¡¡¡PAGE:004B4A61
¡¡¡¡PAGE:004B4A61 ;FUNCTION CHUNK AT PAGE:005267FF SIZE 000000DC BYTES
¡¡¡¡PAGE:004B4A61
¡¡¡¡PAGE:004B4A61 push 3Ch
¡¡¡¡PAGE:004B4A63 push offset dword_42DAA8
¡¡¡¡PAGE:004B4A68 call __SEH_prolog
¡¡¡¡PAGE:004B4A6D xor ebx, ebx
¡¡¡¡PAGE:004B4A6F mov [ebp-20h], ebx
¡¡¡¡PAGE:004B4A72 mov [ebp-4Ch], ebx
¡¡¡¡PAGE:004B4A75 mov [ebp-48h], ebx
¡¡¡¡PAGE:004B4A78 mov [ebp-2Ch], ebx
¡¡¡¡PAGE:004B4A7B mov esi, [ebp+8]
¡¡¡¡PAGE:004B4A7E push esi
¡¡¡¡PAGE:004B4A7F call _KeAttachProcess@4 ;KeAttachProcess(x)
¡¡¡¡PAGE:004B4A84 push 2
¡¡¡¡PAGE:004B4A86 pop edi
¡¡¡¡PAGE:004B4A87 push edi
¡¡¡¡PAGE:004B4A88 push (offset loc_4FFFFE+2)
¡¡¡¡PAGE:004B4A8D push 1
¡¡¡¡PAGE:004B4A8F lea eax, [ebp-2Ch]
¡¡¡¡PAGE:004B4A92 push eax
¡¡¡¡PAGE:004B4A93 lea eax, [ebp-4Ch]
¡¡¡¡PAGE:004B4A96 push eax
¡¡¡¡PAGE:004B4A97 push ebx
¡¡¡¡PAGE:004B4A98 push ebx
¡¡¡¡PAGE:004B4A99 lea eax, [ebp-20h]
¡¡¡¡PAGE:004B4A9C push eax
¡¡¡¡PAGE:004B4A9D push esi
¡¡¡¡PAGE:004B4A9E push ds:_InitNlsSectionPointer
¡¡¡¡PAGE:004B4AA4 call _MmMapViewOfSection@40 ;MmMapViewOfSection(x,x,x,x,x,x,x,x,x,x)
¡¡¡¡PAGE:004B4AA9 mov [ebp-24h], eax
¡¡¡¡PAGE:004B4AAC cmp eax, ebx
¡¡¡¡PAGE:004B4AAE jl loc_5267FF
¡¡¡¡PAGE:004B4AB4 lea eax, [ebp-1Ch]
¡¡¡¡×¢ÒâÏÂÃæÕâ¸ö210²ÎÊý,ÀàËÆÒ»¸öFlag¡£ÔÚºóÃæÄã»á·¢ÏÖ,Èç¹û¸Ã²ÎÊý²»µÈÓÚ210,ÄÇôӳÉäµÄPEBµØÖ·½«²»»á²úÉúËæ»úÖµ£¬¶øÊÇ»á¸úÒÔÇ°µÄÒ»Ñù,ʼÖÕÔÚ7FFDF000λÖá£
¡¡¡¡PAGE:004B4AB7 push eax
¡¡¡¡PAGE:004B4AB8 push 210h
¡¡¡¡;×¢ÒâÕâ¸ö²ÎÊý!
¡¡¡¡PAGE:004B4ABD push esi
¡¡¡¡PAGE:004B4ABE call ">_MiCreatePebOrTeb@12 ;MiCreatePebOrTeb(x,x,x)
¡¡¡¡ÕæÕýÍê³É¹¤×÷
¡¡¡¡MiCreatePebOrTeb@12 º¯Êý
¡¡¡¡PAGE:004B01AE call ExAllocatePoolWithTag@12 ;ExAllocatePoolWithTag(x,x,x)
¡¡¡¡PAGE:004B01B3 mov esi, eax
¡¡¡¡PAGE:004B01B5 test esi, esi
¡¡¡¡PAGE:004B01B7 jz loc_52678E
¡¡¡¡PAGE:004B01BD mov eax, [ebp+arg_8]
¡¡¡¡PAGE:004B01C0 mov ecx, [ebp+arg_8]
¡¡¡¡PAGE:004B01C3 and eax, 0FFFh
¡¡¡¡PAGE:004B01C8 neg eax
¡¡¡¡PAGE:004B01CA sbb eax, eax
¡¡¡¡PAGE:004B01CC neg eax
¡¡¡¡PAGE:004B01CE shr ecx, 0Ch
¡¡¡¡PAGE:004B01FB cmp [ebp+arg_8], 210h
¡¡¡¡PAGE:004B0202 jz loc_4B4A0A
¡¡¡¡;ÕâÀォ210ÓëѹջµÄ²ÎÊý±È½Ï£¬Èç¹ûѹÈëÕ»µÄ²»ÊÇ210ÄØ
京公网安备 11010802021500号