几个子程序作用求助

凌殇

下面三个子程序，求助其作用！谢谢

凌殇

第一个：
.版本 2

置入代码 ({ 86, 232, 0, 0, 0, 0, 88, 100, 139, 53, 48, 0, 0, 0, 139, 118, 12, 139, 118, 28, 86, 139, 94, 8, 59, 195, 114, 13, 139, 78, 16, 3, 203, 59, 193, 119, 4, 139, 195, 235, 21, 139, 54, 139, 30, 59, 28, 36, 117, 227, 100, 161, 24, 0, 0, 0, 139, 64, 48, 139, 64, 8, 94, 94, 201, 195 })
返回 (0)
第二个：
.版本 2
.支持库 spec

.子程序 匿名程序2, 逻辑型
.参数 匿名参数1, 整数型
.局部变量 匿名变量1, 未知结构
.局部变量 匿名变量2, 字节集
.局部变量 匿名变量3, 整数型
.局部变量 匿名变量4, 整数型

.如果真 (匿名参数1 ≠ 0)
    RtlMoveMemory (匿名变量1, 匿名参数1, 64)
    .如果真 (匿名变量1.成员_1 ＝ 23117)
        VirtualProtect (匿名参数1, 4, 64, 匿名变量3)
        匿名程序3 (匿名参数1, 取变量xx地址 (匿名变量4), 2)
        VirtualProtect (匿名参数1, 4, 匿名变量3, 0)
        匿名变量2 ＝ 指针到字节集 (匿名参数1 ＋ 匿名变量1.成员_19, 4)
        .如果真 (匿名变量2 ＝ { 80, 69, 0, 0 })
            VirtualProtect (匿名参数1 ＋ 匿名变量1.成员_19, 4, 64, 匿名变量3)
            匿名程序3 (匿名参数1 ＋ 匿名变量1.成员_19, 取变量xx地址 (匿名变量4), 2)
            VirtualProtect (匿名参数1 ＋ 匿名变量1.成员_19, 4, 匿名变量3, 0)
            返回 (真)
        .如果真结束

    .如果真结束

.如果真结束
返回 (假)

第三个：
置入代码 ({ 86, 87, 156, 252, 139, 77, 16, 139, 117, 12, 139, 125, 8, 243, 164, 157, 95, 94 })

晴雯晴雯

第三个：
置入代码 ({ 86, 87, 156, 252, 139, 77, 16, 139, 117, 12, 139, 125, 8, 243, 164, 157, 95, 94 })


push esi
push edi
pushfd
cld
mov ecx, dword ptr [ebp+0x10]
mov esi, dword ptr [ebp+0x0c]
mov edi, dword ptr [ebp+0x08]
rep movsb
popfd
pop edi
pop esi


————————————————————————————————————
mov ecx, dword ptr [ebp+0x10]
mov esi, dword ptr [ebp+0x0c]
mov edi, dword ptr [ebp+0x08]

将三个局部变量存入ecx、esi和edi
ecx中存入字符串长度
esi地址的字符串复制到edi中


————————————————
所以这段汇编功能就是字符串复制

Heisenberg

还没有发出来吗~

clocks

开局一句话，结果全靠猜！这文章有点难写，标题“几个子程序作用”

凌殇

Heisenberg 发表于 2020-5-6 23:47
还没有发出来吗~

不知道怎么回事，发的图没了，请看下3楼

凌殇

clocks 发表于 2020-5-7 00:24
开局一句话，结果全靠猜！这文章有点难写，标题“几个子程序作用”

请看下置顶，图片好像被审核掉了

6897871

发的是天书吗？看着头晕

晴雯晴雯

{ 86, 232, 0, 0, 0, 0, 88, 100, 139, 53, 48, 0, 0, 0, 139, 118, 12, 139, 118, 28, 86, 139, 94, 8, 59, 195, 114, 13, 139, 78, 16, 3, 203, 59, 193, 119, 4, 139, 195, 235, 21, 139, 54, 139, 30, 59, 28, 36, 117, 227, 100, 161, 24, 0, 0, 0, 139, 64, 48, 139, 64, 8, 94, 94, 201, 195 })



push esi
call 0x0074b6a6
pop eax
mov esi, dword ptr fs:[0x00000030]
mov esi, dword ptr [esi+0x0c]
mov esi, dword ptr [esi+0x1c]
push esi
mov ebx, dword ptr [esi+0x08]
cmp eax, ebx
jc 0x0074b6c9
mov ecx, dword ptr [esi+0x10]
add ecx, ebx
cmp eax, ecx
jnbe 0x0074b6c9
mov eax, ebx
jmp 0x0074b6de
mov esi, dword ptr [esi]
mov ebx, dword ptr [esi]
cmp ebx, dword ptr [esp]
jne 0x0074b6b5
mov eax, dword ptr fs:[0x00000018]
mov eax, dword ptr [eax+0x30]
mov eax, dword ptr [eax+0x08]
pop esi
pop esi
leave
ret

————————————————————————
首先调用了0x0074b6a6
随后把PEB地址存入esi      (mov esi, dword ptr fs:[0x00000030])
esi存入PEB_LDR_DATA地址（mov esi, dword ptr [esi+0x0c]） 存放一些指向动态链接库信息的链表
esi存入 InitializationOrderModuleList 第一项（mov esi, dword ptr [esi+0x1c]）
ebx存入dword ptr [esi+0x08]应该是kernel32.dll的地址
cmp eax, ebx 比较eax和ebx的内容是否一致
接下来jc 0x0074b6c9，这里没有调试，无法确定




mov eax, dword ptr fs:[0x00000018]
mov eax, dword ptr [eax+0x30]
mov eax, dword ptr [eax+0x08]
这三句获得ImageBaseAddress

————————————
中间跳转地址不知道是上跳还是下跳，跳到哪里，确定不了函数功能。
不过我觉得应该是求某个指定函数的地址。

晴雯晴雯

第二个函数调用了其他子程序，判断不了。不过看起来像inlinehook操作。