UC知道汇编代码!
来源:百度知道 编辑:UC知道 时间:2024/05/17 06:47:14
今天发现了病毒,Debug后出现了一段代码。如下
-u
1402:0000 0E PUSH CS
1402:0001 1F POP DS
1402:0002 BA0E00 MOV DX,000E
1402:0005 B409 MOV AH,09
1402:0007 CD21 INT 21
1402:0009 B8014C MOV AX,4C01
1402:000C CD21 INT 21
1402:000E 54 PUSH SP
1402:000F 68 DB 68
1402:0010 69 DB 69
1402:0011 7320 JNB 0033
1402:0013 7072 JO 0087
1402:0015 6F DB 6F
1402:0016 67 DB 67
1402:0017 7261 JB 007A
1402:0019 6D DB 6D
1402:001A 206361 AND [BP+DI+61],AH
1402:001D 6E DB 6E
1402:001E 6E DB 6E
1402:001F 6F DB 6F
但是不知道有什么用,出处explorer.exe(system32中的),folder.exe(U盘中的)
-u
1402:0000 0E PUSH CS
1402:0001 1F POP DS
1402:0002 BA0E00 MOV DX,000E
1402:0005 B409 MOV AH,09
1402:0007 CD21 INT 21
1402:0009 B8014C MOV AX,4C01
1402:000C CD21 INT 21
1402:000E 54 PUSH SP
1402:000F 68 DB 68
1402:0010 69 DB 69
1402:0011 7320 JNB 0033
1402:0013 7072 JO 0087
1402:0015 6F DB 6F
1402:0016 67 DB 67
1402:0017 7261 JB 007A
1402:0019 6D DB 6D
1402:001A 206361 AND [BP+DI+61],AH
1402:001D 6E DB 6E
1402:001E 6E DB 6E
1402:001F 6F DB 6F
但是不知道有什么用,出处explorer.exe(system32中的),folder.exe(U盘中的)
很明显的,这只是一部分代码,你看JNB 0033 这条指令,0033是一个地址,而这个地址是你给出的代码中所没有的,你给出的地址最大只有001F(偏移量),所以还看不出有什么用.你给出的所有代码都在同一个段内.
第二句到第五句是显示一个字符串,很明显就能看出来.如果我说的没错的话,显示的就是DB 68和DB 69 这两条语句所定义的字符串(这个字符串只占用了两个字节的空间)
6和7两句MOV AX,4C01和INT 21 ,是一个不正常的返回操作系统,因为AH=4CH,AL=01H,而正常返回时AL中的值为0才对.
再到底下,就是一些条件转移语句,而这些指令后的地址,是你给出的代码中所没有,不过还有一些定义伪指令