十三节 逆向病毒分析(实战)

玉面飞龙之王

;arg_0 : 指向某变量/缓冲区的指针
seg000:004D5356 arg_4 = dword ptr 0Ch
;arg_4:函数地址表指针
seg000:004D5356 arg_8 = dword ptr 10h
;arg_8:字符串表指针
seg000:004D5356
seg000:004D5356 push ebp
seg000:004D5357 mov ebp, esp
seg000:004D5359 add esp, 0FFFFFFF8h
seg000:004D535C lea eax, [ebp+var_4]
;eax 指向 v_4
seg000:004D535F push ebx
seg000:004D5360 push esi
seg000:004D5361 push edi
seg000:004D5362 xor ebx, ebx
;ebx 清零
seg000:004D5364 mov edi, [ebp+arg_8]
;edi :字符串表指针
seg000:004D5367 mov esi, [ebp+arg_4]
;esi:函数地址表指针
seg000:004D536A mov [ebp+var_8], 106h
;v_8 = 0x106
seg000:004D5371 push eax
;eax 为指向 v_4 的指针
;参数 4 压栈
seg000:004D5372 push 20019h
;参数 3 （ 0x20019）压栈
seg000:004D5377 lea edx, [edi+0BDh]
;edx = edi + 0xbd,查字符串表可以确定此时的 edx 指向字符串;“Software\Microsoft\Windows\CurrentVersion\Explorer”
seg000:004D537D push 0
;参数 2 （ 0 ）压栈
seg000:004D537F push edx
;参数 1（字符串指针）压栈
seg000:004D5380 push 80000001h
;参数 0（ 0x80000001h ）压栈
seg000:004D5385 call dword ptr [esi+2Ch]
;查函数地表，esi + 2ch 保存的是 RegOpenKeyExA 的入口地址（ 2ch 对应序数 11）
;调用 RegOpenKeyExA( 0x80000001,”……explorer”
,0,0x20019,,&v_4)
;查询 MSDN 以及 SDK 中的头文件确定此函数调用中出现的常数的含义
;0x80000001 : HKEY_CURRENT_USER
; 0 :options
; 0x20019 : 打开权限相关的常数。KEY_READ (0x20019)
;此处的函数调用要打开注册表键