十八节 逆向病毒分析(实战)

玉面飞龙之王

HMODULE hMod = LoadLibraryA( ModuleName );
PVOID func_Initiate = NULL;
If( !hMod )return 0;
func_Initate = GetProcAddress( hMod,”Initiate);
If( !func_Initiate )return 0;
If(*((DWORD (*)(PVOID))func_Initiate)( DataBase ))
return 1;
return 0;
}
分析函数 sub_004D51AA
;在函数 sub_4D53BE 分析完成后，我们可以确定 v_140 所在的大小为 0x106 的缓冲区（由注
;册表初始化）的含义，即：前两个字节是一个 WORD ,后面是一个指出模块名称的字符串。
seg000:004D5215 mov ebx, eax
seg000:004D5217
seg000:004D5217 loc_4D5217: ; CODE XREF:
sub_4D51AA+4Dj
seg000:004D5217 ; sub_4D51AA+57j
seg000:004D5217 test bl, bl
seg000:004D5219 jnz short loc_4D5242
;如果函数 CheckAndCallInitiate 返回 1，则控制传递给 OEP 执行原始程序。
分析函数 sub_004D53F6（调用部分）
seg000:004D521B push edi
;edi :数据段基址
;参数 2 压栈
seg000:004D521C lea eax, [ebp+var_38]
seg000:004D521F push eax
;eax:函数地址表基址
;参数 1 压栈
seg000:004D5220 lea edx, [ebp+var_13E]
seg000:004D5226 push edx
;edx: 缓冲区指针，用于字符串，可能用于输入或者输出，目前无法确定
;参数 0 压栈
seg000:004D5227 call sub_4D53F6
分析函数 sub_004D53F6（实现部分）
seg000:004D53F6 sub_4D53F6 proc near ; CODE XREF:
sub_4D51AA+7Dp
seg000:004D53F6
seg000:004D53F6 var_2914 = byte ptr-2914h
seg000:004D53F6 var_114 = byte ptr-114h
seg000:004D53F6 var_10 = byte ptr-10h